為Solaris服務(wù)器配置款安全的防火墻

　　一、Solaris包過濾防火墻IPFilter簡介

　　IPFilter是目前比較流行的包過濾防火墻軟件，它目前擁有多種平臺的版本，安裝配置相對比較簡單。可以用它來構(gòu)建功能強大的軟件防火墻，下面就其的安裝以及一些典型的配置作一下說明。IPFfilter 的作者是 Darren Reed 先生，他是一位致力于開源軟件開發(fā)的高級程序員，目前工作于 SUN 公司。IP Filter 軟件可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）或者防火墻服務(wù)。簡單的說就是一個軟件的防火墻，并且這個軟件是開源免費的。當(dāng)前的版本是4.1.15，目前支持 FreeBSD、NetBSD、Solaris、AIX 等操作系統(tǒng)平臺。IPFilter是它是一個在引導(dǎo)時配置的可加載到內(nèi)核的模塊。這使得它十分安全，因為已不能由用戶應(yīng)用程序篡改。我用Solaris10 來作為實驗的平臺介紹一下IP Filter。IP Filter過濾器會執(zhí)行一系列步驟。圖1說明處理包的步驟，以及過濾如何與 TCP/IP 協(xié)議棧集成在一起。

圖1 服務(wù)器的處理數(shù)據(jù)包的步驟

　　數(shù)據(jù)包在Solaris內(nèi)的處理順序包括下列步驟：

　　1. 網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation, NAT) ：將專用 IP 地址轉(zhuǎn)換為不同的公共地址，或者將多個專用地址的別名指定為單個公共地址。當(dāng)組織具有現(xiàn)有的網(wǎng)絡(luò)并需要訪問 Internet 時，通過 NAT，該組織可解決 IP 地址用盡的問題。

　　2. IP 記帳  ：可以分別設(shè)置輸入規(guī)則和輸出規(guī)則，從而記錄所通過的字節(jié)數(shù)。每次與規(guī)則匹配時，都會將包的字節(jié)計數(shù)添加到該規(guī)則中，并允許收集層疊統(tǒng)計信息。

　　3. 片段高速緩存檢查  ：如果當(dāng)前流量中的下一個包是片段，而且允許前一個包通過，則也將允許包片段通過，從而繞過狀態(tài)表和規(guī)則檢查。

　　4. 包狀態(tài)檢查 ：如果規(guī)則中包括 keep state，則會自動傳遞或阻止指定會話中的所有包，具體取決于規(guī)則指明了 pass 還是 block。

　　5. 防火墻檢查 ：可以分別設(shè)置輸入規(guī)則和輸出規(guī)則，確定是否允許包通過 Solaris IP 過濾器傳入內(nèi)核的 TCP/IP 例程或者傳出到網(wǎng)絡(luò)上。

　　6. 組：通過分組可以按樹的形式編寫規(guī)則集。

　　7. 功能 ：功能是指要執(zhí)行的操作�？赡艿墓δ馨� block、pass、literal 和 send ICMP response。

　　8. 快速路由 ：快速路由指示 Solaris IP 過濾器不將包傳入 UNIX IP 棧進行路由，從而導(dǎo)致 TTL 遞減。

　　9. IP 驗證 ：已驗證的包僅通過防火墻循環(huán)一次來防止雙重處理。

　　二、學(xué)會編寫IPFfilter 規(guī)則

　　典型的防火墻設(shè)置有兩個網(wǎng)卡：一個流入，一個流出。IPFfilter讀取流入和流出數(shù)據(jù)包的報頭，將它們與規(guī)則集（Ruleset）相比較，將可接受的數(shù)據(jù)包從一個網(wǎng)卡轉(zhuǎn)發(fā)至另一個網(wǎng)卡，對被拒絕的數(shù)據(jù)包，可以丟棄或按照所定義的方式來處理。 通過向防火墻提供有關(guān)對來自某個源地址、到某個目的地或具有特定協(xié)議類型的信息包要做些什么的指令，規(guī)則控制信息包的過濾。通過使用IPFfilter系統(tǒng)提供的特殊命令建立這些規(guī)則，并將其添加到內(nèi)核空間特定信息包過濾表內(nèi)的鏈中。關(guān)于添加、去除、編輯規(guī)則的命令，一般語法如下：

　　action [in|out] option keyword, keyword...

　　參數(shù)說明：

　　1. 每個規(guī)則都以操作開頭。如果包與規(guī)則匹配，則 Solaris IP 過濾器將操作應(yīng)用于該包。以下列表包括應(yīng)用于包的常用操作。

　　block ：阻止包通過過濾器。

　　pass ：允許包通過過濾器。

　　log ：記錄包但不確定是阻止包還是傳遞包。使用 ipmon 命令可查看日志。

　　count ：將包包括在過濾器統(tǒng)計信息中。使用 ipfstat 命令可查看統(tǒng)計信息。

　　skip number ：使過濾器跳過 number 個過濾規(guī)則。

　　auth ：請求由驗證包信息的用戶程序執(zhí)行包驗證。該程序會確定是傳遞包還是阻止包。

　　preauth ：請求過濾器查看預(yù)先驗證的列表以確定如何處理包。

　　2. 操作后面的下一個單詞必須是 in 或 out。您的選擇將確定是將包過濾規(guī)則應(yīng)用于傳入包還是應(yīng)用于傳出包。

　　3. 接下來，可以從選項列表中進行選擇。如果使用多個選項，則這些選項必須采用此處顯示的順序。

　　log ：如果規(guī)則是 后一個匹配規(guī)則，則記錄包。使用 ipmon 命令可查看日志。

　　quick ：如果存在匹配的包，則執(zhí)行包含 quick 選項的規(guī)則。所有進一步的規(guī)則檢查都將停止。

　　on interface-name ：僅當(dāng)包移入或移出指定接口時才應(yīng)用規(guī)則。

　　dup-to interface-name：復(fù)制包并將 interface-name 上的副本向外發(fā)送到選擇指定的 IP 地址。

　　to interface-name ：將包移動到 interface-name 上的外發(fā)隊列。

　　4. 指定選項后，可以從確定包是否與規(guī)則匹配的各關(guān)鍵字中進行選擇。必須按此處顯示的順序使用以下關(guān)鍵字。

　　tos ：基于表示為十六進制或十進制整數(shù)的服務(wù)類型值，對包進行過濾。

　　ttl ：基于包的生存時間值與包匹配。在包中存儲的生存時間值指明了包在被廢棄之前可在網(wǎng)絡(luò)中存在的時間長度。

　　proto ：與特定協(xié)議匹配�？梢允褂迷� /etc/protocols 文件中指定的任何協(xié)議名稱，或者使用十進制數(shù)來表示協(xié)議。關(guān)鍵字 tcp/udp 可以用于與 TCP 包或 UDP 包匹配。

　　from/to/all/any ：與以下任一項或所有項匹配：源 IP 地址、目標(biāo) IP 地址和端口號。all 關(guān)鍵字用于接受來自所有源和發(fā)往所有目標(biāo)的包。

　　with ：與和包關(guān)聯(lián)的指定屬性匹配。在關(guān)鍵字前面插入 not 或 no 一詞，以便僅當(dāng)選項不存在時才與包匹配。

　　flags ：供 TCP 用來基于已設(shè)置的 TCP 標(biāo)志進行過濾。

　　icmp-type ：根據(jù) ICMP 類型進行過濾。僅當(dāng) proto 選項設(shè)置為 icmp 時才使用此關(guān)鍵字；如果使用 flags 選項，則不使用此關(guān)鍵字。

　　keep keep-options ：確定為包保留的信息。可用的 keep-options 包括 state 選項和 frags 選項。state 選項會保留有關(guān)會話的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 選項可保留有關(guān)包片段的信息，并將該信息應(yīng)用于后續(xù)片段。keep-options 允許匹配包通過，而不會查詢訪問控制列表。

　　head number ：為過濾規(guī)則創(chuàng)建一個新組，該組由數(shù)字 number 表示。

　　group number ：將規(guī)則添加到編號為 number 的組而不是缺省組。如果未指定其他組，則將所有過濾規(guī)則放置在組 0 中。

　　四、開始編寫規(guī)則

　　1.查看IPFilter包過濾

　　防火墻運行情況

　　Solaris 10 上IPFilter 的啟動和關(guān)閉是由 SMF 管理的,在Solaris 10 上工作的進程大多都交由SMF 管理，這和先前版本的Solaris 操作系統(tǒng)有很大的區(qū)別。Solaris IP 過濾防火墻隨 Solaris 操作系統(tǒng)一起安裝。但是，缺省情況下不啟用包過濾。使用以下過程可以激活 Solaris IP 過濾器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有兩個服務(wù)ipfilter 和pfil，默認情況下ipfilter 是關(guān)閉的，而pfil 是打開的。

# svcs -a |grep network |egrep "pfil|ipf" disabled    7:17:43 svc:/network/ipfilter:default online   7:17:46 svc:/network/pfil:default 0 來頂一下 返回首頁 百度中找“為Solaris服務(wù)器配置款安全的防火墻”的內(nèi)容 GOOGLE中找“為Solaris服務(wù)器配置款安全的防火墻”的內(nèi)容 關(guān)鍵詞：為Solaris服務(wù)器配置款安全的防火墻 相關(guān)文章 › 為Solaris服務(wù)器配置款安全的防... 相關(guān)推薦文章 熱門文章 新文章 關(guān)于收錄 - 廣告合作 - 友情連接 - 網(wǎng)站地圖 湘ICP備08002401號     Copyright © 2003-2008 Apx168.Com. All Rights Reserved . 主站蜘蛛池模板： 国产激情视频在线 | 精品亚洲欧美中文字幕在线看 | 我半夜摸妺妺的奶C了她 | 午夜影视不充值观看 | 超嫩校花被灌醉在线观看 | 亚洲免费中文 | 最近日本字幕MV免费观看在线 | 亚洲免费国产 | 国产精品久久久久久久久久免费 | 一个人在线观看免费中文www | 国产午夜福利100集发布 | 女侠含泪巨臀迎合79 | 久久re6热在线视频 久久er国产免费精品 | 99国产精品久久人妻 | 日本阿v直播在线 | 青苹果乐园在线观看电视剧 | 久久亚洲精品专区蓝色区 | 中文字幕人妻无码系列第三区 | 午夜国产精品视频在线 | 99国内精品久久久久久久清纯 | jijzzizz中国版 | 3D内射动漫同人资源在线观看 | 精品无码国产污污污免费网站2 | 青青视频 在线 在线播放 | 钉钉女老师 | 成年私人影院网站在线看 | 一个人免费播放高清在线观看 | 长篇高h肉爽文丝袜 | 国内外成人免费在线视频 | 日韩欧美精品有码在线播放 | 国内视频在线精品一区 | 久久综合电影 | 最新男同鸭子ktv | 日本肉肉口番工全彩动漫 | 国产传媒18精品A片在线观看 | 欧美亚洲日韩国码在线观看 | 伦理片天堂eeuss影院 | 国产产一区二区三区久久毛片国语 | 亚洲国产精品自在自线观看 | 全黄H全肉细节文短篇 | 337p啪啪人体大胆 |