为Solaris服务器配置款安全的防火墙

　　on interface-name ：仅当包移入或移出指定接口时才应用规则。

　　dup-to interface-name：复制包并将 interface-name 上的副本向外发送到选择指定的 IP 地址。

　　to interface-name ：将包移动到 interface-name 上的外发队列。

　　4. 指定选项后，可以从确定包是否与规则匹配的各关键字中进行选择。必须按此处显示的顺序使用以下关键字。

　　tos ：基于表示为十六进制或十进制整数的服务类型值，对包进行过滤。

　　ttl ：基于包的生存时间值与包匹配。在包中存储的生存时间值指明了包在被废弃之前可在网络中存在的时间长度。

　　proto ：与特定协议匹配。可以使用在 /etc/protocols 文件中指定的任何协议名称，或者使用十进制数来表示协议。关键字 tcp/udp 可以用于与 TCP 包或 UDP 包匹配。

　　from/to/all/any ：与以下任一项或所有项匹配：源 IP 地址、目标 IP 地址和端口号。all 关键字用于接受来自所有源和发往所有目标的包。

　　with ：与和包关联的指定属性匹配。在关键字前面插入 not 或 no 一词，以便仅当选项不存在时才与包匹配。

　　flags ：供 TCP 用来基于已设置的 TCP 标志进行过滤。

　　icmp-type ：根据 ICMP 类型进行过滤。仅当 proto 选项设置为 icmp 时才使用此关键字；如果使用 flags 选项，则不使用此关键字。

　　keep keep-options ：确定为包保留的信息。可用的 keep-options 包括 state 选项和 frags 选项。state 选项会保留有关会话的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 选项可保留有关包片段的信息，并将该信息应用于后续片段。keep-options 允许匹配包通过，而不会查询访问控制列表。

　　head number ：为过滤规则创建一个新组，该组由数字 number 表示。

　　group number ：将规则添加到编号为 number 的组而不是缺省组。如果未指定其他组，则将所有过滤规则放置在组 0 中。

　　四、开始编写规则

　　1.查看IPFilter包过滤

　　防火墙运行情况

　　Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理，这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是，缺省情况下不启用包过滤。使用以下过程可以激活 Solaris IP 过滤器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。IP Filter 有两个服务ipfilter 和pfil，默认情况下ipfilter 是关闭的，而pfil 是打开的。

# svcs -a |grep network |egrep "pfil|ipf"
disabled 7:17:43 svc:/network/ipfilter:default
online 7:17:46 svc:/network/pfil:default

　　2.查看网卡接口

lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255

　　可以看到网卡接口是pcn0。

　　3.修改/etc/ipf/pfil.ap 文件

　　此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下，这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。编辑配置文件修改为如下内容：

图2 配置文件修改为如下内容

　　4. 编辑防火墙规则

　　使服务器对ping没有反应 ，防止你的服务器对ping请求做出反应，对于网络安全很有好处，因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点，黑客可以利用一些技术，把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改配置文件/etc/ipf/ipf.conf添加一行：

　　block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0

　　如图 3

图 3 配置文件/etc/ipf/ipf.conf添加一行

　　说明：IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp)，启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候，可以使用icmp-type关键字来指定ICMP协议的类型，类型的值以下几种见表1。

　　表1 ICMP协议内容简介

类型 名称 备注 0 回波应答(Echo Reply) 不允许ping命令回应 8 回波(Echo) 允许ping命令回应 9 路由器公告(Router dvertisement) 10 路由器选择(Router Selection)

文章整理：西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!