disabled    7:17:43 svc:/network/ipfilter:default
online   7:17:46 svc:/network/pfil:default

2.查看網(wǎng)卡接口

lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
     inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
       inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255

可以看到網(wǎng)卡接口是pcn0。

3.修改/etc/ipf/pfil.ap 文件

此文件包含主機(jī)上網(wǎng)絡(luò)接口卡 (network interface card, NIC) 的名稱。缺省情況下,這些名稱已被注釋掉。對傳輸要過濾的網(wǎng)絡(luò)通信流量的設(shè)備名稱取消注釋。

4. 編輯防火墻規(guī)則

使服務(wù)器對ping沒有反應(yīng) ,防止你的服務(wù)器對ping請求做出反應(yīng),對于網(wǎng)絡(luò)安全很有好處,因?yàn)闆]人能夠ping你的服務(wù)器并得到任何反應(yīng)。TCP/IP協(xié)議本身有很多的弱點(diǎn),黑客可以利用一些技術(shù),把傳輸正常數(shù)據(jù)包的通道用來偷偷地傳送數(shù)據(jù)。使你的系統(tǒng)對ping請求沒有反應(yīng)可以把這個(gè)危險(xiǎn)減到最小。修改配置文件/etc /ipf/ipf.conf添加一行:

block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0   

說明:IP 過濾協(xié)議的關(guān)鍵字有4種(icmp、tcp、udp、tcp/udp),啟用對協(xié)議的控制就是在協(xié)議的關(guān)鍵字前加proto關(guān)鍵字。ICMP全稱 Internet Control Message Protocol,中文名為因特網(wǎng)控制報(bào)文協(xié)議。它工作在OSI的網(wǎng)絡(luò)層,向數(shù)據(jù)通訊中的源主機(jī)報(bào)告錯(cuò)誤。ICMP可以實(shí)現(xiàn)故障隔離和故障恢復(fù)。我們平時(shí)最常用的ICMP應(yīng)用就是通常被稱為Ping的操作。在使用ICMP協(xié)議控制的時(shí)候,可以使用icmp-type關(guān)鍵字來指定ICMP協(xié)議的類型,類型的值以下幾種見表1。

表1 ICMP協(xié)議內(nèi)容簡介

類型        名稱                                             備注
0        回波應(yīng)答(Echo Reply)                     不允許ping命令回應(yīng)
8        回波(Echo)                                       允許ping命令回應(yīng)
9        路由器公告(Router dvertisement)    
10      路由器選擇(Router Selection)    

所以把icmp-type設(shè)置為 0即可。

5. 啟動(dòng)服務(wù)

使用命令:svcadm enable svc:/network/ipfilter:default

6. 使 pfil.ap配置文件生效

autopush -f /etc/ipf/pfil.ap

說明:此步驟只需要做一次,以后更改防火墻規(guī)則就不需要再做。

7. 重新引導(dǎo)計(jì)算機(jī),使用命令:“init 6”。

8. 使用命令再次查看IPFilter包過濾防火墻運(yùn)行情況 。四、IPFilter包過濾防火墻規(guī)則編寫方法

在創(chuàng)建IPFilter包過濾防火墻規(guī)則的第一步是與用戶咨詢確定一個(gè)可接受的服務(wù)列表。許多公司會(huì)有 —個(gè)可接受的使用策略,該策略會(huì)控制哪些端口應(yīng)當(dāng)可用和應(yīng)當(dāng)賦予用戶啟動(dòng)的服務(wù)的權(quán)限。在你確定了開放的流入端口和外出的端口需求之后,最好是編寫一條規(guī)則:首先拒絕全部數(shù)據(jù)包,然后編寫另外的規(guī)則:允許使用的端口。你還必須設(shè)置兩個(gè)方向啟用允許的服務(wù)。例如.用戶同時(shí)接收和發(fā)送電子郵件通常是必要的,于是你需要對sendmail(端口25)包括一條入站和出站規(guī)則。

1、方法1

要阻止從 IP 地址 192.168.1.0/16 傳入的流量,需要在規(guī)則列表中包括以下規(guī)則:

block in quick from 192.168.1.0/16 to any

下面的例子阻止來自b類網(wǎng)絡(luò)148.126.0.0的任何數(shù)據(jù)包:

block in quick from 148.126.0.0/16 to any

2、方法2

通俗來說就是:禁止是block ,通過是pass ,進(jìn)入流量是in,出去流量是out 。然后配合起來使用就行了,再加上可以指定在哪個(gè)網(wǎng)卡上使用,也就是再加個(gè)on pcn0,另外還有一個(gè)關(guān)鍵字就是all,這是匹配(禁止或者通過)所有的包?;贗P地址和防火墻接口的基本過濾方式:

block in quick on hme0 from 192.168.0.14 to any

block in quick on hme0 from 132.16.0.0/16 to any

pass in all

應(yīng)用此規(guī)則將阻止通過hme0口來自于192.168.0.14和132.16.0.0網(wǎng)段的所有包的進(jìn)入,但是允許其他網(wǎng)段的包進(jìn)入到防火墻,同時(shí)對出去的包不作任何限制。

3、方法3:基于IP地址和防火墻接口的完全雙向過濾方式:

block out quick on hme0 from any to 192.168.0.0/24

block out quick on hme0 from any to 172.16.0.0/16

block in quick on hme0 from 192.168.0.0/24 to any

block in quick on hme0 from 172.16.0.0/16 to any

pass in all

應(yīng)用此規(guī)則后將阻止通過hme0口來自于192.168.0.0和172.16.0.0網(wǎng)段的所有包的進(jìn)入和外出,但是允許其他網(wǎng)段的包進(jìn)入到防火墻,同時(shí)對出去的包不作任何限制。

4、方法4

使用“port”關(guān)鍵字對TCP和UDP的端口進(jìn)行過濾:

block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513

block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080

block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23

pass in all

應(yīng)用此規(guī)則后將阻止從192.168.0.0網(wǎng)段通過8080和23端口對防火墻內(nèi)的數(shù)據(jù)通信,但是允許其他網(wǎng)段的包進(jìn)入到防火墻,同時(shí)對出去的包不作任何限制。

5、方法5

quick關(guān)鍵字使用提示:假如你的防火墻有100條規(guī)則,最有用的可能只有前10條,那么quick是非常有必要的。

pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet

block in log all from any to any

假如你希望禁止服務(wù)器的所有包而只希望一個(gè)IP只能夠telnet的話,那么就可以加上quick關(guān)鍵字,quick的作用是當(dāng)包符合這條規(guī)則以后,就不再向下進(jìn)行遍歷了。如果沒有quick的情況下,每一個(gè)包都要遍歷整個(gè)規(guī)則表,這樣的開銷是十分大的,但是如果濫用quick也是不明智的,因?yàn)樗吘共粫?huì)產(chǎn)生日志。

6、管理 Solaris IP 過濾器的 NAT 規(guī)則

查看活動(dòng)的 NAT 規(guī)則。

# ipnat -l

刪除當(dāng)前的 NAT 規(guī)則。

# ipnat -C

將規(guī)則附加到 NAT 規(guī)則

在命令行上使用 ipnat -f – 命令,將規(guī)則附加到 NAT 規(guī)則集。

# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f –

五、關(guān)閉 Solaris IP 過濾防火墻的方法

有些情況可能希望取消激活或禁用包過濾,例如要進(jìn)行測試另外在認(rèn)為系統(tǒng)問題是由 Solaris IP 過濾器所導(dǎo)致時(shí),對這些問題進(jìn)行疑難解答。首先成為管理員權(quán)限,

禁用包過濾,并允許所有包傳入網(wǎng)絡(luò)的命令:

# ipf –D

取消激活 Solaris IP 過濾器規(guī)則方法:

從內(nèi)核中刪除活動(dòng)規(guī)則集。

# ipf -Fa

此命令取消激活所有的包過濾規(guī)則。

刪除傳入包的過濾規(guī)則。

# ipf -Fi

此命令取消激活傳入包的包過濾規(guī)則。

刪除傳出包的過濾規(guī)則。

# ipf -Fo

此命令取消激活傳出包的包過濾規(guī)則。六、Solaris IP 過濾防火墻的監(jiān)控和管理

1. 查看包過濾規(guī)則集

啟用 Solaris IP 過濾器后,活動(dòng)和非活動(dòng)的包過濾規(guī)則集都可以駐留在內(nèi)核中?;顒?dòng)規(guī)則集確定正在對傳入包和傳出包執(zhí)行的過濾。非活動(dòng)規(guī)則集也存儲(chǔ)規(guī)則,但不會(huì)使用這些規(guī)則,除非使非活動(dòng)規(guī)則集成為活動(dòng)規(guī)則集??梢怨芾?、查看和修改活動(dòng)和非活動(dòng)的包過濾規(guī)則集。查看裝入到內(nèi)核中的活動(dòng)包過濾規(guī)則集,使用命令:ipfstat –io 。

如果希望查看非活動(dòng)的包過濾規(guī)則集??梢酝褂妹睿?/p>

# ipfstat -I –io

2. 激活不同的包過濾規(guī)則集

以下示例顯示如何將一個(gè)包過濾規(guī)則集替換為另一個(gè)包過濾規(guī)則集。

# ipf -Fa -f filename

活動(dòng)規(guī)則集將從內(nèi)核中刪除。filename 文件中的規(guī)則將成為活動(dòng)規(guī)則集。

3. 將規(guī)則附加到活動(dòng)的包過濾規(guī)則集

以下示例顯示如何從命令行將規(guī)則添加到活動(dòng)的包過濾規(guī)則集。

# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f –
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
 
4. 監(jiān)控整個(gè)IP管理器防火墻查看狀態(tài)表

使用沒有參數(shù)的ipfstat命令即可,另外可以使用命令:“ipfstat -s” 查看 Solaris IP 過濾器的狀態(tài)統(tǒng)計(jì),使用命令:“ipnat -s” 查看 Solaris IP 過濾器的NAT狀態(tài)統(tǒng)計(jì)。使用 ippool -s 命令查看地址池統(tǒng)計(jì)。

七、查看 Solaris IPFilter包過濾防火墻的日志文件

使用命令如下:

ipmon –o -a [S|N|I] filename

參數(shù)說明:

S :顯示狀態(tài)日志文件。

N:顯示 NAT 日志文件。

I:顯示常規(guī) IP 日志文件。

-a:顯示所有的狀態(tài)日志文件、NAT 日志文件和常規(guī)日志文件。

清除包日志文件使用命令:

# ipmon -F
八、使用fwbuilder管理防火墻

事實(shí)上,如果讀者們不是很熟悉Solaris中IPFilter命令的使用方式,在這里介紹一個(gè)不錯(cuò)的圖形管理程序,就是fwbuilder (http://www.fwbuilder.org/),可以從http://www.fwbuilder.org/nightly_builds/取得讀者們所需要的版本或是原始碼。Fwbuilder 是一個(gè)相當(dāng)有彈性的防火墻圖形接口,它不僅可以產(chǎn)生IPFilter 的規(guī)則,也可以產(chǎn)生 Cisco 的 FWSM (FireWall Service Module ,用于 Cisco 高階第三層交換機(jī) 6500 及 7600 系列 ) 及 PIX 的規(guī)則,更有趣的是,每次我們改變某臺機(jī)器的設(shè)定后,它會(huì)使用 RCS 來做版本控管,相當(dāng)實(shí)用。fwbuilder所支援的防火?有:FWSM、ipfilter、ipfw、iptables、PF、PIX。

1、安裝qt庫

Qt 是一個(gè)跨平臺的 C++ 圖形用戶界面庫,由挪威 TrollTech 公司出品,目前包括Qt, 基于 Framebuffer 的 Qt Embedded,快速開發(fā)工具 Qt Designer,國際化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系統(tǒng),當(dāng)然也包括 Solaris,還支持 WinNT/Win2k/2003 平臺。

#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz

# pkgadd -d qt-3.3.4-sol10-intel-local.pkg

2、安裝openssl

#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz

#pkgadd -d openssl-0.9.7g-sol10-intel-local.pkg

3、安裝snmp

簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。1990年5 月,RFC 1157定義了SNMP(simple network management protocol)的第一個(gè)版本SNMPv1。RFC 1157和另一個(gè)關(guān)于管理信息的文件RFC 1155一起,提供了一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)方法。因此,SNMP得到了廣泛應(yīng)用,并成為網(wǎng)絡(luò)管理的事實(shí)上的標(biāo)準(zhǔn)。大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)和平臺都是基于SNMP的。

#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz

#pkgadd -d netsnmp-5.1.4-sol10-x86-local.pkg4、安裝gtk+

GTK+ 是一種圖形用戶界面(GUI)工具包。也就是說,它是一個(gè)庫(或者,實(shí)際上是若干個(gè)密切相關(guān)的庫的集合),它支持創(chuàng)建基于 GUI 的應(yīng)用程序??梢园?GTK+ 想像成一個(gè)工具包,從這個(gè)工具包中可以找到用來創(chuàng)建 GUI 的許多已經(jīng)準(zhǔn)備好的構(gòu)造塊。最初,GTK+ 是作為另一個(gè)著名的開放源碼項(xiàng)目 —— GNU Image Manipulation Program (GIMP) —— 的副產(chǎn)品而創(chuàng)建的。在開發(fā)早期的 GIMP 版本時(shí),Peter Mattis 和 Spencer Kimball 創(chuàng)建了 GTK(它代表 GIMP Toolkit),作為 Motif 工具包的替代,后者在那個(gè)時(shí)候不是免費(fèi)的。(當(dāng)這個(gè)工具包獲得了面向?qū)ο筇匦院涂蓴U(kuò)展性之后,才在名稱后面加上了一個(gè)加號。)這差不多已經(jīng) 10 年過去了。今天,在 GTK+ 的最新版本 —— 2.8 版上,仍然在進(jìn)行許多活動(dòng),同時(shí),GIMP 無疑仍然是使用 GTK+ 的最著名的程序之一,不過現(xiàn)在它已經(jīng)不是惟一的使用 GTK+ 的程序了。已經(jīng)為 GTK+ 編寫了成百上千的應(yīng)用程序,而且至少有兩個(gè)主要的桌面環(huán)境(Xfce 和 GNOME)用 GTK+ 為用戶提供完整的工作環(huán)境。

#wget http://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz

#pkgadd -d gtk+-1.2.10-sol10-intel-local.pkg

5、安裝fwbuilder

如果以上的庫已經(jīng)安裝,就可以執(zhí)行下面的命令來安裝:

#wget http://ma.yer.at/fwbuilder/pkg/fwbuilder-2.0.10_build-657-i386.pkg.tar.bz2

#wget http://mirrors.easynews.com/sunfreeware/i386/10/libfwbuilder-2.0.10-sol10-x86-local.gz

#pkgadd -d libfwbuilder-2.0.10-sol10-x86-local.pkg

#pkgadd -d fwbuilder-2.0.10_build-657-i386.pkg

另外也可以使用在線安裝方式部署fwbuilder,命令如下:

#/opt/csw/bin/pkg-get -i fwbuilder。

6、使用fwbuilder

為了使用方便在桌面建立一個(gè)啟動(dòng)器,單擊鼠標(biāo)右鍵選擇創(chuàng)建啟動(dòng)器。在命令欄目輸入:/opt/csw/bin/fwbuilder即可。

桌面背景啟動(dòng)器可以啟動(dòng)應(yīng)用程序,也可以鏈接到某個(gè)特定的文件、文件夾、FTP 站點(diǎn)或 URI 位置。要在桌面背景上添加啟動(dòng)器,請執(zhí)行以下步驟:右擊桌面背景,然后選擇“創(chuàng)建啟動(dòng)器”。在“創(chuàng)建啟動(dòng)器”對話框中鍵入要求的信息。為該啟動(dòng)器輸入的命令就是在使用桌面背景對象時(shí)執(zhí)行的命令。 通過任何菜單當(dāng)您在任何菜單中右擊啟動(dòng)器時(shí),即可打開啟動(dòng)器的彈出菜單。您可以使用該彈出菜單向面板添加該啟動(dòng)器。也可以將菜單、啟動(dòng)器和面板應(yīng)用程序從菜單拖動(dòng)到面板中。通過文件管理器每個(gè)啟動(dòng)器都對應(yīng)一個(gè) .desktop 文件。您可以將 .desktop 文件拖動(dòng)到面板上,從而將該啟動(dòng)器添加到面板上。點(diǎn)擊啟動(dòng)器即可啟動(dòng)fwbuilder

總結(jié):盡管IPFilter技術(shù)十分容易了解,并且對于在網(wǎng)絡(luò)傳輸上設(shè)置具體的限制特別有用,  —般而言,配置IPFilter防火墻存在一些缺點(diǎn),因?yàn)榉阑饓ε渲蒙婕熬帉懸?guī)則,常用規(guī)則語言的話法通常對于初學(xué)者(特別是Windows 初學(xué)者)難于理解,這樣數(shù)據(jù)包過濾可能難于正確配置。雖然,包過濾防火墻有如上所述的缺點(diǎn),但是在管理良好的小規(guī)模網(wǎng)絡(luò)上,它能夠正常的發(fā)揮其作用。一般情況下,人們不單獨(dú)使用包過濾防火墻,而是將它和其他設(shè)備(如堡壘主機(jī)等)聯(lián)合使用。

分享到

wangliang

相關(guān)推薦