為Solaris服務器配置款安全的防火墻

時間：2010-07-15 22:37:21 整理：佚名 []

連接網上的服務器系統，不管是什么情況都要明確一點：網絡是不安全的。因此，雖然創建一個防火墻并不能保證系統100％安全，但卻是絕對必要的。傳統意義上的防火墻技術分為三大類，“包過濾”（Packet Filtering）、“應用代理”（Application Proxy）和“狀態檢測”（Stateful Inspection），無論一個防火墻的實現過程多么復雜，歸根結底都是在這三種技術的基礎上進行功能擴展的。

　　一、Solaris包過濾防火墻IPFilter簡介

　　IPFilter是目前比較流行的包過濾防火墻軟件，它目前擁有多種平臺的版本，安裝配置相對比較簡單。可以用它來構建功能強大的軟件防火墻，下面就其的安裝以及一些典型的配置作一下說明。IPFfilter 的作者是 Darren Reed 先生，他是一位致力于開源軟件開發的高級程序員，目前工作于 SUN 公司。IP Filter 軟件可以提供網絡地址轉換（NAT）或者防火墻服務。簡單的說就是一個軟件的防火墻，并且這個軟件是開源免費的。當前的版本是4.1.15，目前支持 FreeBSD、NetBSD、Solaris、AIX 等操作系統平臺。IPFilter是它是一個在引導時配置的可加載到內核的模塊。這使得它十分安全，因為已不能由用戶應用程序篡改。我用Solaris10 來作為實驗的平臺介紹一下IP Filter。IP Filter過濾器會執行一系列步驟。圖1說明處理包的步驟，以及過濾如何與 TCP/IP 協議棧集成在一起。

為Solaris服務器配置款安全的防火墻1

圖1 服務器的處理數據包的步驟

　　數據包在Solaris內的處理順序包括下列步驟：

　　1. 網絡地址轉換 (Network Address Translation, NAT) ：將專用 IP 地址轉換為不同的公共地址，或者將多個專用地址的別名指定為單個公共地址。當組織具有現有的網絡并需要訪問 Internet 時，通過 NAT，該組織可解決 IP 地址用盡的問題。

　　2. IP 記帳：可以分別設置輸入規則和輸出規則，從而記錄所通過的字節數。每次與規則匹配時，都會將包的字節計數添加到該規則中，并允許收集層疊統計信息。

　　3. 片段高速緩存檢查 ：如果當前流量中的下一個包是片段，而且允許前一個包通過，則也將允許包片段通過，從而繞過狀態表和規則檢查。

　　4. 包狀態檢查 ：如果規則中包括 keep state，則會自動傳遞或阻止指定會話中的所有包，具體取決于規則指明了 pass 還是 block。

　　5. 防火墻檢查 ：可以分別設置輸入規則和輸出規則，確定是否允許包通過 Solaris IP 過濾器傳入內核的 TCP/IP 例程或者傳出到網絡上。

　　6. 組：通過分組可以按樹的形式編寫規則集。

　　7. 功能：功能是指要執行的操作。可能的功能包括 block、pass、literal 和 send ICMP response。

　　8. 快速路由 ：快速路由指示 Solaris IP 過濾器不將包傳入 UNIX IP 棧進行路由，從而導致 TTL 遞減。

　　9. IP 驗證：已驗證的包僅通過防火墻循環一次來防止雙重處理。

　　二、學會編寫IPFfilter 規則

　　典型的防火墻設置有兩個網卡：一個流入，一個流出。IPFfilter讀取流入和流出數據包的報頭，將它們與規則集（Ruleset）相比較，將可接受的數據包從一個網卡轉發至另一個網卡，對被拒絕的數據包，可以丟棄或按照所定義的方式來處理。通過向防火墻提供有關對來自某個源地址、到某個目的地或具有特定協議類型的信息包要做些什么的指令，規則控制信息包的過濾。通過使用IPFfilter系統提供的特殊命令建立這些規則，并將其添加到內核空間特定信息包過濾表內的鏈中。關于添加、去除、編輯規則的命令，一般語法如下：

　　action [in|out] option keyword, keyword...

　　參數說明：

　　1. 每個規則都以操作開頭。如果包與規則匹配，則 Solaris IP 過濾器將操作應用于該包。以下列表包括應用于包的常用操作。

　　block ：阻止包通過過濾器。

　　pass ：允許包通過過濾器。

　　log ：記錄包但不確定是阻止包還是傳遞包。使用 ipmon 命令可查看日志。

　　count ：將包包括在過濾器統計信息中。使用 ipfstat 命令可查看統計信息。

　　skip number ：使過濾器跳過 number 個過濾規則。

　　auth ：請求由驗證包信息的用戶程序執行包驗證。該程序會確定是傳遞包還是阻止包。

　　preauth ：請求過濾器查看預先驗證的列表以確定如何處理包。

　　2. 操作后面的下一個單詞必須是 in 或 out。您的選擇將確定是將包過濾規則應用于傳入包還是應用于傳出包。

　　3. 接下來，可以從選項列表中進行選擇。如果使用多個選項，則這些選項必須采用此處顯示的順序。

　　log ：如果規則是后一個匹配規則，則記錄包。使用 ipmon 命令可查看日志。

　　quick ：如果存在匹配的包，則執行包含 quick 選項的規則。所有進一步的規則檢查都將停止。

　　on interface-name ：僅當包移入或移出指定接口時才應用規則。

　　dup-to interface-name：復制包并將 interface-name 上的副本向外發送到選擇指定的 IP 地址。

　　to interface-name ：將包移動到 interface-name 上的外發隊列。

　　4. 指定選項后，可以從確定包是否與規則匹配的各關鍵字中進行選擇。必須按此處顯示的順序使用以下關鍵字。

　　tos ：基于表示為十六進制或十進制整數的服務類型值，對包進行過濾。

　　ttl ：基于包的生存時間值與包匹配。在包中存儲的生存時間值指明了包在被廢棄之前可在網絡中存在的時間長度。

　　proto ：與特定協議匹配。可以使用在 /etc/protocols 文件中指定的任何協議名稱，或者使用十進制數來表示協議。關鍵字 tcp/udp 可以用于與 TCP 包或 UDP 包匹配。

　　from/to/all/any ：與以下任一項或所有項匹配：源 IP 地址、目標 IP 地址和端口號。all 關鍵字用于接受來自所有源和發往所有目標的包。

　　with ：與和包關聯的指定屬性匹配。在關鍵字前面插入 not 或 no 一詞，以便僅當選項不存在時才與包匹配。

　　flags ：供 TCP 用來基于已設置的 TCP 標志進行過濾。

　　icmp-type ：根據 ICMP 類型進行過濾。僅當 proto 選項設置為 icmp 時才使用此關鍵字；如果使用 flags 選項，則不使用此關鍵字。

　　keep keep-options ：確定為包保留的信息。可用的 keep-options 包括 state 選項和 frags 選項。state 選項會保留有關會話的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 選項可保留有關包片段的信息，并將該信息應用于后續片段。keep-options 允許匹配包通過，而不會查詢訪問控制列表。

　　head number ：為過濾規則創建一個新組，該組由數字 number 表示。

　　group number ：將規則添加到編號為 number 的組而不是缺省組。如果未指定其他組，則將所有過濾規則放置在組 0 中。

　　四、開始編寫規則

　　1.查看IPFilter包過濾

　　防火墻運行情況

　　Solaris 10 上IPFilter 的啟動和關閉是由 SMF 管理的,在Solaris 10 上工作的進程大多都交由SMF 管理，這和先前版本的Solaris 操作系統有很大的區別。Solaris IP 過濾防火墻隨 Solaris 操作系統一起安裝。但是，缺省情況下不啟用包過濾。使用以下過程可以激活 Solaris IP 過濾器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有兩個服務ipfilter 和pfil，默認情況下ipfilter 是關閉的，而pfil 是打開的。

# svcs -a |grep network |egrep "pfil|ipf"
disabled 7:17:43 svc:/network/ipfilter:default
online 7:17:46 svc:/network/pfil:default

來頂一下

返回首頁

百度中找“為Solaris服務器配置款安全的防火墻”的內容

GOOGLE中找“為Solaris服務器配置款安全的防火墻”的內容

關鍵詞：為Solaris服務器配置款安全的防火墻相關文章

› 為Solaris服務器配置款安全的防...

相關推薦文章