如何為Solaris服務(wù)器配置款安全的防火墻

　　4. 指定選項后，可以從確定包是否與規(guī)則匹配的各關(guān)鍵字中進行選擇。必須按此處顯示的順序使用以下關(guān)鍵字。

　　tos ：基于表示為十六進制或十進制整數(shù)的服務(wù)類型值，對包進行過濾。

　　ttl ：基于包的生存時間值與包匹配。在包中存儲的生存時間值指明了包在被廢棄之前可在網(wǎng)絡(luò)中存在的時間長度。

　　proto ：與特定協(xié)議匹配?？梢允褂迷?/etc/protocols 文件中指定的任何協(xié)議名稱，或者使用十進制數(shù)來表示協(xié)議。關(guān)鍵字 tcp/udp 可以用于與 TCP 包或 UDP 包匹配。

　　from/to/all/any ：與以下任一項或所有項匹配：源 IP 地址、目標 IP 地址和端口號。all 關(guān)鍵字用于接受來自所有源和發(fā)往所有目標的包。

　　with ：與和包關(guān)聯(lián)的指定屬性匹配。在關(guān)鍵字前面插入 not 或 no 一詞，以便僅當選項不存在時才與包匹配。

　　flags ：供 TCP 用來基于已設(shè)置的 TCP 標志進行過濾。

　　icmp-type ：根據(jù) ICMP 類型進行過濾。僅當 proto 選項設(shè)置為 icmp 時才使用此關(guān)鍵字;如果使用 flags 選項，則不使用此關(guān)鍵字。

　　keep keep-options ：確定為包保留的信息?？捎玫?keep-options 包括 state 選項和 frags 選項。state 選項會保留有關(guān)會話的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 選項可保留有關(guān)包片段的信息，并將該信息應(yīng)用于后續(xù)片段。keep-options 允許匹配包通過，而不會查詢訪問控制列表。

　　head number ：為過濾規(guī)則創(chuàng)建一個新組，該組由數(shù)字 number 表示。

　　group number ：將規(guī)則添加到編號為 number 的組而不是缺省組。如果未指定其他組，則將所有過濾規(guī)則放置在組 0 中。

　　四、開始編寫規(guī)則

　　1.查看IPFilter包過濾

　　防火墻運行情況

　　Solaris 10 上IPFilter 的啟動和關(guān)閉是由 SMF 管理的,在Solaris 10 上工作的進程大多都交由SMF 管理，這和先前版本的Solaris 操作系統(tǒng)有很大的區(qū)別。Solaris IP 過濾防火墻隨 Solaris 操作系統(tǒng)一起安裝。但是，缺省情況下不啟用包過濾。使用以下過程可以激活 Solaris IP 過濾器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有兩個服務(wù)ipfilter 和pfil，默認情況下ipfilter 是關(guān)閉的，而pfil 是打開的。

　　# svcs -a |grep network |egrep "pfil|ipf"

　　disabled 7:17:43 svc:/network/ipfilter:default

　　online 7:17:46 svc:/network/pfil:default

　　2.查看網(wǎng)卡接口

　　lo0: flags=2001000849 mtu 8232 index 1

　　inet 127.0.0.1 netmask ff000000

　　pcn0: flags=1000843 mtu 1500 index 2

　　inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255

　　可以看到網(wǎng)卡接口是pcn0。

　　3.修改/etc/ipf/pfil.ap 文件

　　此文件包含主機上網(wǎng)絡(luò)接口卡 (network interface card, NIC) 的名稱。缺省情況下，這些名稱已被注釋掉。對傳輸要過濾的網(wǎng)絡(luò)通信流量的設(shè)備名稱取消注釋。

　　4. 編輯防火墻規(guī)則

　　使服務(wù)器對ping沒有反應(yīng) ，防止你的服務(wù)器對ping請求做出反應(yīng)，對于網(wǎng)絡(luò)安全很有好處，因為沒人能夠ping你的服務(wù)器并得到任何反應(yīng)。TCP/IP協(xié)議本身有很多的弱點，黑客可以利用一些技術(shù)，把傳輸正常數(shù)據(jù)包的通道用來偷偷地傳送數(shù)據(jù)。使你的系統(tǒng)對ping請求沒有反應(yīng)可以把這個危險減到最小。修改配置文件/etc/ipf/ipf.conf添加一行：

　　block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0

　　說明：IP 過濾協(xié)議的關(guān)鍵字有4種(icmp、tcp、udp、tcp/udp)，啟用對協(xié)議的控制就是在協(xié)議的關(guān)鍵字前加proto關(guān)鍵字。ICMP全稱Internet Control Message Protocol，中文名為因特網(wǎng)控制報文協(xié)議。它工作在OSI的網(wǎng)絡(luò)層，向數(shù)據(jù)通訊中的源主機報告錯誤。ICMP可以實現(xiàn)故障隔離和故障恢復(fù)。我們平時最常用的ICMP應(yīng)用就是通常被稱為Ping的操作。在使用ICMP協(xié)議控制的時候，可以使用icmp-type關(guān)鍵字來指定ICMP協(xié)議的類型。

　　所以把icmp-type設(shè)置為 0即可。

　　5. 啟動服務(wù)

　　使用命令：svcadm enable svc:/network/ipfilter:default

　　6.使 pfil.ap配置文件生效

　　autopush -f /etc/ipf/pfil.ap

　　說明：此步驟只需要做一次，以后更改防火墻規(guī)則就不需要再做。

　　7.重新引導(dǎo)計算機，使用命令：“init 6”。

　　8.使用命令再次查看IPFilter包過濾防火墻運行情況 。

　　四、IPFilter包過濾防火墻規(guī)則編寫方法

　　在創(chuàng)建IPFilter包過濾防火墻規(guī)則的第一步是與用戶咨詢確定一個可接受的服務(wù)列表。許多公司會有—個可接受的使用策略，該策略會控制哪些端口應(yīng)當可用和應(yīng)當賦予用戶啟動的服務(wù)的權(quán)限。在你確定了開放的流入端口和外出的端口需求之后，最好是編寫一條規(guī)則：首先拒絕全部數(shù)據(jù)包，然后編寫另外的規(guī)則：允許使用的端口。你還必須設(shè)置兩個方向啟用允許的服務(wù)。例如.用戶同時接收和發(fā)送電子郵件通常是必要的，于是你需要對sendmail(端口25)包括一條入站和出站規(guī)則。

　　1、方法1

　　要阻止從 IP 地址 192.168.1.0/16 傳入的流量，需要在規(guī)則列表中包括以下規(guī)則：

　　block in quick from 192.168.1.0/16 to any

　　下面的例子阻止來自b類網(wǎng)絡(luò)148.126.0.0的任何數(shù)據(jù)包：

　　block in quick from 148.126.0.0/16 to any