如何为Solaris服务器配置款安全的防火墙(2)

学习啦在线学习网如何为Solaris服务器配置款安全的防火墙

　　4. 指定选项后，可以从确定包是否与规则匹配的各关键字中进行选择。必须按此处显示的顺序使用以下关键字。

　　tos ：基于表示为十六进制或十进制整数的服务类型值，对包进行过滤。

学习啦在线学习网 　　ttl ：基于包的生存时间值与包匹配。在包中存储的生存时间值指明了包在被废弃之前可在网络中存在的时间长度。

　　proto ：与特定协议匹配。可以使用在 /etc/protocols 文件中指定的任何协议名称，或者使用十进制数来表示协议。关键字 tcp/udp 可以用于与 TCP 包或 UDP 包匹配。

学习啦在线学习网 　　from/to/all/any ：与以下任一项或所有项匹配：源 IP 地址、目标 IP 地址和端口号。all 关键字用于接受来自所有源和发往所有目标的包。

　　with ：与和包关联的指定属性匹配。在关键字前面插入 not 或 no 一词，以便仅当选项不存在时才与包匹配。

　　flags ：供 TCP 用来基于已设置的 TCP 标志进行过滤。

　　icmp-type ：根据 ICMP 类型进行过滤。仅当 proto 选项设置为 icmp 时才使用此关键字;如果使用 flags 选项，则不使用此关键字。

学习啦在线学习网 　　keep keep-options ：确定为包保留的信息。可用的 keep-options 包括 state 选项和 frags 选项。state 选项会保留有关会话的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 选项可保留有关包片段的信息，并将该信息应用于后续片段。keep-options 允许匹配包通过，而不会查询访问控制列表。

　　head number ：为过滤规则创建一个新组，该组由数字 number 表示。

　　group number ：将规则添加到编号为 number 的组而不是缺省组。如果未指定其他组，则将所有过滤规则放置在组 0 中。

　　四、开始编写规则

　　1.查看IPFilter包过滤

　　防火墙运行情况

　　Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理，这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是，缺省情况下不启用包过滤。使用以下过程可以激活 Solaris IP 过滤器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有两个服务ipfilter 和pfil，默认情况下ipfilter 是关闭的，而pfil 是打开的。

　　# svcs -a |grep network |egrep "pfil|ipf"

　　disabled 7:17:43 svc:/network/ipfilter:default

　　online 7:17:46 svc:/network/pfil:default

　　2.查看网卡接口

学习啦在线学习网 　　lo0: flags=2001000849 mtu 8232 index 1

学习啦在线学习网 　　inet 127.0.0.1 netmask ff000000

　　pcn0: flags=1000843 mtu 1500 index 2

　　inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255

　　可以看到网卡接口是pcn0。

　　3.修改/etc/ipf/pfil.ap 文件

学习啦在线学习网 　　此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下，这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。

　　4. 编辑防火墙规则

　　使服务器对ping没有反应 ，防止你的服务器对ping请求做出反应，对于网络安全很有好处，因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点，黑客可以利用一些技术，把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改配置文件/etc/ipf/ipf.conf添加一行：

　　block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0

　　说明：IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp)，启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候，可以使用icmp-type关键字来指定ICMP协议的类型。

学习啦在线学习网 　　所以把icmp-type设置为 0即可。

　　5. 启动服务

　　使用命令：svcadm enable svc:/network/ipfilter:default

学习啦在线学习网 　　6.使 pfil.ap配置文件生效

　　autopush -f /etc/ipf/pfil.ap

学习啦在线学习网 　　说明：此步骤只需要做一次，以后更改防火墙规则就不需要再做。

　　7.重新引导计算机，使用命令：“init 6”。

　　8.使用命令再次查看IPFilter包过滤防火墙运行情况 。

　　四、IPFilter包过滤防火墙规则编写方法

学习啦在线学习网 　　在创建IPFilter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略，该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后，最好是编写一条规则：首先拒绝全部数据包，然后编写另外的规则：允许使用的端口。你还必须设置两个方向启用允许的服务。例如.用户同时接收和发送电子邮件通常是必要的，于是你需要对sendmail(端口25)包括一条入站和出站规则。

　　1、方法1

学习啦在线学习网 　　要阻止从 IP 地址 192.168.1.0/16 传入的流量，需要在规则列表中包括以下规则：

学习啦在线学习网 　　block in quick from 192.168.1.0/16 to any

　　下面的例子阻止来自b类网络148.126.0.0的任何数据包：

　　block in quick from 148.126.0.0/16 to any