如何為Solaris服務器配置款安全的防火墻(2)

如何為Solaris服務器配置款安全的防火墻

　　4. 指定選項后，可以從確定包是否與規則匹配的各關鍵字中進行選擇。必須按此處顯示的順序使用以下關鍵字。

　　tos ：基于表示為十六進制或十進制整數的服務類型值，對包進行過濾。

　　ttl ：基于包的生存時間值與包匹配。在包中存儲的生存時間值指明了包在被廢棄之前可在網絡中存在的時間長度。

　　proto ：與特定協議匹配。可以使用在 /etc/protocols 文件中指定的任何協議名稱，或者使用十進制數來表示協議。關鍵字 tcp/udp 可以用于與 TCP 包或 UDP 包匹配。

　　from/to/all/any ：與以下任一項或所有項匹配：源 IP 地址、目標 IP 地址和端口號。all 關鍵字用于接受來自所有源和發往所有目標的包。

　　with ：與和包關聯的指定屬性匹配。在關鍵字前面插入 not 或 no 一詞，以便僅當選項不存在時才與包匹配。

　　flags ：供 TCP 用來基于已設置的 TCP 標志進行過濾。

　　icmp-type ：根據 ICMP 類型進行過濾。僅當 proto 選項設置為 icmp 時才使用此關鍵字;如果使用 flags 選項，則不使用此關鍵字。

　　keep keep-options ：確定為包保留的信息。可用的 keep-options 包括 state 選項和 frags 選項。state 選項會保留有關會話的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 選項可保留有關包片段的信息，并將該信息應用于后續片段。keep-options 允許匹配包通過，而不會查詢訪問控制列表。

　　head number ：為過濾規則創建一個新組，該組由數字 number 表示。

　　group number ：將規則添加到編號為 number 的組而不是缺省組。如果未指定其他組，則將所有過濾規則放置在組 0 中。

　　四、開始編寫規則

　　1.查看IPFilter包過濾

　　防火墻運行情況

　　Solaris 10 上IPFilter 的啟動和關閉是由 SMF 管理的,在Solaris 10 上工作的進程大多都交由SMF 管理，這和先前版本的Solaris 操作系統有很大的區別。Solaris IP 過濾防火墻隨 Solaris 操作系統一起安裝。但是，缺省情況下不啟用包過濾。使用以下過程可以激活 Solaris IP 過濾器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有兩個服務ipfilter 和pfil，默認情況下ipfilter 是關閉的，而pfil 是打開的。

　　# svcs -a |grep network |egrep "pfil|ipf"

　　disabled 7:17:43 svc:/network/ipfilter:default

　　online 7:17:46 svc:/network/pfil:default

　　2.查看網卡接口

　　lo0: flags=2001000849 mtu 8232 index 1

　　inet 127.0.0.1 netmask ff000000

　　pcn0: flags=1000843 mtu 1500 index 2

　　inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255

　　可以看到網卡接口是pcn0。

　　3.修改/etc/ipf/pfil.ap 文件

　　此文件包含主機上網絡接口卡 (network interface card, NIC) 的名稱。缺省情況下，這些名稱已被注釋掉。對傳輸要過濾的網絡通信流量的設備名稱取消注釋。

　　4. 編輯防火墻規則

　　使服務器對ping沒有反應 ，防止你的服務器對ping請求做出反應，對于網絡安全很有好處，因為沒人能夠ping你的服務器并得到任何反應。TCP/IP協議本身有很多的弱點，黑客可以利用一些技術，把傳輸正常數據包的通道用來偷偷地傳送數據。使你的系統對ping請求沒有反應可以把這個危險減到最小。修改配置文件/etc/ipf/ipf.conf添加一行：

　　block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0

　　說明：IP 過濾協議的關鍵字有4種(icmp、tcp、udp、tcp/udp)，啟用對協議的控制就是在協議的關鍵字前加proto關鍵字。ICMP全稱Internet Control Message Protocol，中文名為因特網控制報文協議。它工作在OSI的網絡層，向數據通訊中的源主機報告錯誤。ICMP可以實現故障隔離和故障恢復。我們平時最常用的ICMP應用就是通常被稱為Ping的操作。在使用ICMP協議控制的時候，可以使用icmp-type關鍵字來指定ICMP協議的類型。

　　所以把icmp-type設置為 0即可。

　　5. 啟動服務

　　使用命令：svcadm enable svc:/network/ipfilter:default

　　6.使 pfil.ap配置文件生效

　　autopush -f /etc/ipf/pfil.ap

　　說明：此步驟只需要做一次，以后更改防火墻規則就不需要再做。

　　7.重新引導計算機，使用命令：“init 6”。

　　8.使用命令再次查看IPFilter包過濾防火墻運行情況 。

　　四、IPFilter包過濾防火墻規則編寫方法

　　在創建IPFilter包過濾防火墻規則的第一步是與用戶咨詢確定一個可接受的服務列表。許多公司會有—個可接受的使用策略，該策略會控制哪些端口應當可用和應當賦予用戶啟動的服務的權限。在你確定了開放的流入端口和外出的端口需求之后，最好是編寫一條規則：首先拒絕全部數據包，然后編寫另外的規則：允許使用的端口。你還必須設置兩個方向啟用允許的服務。例如.用戶同時接收和發送電子郵件通常是必要的，于是你需要對sendmail(端口25)包括一條入站和出站規則。

　　1、方法1

　　要阻止從 IP 地址 192.168.1.0/16 傳入的流量，需要在規則列表中包括以下規則：

　　block in quick from 192.168.1.0/16 to any

　　下面的例子阻止來自b類網絡148.126.0.0的任何數據包：

　　block in quick from 148.126.0.0/16 to any