為Solaris服務(wù)器配置款安全的防火墻

時間：2010-07-15 22:37:21 整理：佚名 []

連接網(wǎng)上的服務(wù)器系統(tǒng)，不管是什么情況都要明確一點(diǎn)：網(wǎng)絡(luò)是不安全的。因此，雖然創(chuàng)建一個防火墻并不能保證系統(tǒng)100％安全，但卻是絕對必要的。傳統(tǒng)意義上的防火墻技術(shù)分為三大類，“包過濾”（Packet Filtering）、“應(yīng)用代理”（Application Proxy）和“狀態(tài)檢測”（Stateful Inspection），無論一個防火墻的實現(xiàn)過程多么復(fù)雜，歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。

　　一、Solaris包過濾防火墻IPFilter簡介

　　IPFilter是目前比較流行的包過濾防火墻軟件，它目前擁有多種平臺的版本，安裝配置相對比較簡單。可以用它來構(gòu)建功能強(qiáng)大的軟件防火墻，下面就其的安裝以及一些典型的配置作一下說明。IPFfilter 的作者是 Darren Reed 先生，他是一位致力于開源軟件開發(fā)的高級程序員，目前工作于 SUN 公司。IP Filter 軟件可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）或者防火墻服務(wù)。簡單的說就是一個軟件的防火墻，并且這個軟件是開源免費(fèi)的。當(dāng)前的版本是4.1.15，目前支持 FreeBSD、NetBSD、Solaris、AIX 等操作系統(tǒng)平臺。IPFilter是它是一個在引導(dǎo)時配置的可加載到內(nèi)核的模塊。這使得它十分安全，因為已不能由用戶應(yīng)用程序篡改。我用Solaris10 來作為實驗的平臺介紹一下IP Filter。IP Filter過濾器會執(zhí)行一系列步驟。圖1說明處理包的步驟，以及過濾如何與 TCP/IP 協(xié)議棧集成在一起。

為Solaris服務(wù)器配置款安全的防火墻1

圖1 服務(wù)器的處理數(shù)據(jù)包的步驟

　　數(shù)據(jù)包在Solaris內(nèi)的處理順序包括下列步驟：

　　1. 網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation, NAT) ：將專用 IP 地址轉(zhuǎn)換為不同的公共地址，或者將多個專用地址的別名指定為單個公共地址。當(dāng)組織具有現(xiàn)有的網(wǎng)絡(luò)并需要訪問 Internet 時，通過 NAT，該組織可解決 IP 地址用盡的問題。

　　2. IP 記帳：可以分別設(shè)置輸入規(guī)則和輸出規(guī)則，從而記錄所通過的字節(jié)數(shù)。每次與規(guī)則匹配時，都會將包的字節(jié)計數(shù)添加到該規(guī)則中，并允許收集層疊統(tǒng)計信息。

　　3. 片段高速緩存檢查 ：如果當(dāng)前流量中的下一個包是片段，而且允許前一個包通過，則也將允許包片段通過，從而繞過狀態(tài)表和規(guī)則檢查。

　　4. 包狀態(tài)檢查 ：如果規(guī)則中包括 keep state，則會自動傳遞或阻止指定會話中的所有包，具體取決于規(guī)則指明了 pass 還是 block。

　　5. 防火墻檢查 ：可以分別設(shè)置輸入規(guī)則和輸出規(guī)則，確定是否允許包通過 Solaris IP 過濾器傳入內(nèi)核的 TCP/IP 例程或者傳出到網(wǎng)絡(luò)上。

　　6. 組：通過分組可以按樹的形式編寫規(guī)則集。

　　7. 功能：功能是指要執(zhí)行的操作。可能的功能包括 block、pass、literal 和 send ICMP response。

　　8. 快速路由 ：快速路由指示 Solaris IP 過濾器不將包傳入 UNIX IP 棧進(jìn)行路由，從而導(dǎo)致 TTL 遞減。

　　9. IP 驗證：已驗證的包僅通過防火墻循環(huán)一次來防止雙重處理。

　　二、學(xué)會編寫IPFfilter 規(guī)則

　　典型的防火墻設(shè)置有兩個網(wǎng)卡：一個流入，一個流出。IPFfilter讀取流入和流出數(shù)據(jù)包的報頭，將它們與規(guī)則集（Ruleset）相比較，將可接受的數(shù)據(jù)包從一個網(wǎng)卡轉(zhuǎn)發(fā)至另一個網(wǎng)卡，對被拒絕的數(shù)據(jù)包，可以丟棄或按照所定義的方式來處理。通過向防火墻提供有關(guān)對來自某個源地址、到某個目的地或具有特定協(xié)議類型的信息包要做些什么的指令，規(guī)則控制信息包的過濾。通過使用IPFfilter系統(tǒng)提供的特殊命令建立這些規(guī)則，并將其添加到內(nèi)核空間特定信息包過濾表內(nèi)的鏈中。關(guān)于添加、去除、編輯規(guī)則的命令，一般語法如下：

　　action [in|out] option keyword, keyword...

　　參數(shù)說明：

　　1. 每個規(guī)則都以操作開頭。如果包與規(guī)則匹配，則 Solaris IP 過濾器將操作應(yīng)用于該包。以下列表包括應(yīng)用于包的常用操作。

　　block ：阻止包通過過濾器。

　　pass ：允許包通過過濾器。

　　log ：記錄包但不確定是阻止包還是傳遞包。使用 ipmon 命令可查看日志。

　　count ：將包包括在過濾器統(tǒng)計信息中。使用 ipfstat 命令可查看統(tǒng)計信息。

　　skip number ：使過濾器跳過 number 個過濾規(guī)則。

　　auth ：請求由驗證包信息的用戶程序執(zhí)行包驗證。該程序會確定是傳遞包還是阻止包。

　　preauth ：請求過濾器查看預(yù)先驗證的列表以確定如何處理包。

　　2. 操作后面的下一個單詞必須是 in 或 out。您的選擇將確定是將包過濾規(guī)則應(yīng)用于傳入包還是應(yīng)用于傳出包。

　　3. 接下來，可以從選項列表中進(jìn)行選擇。如果使用多個選項，則這些選項必須采用此處顯示的順序。

　　log ：如果規(guī)則是后一個匹配規(guī)則，則記錄包。使用 ipmon 命令可查看日志。

　　quick ：如果存在匹配的包，則執(zhí)行包含 quick 選項的規(guī)則。所有進(jìn)一步的規(guī)則檢查都將停止。

　　on interface-name ：僅當(dāng)包移入或移出指定接口時才應(yīng)用規(guī)則。

　　dup-to interface-name：復(fù)制包并將 interface-name 上的副本向外發(fā)送到選擇指定的 IP 地址。

　　to interface-name ：將包移動到 interface-name 上的外發(fā)隊列。

　　4. 指定選項后，可以從確定包是否與規(guī)則匹配的各關(guān)鍵字中進(jìn)行選擇。必須按此處顯示的順序使用以下關(guān)鍵字。

　　tos ：基于表示為十六進(jìn)制或十進(jìn)制整數(shù)的服務(wù)類型值，對包進(jìn)行過濾。

　　ttl ：基于包的生存時間值與包匹配。在包中存儲的生存時間值指明了包在被廢棄之前可在網(wǎng)絡(luò)中存在的時間長度。

　　proto ：與特定協(xié)議匹配。可以使用在 /etc/protocols 文件中指定的任何協(xié)議名稱，或者使用十進(jìn)制數(shù)來表示協(xié)議。關(guān)鍵字 tcp/udp 可以用于與 TCP 包或 UDP 包匹配。

　　from/to/all/any ：與以下任一項或所有項匹配：源 IP 地址、目標(biāo) IP 地址和端口號。all 關(guān)鍵字用于接受來自所有源和發(fā)往所有目標(biāo)的包。

　　with ：與和包關(guān)聯(lián)的指定屬性匹配。在關(guān)鍵字前面插入 not 或 no 一詞，以便僅當(dāng)選項不存在時才與包匹配。

　　flags ：供 TCP 用來基于已設(shè)置的 TCP 標(biāo)志進(jìn)行過濾。

　　icmp-type ：根據(jù) ICMP 類型進(jìn)行過濾。僅當(dāng) proto 選項設(shè)置為 icmp 時才使用此關(guān)鍵字；如果使用 flags 選項，則不使用此關(guān)鍵字。

　　keep keep-options ：確定為包保留的信息。可用的 keep-options 包括 state 選項和 frags 選項。state 選項會保留有關(guān)會話的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 選項可保留有關(guān)包片段的信息，并將該信息應(yīng)用于后續(xù)片段。keep-options 允許匹配包通過，而不會查詢訪問控制列表。

　　head number ：為過濾規(guī)則創(chuàng)建一個新組，該組由數(shù)字 number 表示。

　　group number ：將規(guī)則添加到編號為 number 的組而不是缺省組。如果未指定其他組，則將所有過濾規(guī)則放置在組 0 中。

　　四、開始編寫規(guī)則

　　1.查看IPFilter包過濾

　　防火墻運(yùn)行情況

　　Solaris 10 上IPFilter 的啟動和關(guān)閉是由 SMF 管理的,在Solaris 10 上工作的進(jìn)程大多都交由SMF 管理，這和先前版本的Solaris 操作系統(tǒng)有很大的區(qū)別。Solaris IP 過濾防火墻隨 Solaris 操作系統(tǒng)一起安裝。但是，缺省情況下不啟用包過濾。使用以下過程可以激活 Solaris IP 過濾器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有兩個服務(wù)ipfilter 和pfil，默認(rèn)情況下ipfilter 是關(guān)閉的，而pfil 是打開的。

# svcs -a |grep network |egrep "pfil|ipf"
disabled 7:17:43 svc:/network/ipfilter:default
online 7:17:46 svc:/network/pfil:default

來頂一下

返回首頁

百度中找“為Solaris服務(wù)器配置款安全的防火墻”的內(nèi)容

GOOGLE中找“為Solaris服務(wù)器配置款安全的防火墻”的內(nèi)容

關(guān)鍵詞：為Solaris服務(wù)器配置款安全的防火墻相關(guān)文章

› 為Solaris服務(wù)器配置款安全的防...

相關(guān)推薦文章