为Solaris服务器配置款安全的防火墙

《为Solaris服务器配置款安全的防火墙》由会员分享，可在线阅读，更多相关《为Solaris服务器配置款安全的防火墙（18页珍藏版）》请在装配图网上搜索。

1、为Solaris服务器配备款安全的防火墙作者： 曹江华(原创)连接网上的服务器系统，不管是什么状况都要明确一点：网络是不安全的。因此，虽然创立一种防火墙并不能保证系统100安全，但却是绝对必要的。老式意义上的防火墙技术分为三大类，“包过滤”（Packet Filtering）、“应用代理”（Application Proxy）和“状态检测”（Stateful Inspection），无论一种防火墙的实现过程多么复杂，归根结底都是在这三种技术的基本上进行功能扩展的。 一、Solaris包过滤防火墙IPFilter简介IPFilter是目前比较流行的包过滤防火墙软件，它目前拥有多种平台的版本，安装

2、配备相对比较简朴。可以用它来构建功能强大的软件防火墙，下面就其的安装以及某些典型的配备作一下阐明。IPFfilter 的作者是 Darren Reed 先生，她是一位致力于开源软件开发的高档程序员，目前工作于 SUN 公司。IP Filter 软件可以提供网络地址转换（NAT）或者防火墙服务。简朴的说就是一种软件的防火墙，并且这个软件是开源免费的。目前的版本是4.1.15，目前支持 FreeBSD、NetBSD、Solaris、AIX 等 窗体顶端窗体底端平台。IPFilter是它是一种在引导时配备的可加载到内核的模块。这使得它十分安全，由于已不能由顾客应用程序篡改。我用Solaris10 来

3、作为实验的平台简介一下IP Filter。IP Filter过滤器会执行一系列环节。图1阐明解决包的环节，以及过滤如何与 TCP/IP 合同栈集成在一起。图1 服务器的解决数据包的环节数据包在Solaris内的解决顺序涉及下列环节：1.网络地址转换 (Network Address Translation, NAT) ：将专用 IP 地址转换为不同的公共地址，或者将多种专用地址的别名指定为单个公共地址。当组织具有既有的网络并需要访问 Internet 时，通过 NAT，该组织可解决 IP 地址用尽的问题。2.IP 记帐 ：可以分别设立输入规则和输出规则，从而记录所通过的字节数。每次与规则匹配时

4、，都会将包的字节计数添加到该规则中，并容许收集层叠记录信息。3.片段高速缓存检查 ：如果目前流量中的下一种包是片段，并且容许前一种包通过，则也将容许包片段通过，从而绕过状态表和规则检查。4.包状态检查 ：如果规则中涉及 keep state，则会自动传递或制止指定会话中的所有包，具体取决于规则指明了 pass 还是 block。5. 防火墙检查 ：可以分别设立输入规则和输出规则，拟定与否容许包通过 Solaris IP 过滤器传入内核的 TCP/IP 例程或者传出到网络上。6.组：通过度组可以按树的形式编写规则集。7.功能 ：功能是指要执行的操作。也许的功能涉及 block、pass、lite

5、ral 和 send ICMP response。8.迅速路由 ：迅速路由批示 Solaris IP 过滤器不将包传入 UNIX IP 栈进行路由，从而导致 TTL 递减。9. IP 验证 ：已验证的包仅通过防火墙循环一次来避免双重解决。二、学会编写IPFfilter 规则 典型的防火墙设立有两个网卡：一种流入，一种流出。IPFfilter读取流入和流出数据包的报头，将它们与规则集（Ruleset）相比较，将可接受的数据包从一种网卡转发至另一种网卡，对被回绝的数据包，可以丢弃或按照所定义的方式来解决。 通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定合同类型的信息包要做些什么的指令

6、，规则控制信息包的过滤。通过使用IPFfilter系统提供的特殊命令建立这些规则，并将其添加到内核空间特定信息包过滤表内的链中。有关添加、清除、编辑规则的命令，一般语法如下： action in|out option keyword, keyword. 参数阐明：1.每个规则都以操作开头。如果包与规则匹配，则 Solaris IP 过滤器将操作应用于该包。如下列表涉及应用于包的常用操作。block ：制止包通过过滤器。pass ：容许包通过过滤器。log ：记录包但不拟定是制止包还是传递包。使用 ipmon 命令可查看日记。count ：将包涉及在过滤器记录信息中。使用 ipfstat 命令可

7、查看记录信息。skip number ：使过滤器跳过 number 个过滤规则。auth ：祈求由验证包信息的顾客程序执行包验证。该程序会拟定是传递包还是制止包。preauth ：祈求过滤器查看预先验证的列表以拟定如何解决包。2.操作背面的下一种单词必须是 in 或 out。您的选择将拟定是将包过滤规则应用于传入包还是应用于传出包。3.接下来，可以从选项列表中进行选择。如果使用多种选项，则这些选项必须采用此处显示的顺序。log ：如果规则是最后一种匹配规则，则记录包。使用 ipmon 命令可查看日记。quick ：如果存在匹配的包，则执行涉及 quick 选项的规则。所有进一步的规则检查都将停

8、止。on interface-name ：仅当包移入或移出指定接口时才应用规则。dup-to interface-name：复制包并将 interface-name 上的副本向外发送到选择指定的 IP 地址。to interface-name ：将包移动到 interface-name 上的外发队列。4.指定选项后，可以从拟定包与否与规则匹配的各核心字中进行选择。必须按此处显示的顺序使用如下核心字。tos ：基于表达为十六进制或十进制整数的服务类型值，对包进行过滤。ttl ：基于包的生存时间值与包匹配。在包中存储的生存时间值指明了包在被废弃之前可在网络中存在的时间长度。proto ：与特定合同

9、匹配。可以使用在 /etc/protocols 文献中指定的任何合同名称，或者使用十进制数来表达合同。核心字 tcp/udp 可以用于与 TCP 包或 UDP 包匹配。from/to/all/any ：与如下任一项或所有项匹配：源 IP 地址、目的 IP 地址和端标语。all 核心字用于接受来自所有源和发往所有目的的包。with ：与和包关联的指定属性匹配。在核心字前面插入 not 或 no 一词，以便仅当选项不存在时才与包匹配。flags ：供 TCP 用来基于已设立的 TCP 标志进行过滤。icmp-type ：根据 ICMP 类型进行过滤。仅当 proto 选项设立为 icmp 时才使用

10、此核心字；如果使用 flags 选项，则不使用此核心字。keep keep-options ：拟定为包保存的信息。可用的 keep-options 涉及 state 选项和 frags 选项。state 选项会保存有关会话的信息，并可以保存在 TCP、UDP 和 ICMP 包中。frags 选项可保存有关包片段的信息，并将该信息应用于后续片段。keep-options 容许匹配包通过，而不会查询访问控制列表。head number ：为过滤规则创立一种新组，该组由数字 number 表达。group number ：将规则添加到编号为 number 的组而不是缺省组。如果未指定其她组，则将所有

11、过滤规则放置在组 0 中。四、开始编写规则1.查看IPFilter包过滤防火墙运营状况Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理，这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是，缺省状况下不启用包过滤。使用如下过程可以激活 Solaris IP 过滤器。使用命令“svcs-a|grepnetwork|egreppfil|ipf”查看。IP Filter 有两个服务ipfilter 和pfil，默认状况下ipfilter 是关

12、闭的，而pfil 是打开的。# svcs -a |grep network |egrep pfil|ipfdisabled 7:17:43 svc:/network/ipfilter:defaultonline 7:17:46 svc:/network/pfil:default 2.查看网卡接口lo0: flags= mtu 8232 index 1 inet 127.0.0.1 netmask ff000000pcn0: flags=1000843 mtu 1500 index 2 inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255

13、 可以看到网卡接口是pcn0。3.修改/etc/ipf/pfil.ap 文献此文献涉及主机上网络接口卡 (network interface card, NIC) 的名称。缺省状况下，这些名称已被注释掉。对传播要过滤的网络通信流量的设备名称取消注释。编辑配备文献修改为如下内容：图2 配备文献修改为如下内容4. 编辑防火墙规则 使服务器对ping没有反映 ，避免你的服务器对ping祈求做出反映，对于网络安全很有好处，由于没人可以ping你的服务器并得到任何反映。TCP/IP合同自身有诸多的弱点，黑客可以运用某些技术，把传播正常数据包的通道用来偷偷地传送数据。使你的系统对ping祈求没有反映可以把

14、这个危险减到最小。修改配备文献/etc/ipf/ipf.conf添加一行：blockoutquickprotoicmpfromanyto192.168.0.2/24icmp-type0 如图 3图 3 配备文献/etc/ipf/ipf.conf添加一行阐明：IP 过滤合同的核心字有4种(icmp、tcp、udp、tcp/udp)，启用对合同的控制就是在合同的核心字前加proto核心字。ICMP全称Internet Control Message Protocol，中文名为因特网控制报文合同。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用

15、的ICMP应用就是一般被称为Ping的操作。在使用ICMP合同控制的时候，可以使用icmp-type核心字来指定ICMP合同的类型，类型的值如下几种见表1。表1 ICMP合同内容简介类型 名称 备注 0 回波应答(Echo Reply) 不容许ping命令回应 8 回波(Echo) 容许ping命令回应 9 路由器公示(Router dvertisement) 10 路由器选择(Router Selection) 因此把icmp-type设立为 0即可。 5. 启动服务使用命令：svcadmenablesvc:/network/ipfilter:default6.使 pfil.ap配备文献生效

16、autopush-f/etc/ipf/pfil.ap阐明：此环节只需要做一次，后来更改防火墙规则就不需要再做。7.重新引导计算机，使用命令：“init 6”。8.使用命令再次查看IPFilter包过滤防火墙运营状况 。图四使用命令再次查看IPFilter包过滤防火墙运营四、IPFilter包过滤防火墙规则编写措施 在创立IPFilter包过滤防火墙规则的第一步是与顾客征询拟定一种可接受的服务列表。许多公司会有个可接受的使用方略，该方略会控制哪些端口应当可用和应当赋予顾客启动的服务的权限。在你拟定了开放的流入端口和外出的端口需求之后，最佳是编写一条规则：一方面回绝所有数据包，然后编写此外的规则：

17、容许使用的端口。你还必须设立两个方向启用容许的服务。例如顾客同步接受和发送电子邮件一般是必要的，于是你需要对sendmail(端口25)涉及一条入站和出站规则。1、措施1要制止从 IP 地址 192.168.1.0/16 传入的流量，需要在规则列表中涉及如下规则：block in quick from 192.168.1.0/16 to any下面的例子制止来自b类网络1481260.0的任何数据包：block in quick from 1481260.0/16 to any2、措施2通俗来说就是：严禁是block ，通过是pass ，进入流量是in，出去流量是out 。然后配合起来使用就行

18、了，再加上可以指定在哪个网卡上使用，也就是再加个onpcn0，此外尚有一种核心字就是all，这是匹配(严禁或者通过)所有的包。基于IP地址和防火墙接口的基本过滤方式：block in quick on hme0 from 192.168.0.14 to anyblock in quick on hme0 from 132.16.0.0/16 to anypass in all应用此规则将制止通过hme0口来自于192.168.0.14和132.16.0.0网段的所有包的进入，但是容许其她网段的包进入到防火墙，同步对出去的包不作任何限制。3、措施3：基于IP地址和防火墙接口的完全双向过滤方式：b

19、lock out quick on hme0 from any to 192.168.0.0/24block out quick on hme0 from any to 172.16.0.0/16block in quick on hme0 from 192.168.0.0/24 to anyblock in quick on hme0 from 172.16.0.0/16 to anypass in all应用此规则后将制止通过hme0口来自于192.168.0.0和172.16.0.0网段的所有包的进入和外出，但是容许其她网段的包进入到防火墙，同步对出去的包不作任何限制。4、措施4使用“p

20、ort”核心字对TCP和UDP的端口进行过滤：block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23pass in all应用此规则后将制止从192.168.0.0网段通过8080和23端口对防火墙内的数据通信

21、，但是容许其她网段的包进入到防火墙，同步对出去的包不作任何限制。5、措施5quick核心字使用提示：如果你的防火墙有100条规则，最有用的也许只有前10条，那么quick是非常有必要的。 pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet block in log all from any to any 如果你但愿严禁服务器的所有包而只但愿一种IP只可以telnet的话，那么就可以加上quick核心字，quick的作用是当包符合这条规则后来，就不再向下进行遍历了。如果没有quick的状况下，每一种包都要遍历

22、整个规则表，这样的开销是十分大的，但是如果滥用quick也是不明智的，由于它毕竟不会产生日记。6、管理 Solaris IP 过滤器的 NAT 规则查看活动的 NAT 规则。# ipnat -l删除目前的 NAT 规则。# ipnat -C将规则附加到 NAT 规则在命令行上使用 ipnat -f - 命令，将规则附加到 NAT 规则集。# echo map dmfe0 192.168.1.0/24 - 20.20.20.1/32 | ipnat -f -五、关闭 Solaris IP 过滤防火墙的措施 有些状况也许但愿取消激活或禁用包过滤，例如要进行测试此外在觉得系统问题是由 Solaris

23、 IP 过滤器所导致时，对这些问题进行疑难解答。一方面成为管理员权限，禁用包过滤，并容许所有包传入网络的命令：# ipf D取消激活 Solaris IP 过滤器规则措施：从内核中删除活动规则集。# ipf -Fa此命令取消激活所有的包过滤规则。删除传入包的过滤规则。# ipf -Fi此命令取消激活传入包的包过滤规则。删除传出包的过滤规则。# ipf -Fo此命令取消激活传出包的包过滤规则。六、Solaris IP 过滤防火墙的监控和管理 1.查看包过滤规则集启用 Solaris IP 过滤器后，活动和非活动的包过滤规则集都可以驻留在内核中。活动规则集拟定正在对传入包和传出包执行的过滤。非活动

24、规则集也存储规则，但不会使用这些规则，除非使非活动规则集成为活动规则集。可以管理、查看和修改活动和非活动的包过滤规则集。查看装入到内核中的活动包过滤规则集，使用命令：ipfstat io 。 如果但愿查看非活动的包过滤规则集。可以同使用命令：# ipfstat -I io2. 激活不同的包过滤规则集如下示例显示如何将一种包过滤规则集替代为另一种包过滤规则集。# ipf -Fa -f filename活动规则集将从内核中删除。filename 文献中的规则将成为活动规则集。3. 将规则附加到活动的包过滤规则集如下示例显示如何从命令行将规则添加到活动的包过滤规则集。# ipfstat -ioemp

25、ty list for ipfilter(out)block in log quick from 10.0.0.0/8 to any# echo block in on dmfe1 proto tcp from 10.1.1.1/32 to any | ipf -f -# ipfstat -ioempty list for ipfilter(out)block in log quick from 10.0.0.0/8 to anyblock in on dmfe1 proto tcp from 10.1.1.1/32 to any4、监控整个IP管理器防火墙查看状态表使用没有参数的ipfsta

26、t命令即可，图5 是整个IP过滤器防火墙查看状态表的输出。图5 整个IP过滤器防火墙查看状态表的输出此外可以使用命令：“ipfstat s” 查看 Solaris IP 过滤器的状态记录，使用命令：“ipnat -s” 查看 Solaris IP 过滤器的NAT状态记录。使用 ippool -s 命令查看地址池记录。七、查看 Solaris IPFilter包过滤防火墙的日记文献 使用命令如下：ipmon o a S|N|I filename参数阐明：S ：显示状态日记文献。N：显示 NAT 日记文献。I：显示常规 IP 日记文献。-a：显示所有的状态日记文献、NAT 日记文献和常规日记文献。

27、清除包日记文献使用命令：# ipmon -F 八、使用fwbuilder管理防火墙事实上，如果读者们不是很熟悉Solaris中IPFilter命令的使用方式，在这里简介一种不错的图形管理程序，就是fwbuilder ()，可以从。Fwbuilder 是一种相称有弹性的防火墙图形接口，它不仅可以产生IPFilter 的规则，也可以产生 Cisco 的 FWSM (FireWall Service Module ，用于 Cisco 高阶第三层互换机 6500 及 7600 系列 ) 及 PIX 的规则，更有趣的是，每次我们变化某台机器的设定后，它会使用 RCS 来做版本控管，相称实用。fwbuil

28、der所增援的防火牆有：FWSM、ipfilter、ipfw、iptables、PF、PIX。1、安装qt库Qt 是一种跨平台的 C+ 图形顾客界面库，由挪威 TrollTech 公司出品，目前涉及Qt， 基于 Framebuffer 的 Qt Embedded，迅速开发工具 Qt Designer，国际 窗体顶端窗体底端具 Qt Linguist 等部分 Qt 支持所有 Unix 系统，固然也涉及 Solaris，还支持 WinNT/Win2k/ 平台。 #wget # pkgadd d qt-3.3.4-sol10-intel-local.pkg2、安装openssl#wget #pkga

29、dd d openssl-0.9.7g-sol10-intel-local.pkg3、安装snmp简朴网络管理合同（SNMP）是目前TCP/IP网络中应用最为广泛的网络管理合同。1990年5月，RFC 1157定义了SNMP（simple network management protocol）的第一种版本SNMPv1。RFC 1157和另一种有关管理信息的文献RFC 1155一起，提供了一种监控和管理计算机网络的系统措施。因此，SNMP得到了广泛应用，并成为网络管理的事实上的原则。大多数网络管理系统和平台都是基于SNMP的。#wget #pkgadd d netsnmp-5.1.4-sol1

30、0-x86-local.pkg4、安装gtk+GTK+ 是一种图形顾客界面（GUI）工具包。也就是说，它是一种库（或者，事实上是若干个密切有关的库的集合），它支持创立基于 GUI 的应用程序。可以把 GTK+ 想像成一种工具包，从这个工具包中可以找到用来创立 GUI 的许多已经准备好的构造块。最初，GTK+ 是作为另一种出名的开放源码项目 GNU Image Manipulation Program (GIMP) 的副产品而创立的。在开发初期的 GIMP 版本时，Peter Mattis 和 Spencer Kimball 创立了 GTK（它代表 GIMP Toolkit），作为 Motif

31、工具包的替代，后者在那个时候不是免费的。（当这个工具包获得了面向对象特性和可扩展性之后，才在名称背面加上了一种加号。）这差不多已经 10 年过去了。今天，在 GTK+ 的最新版本 2.8 版上，仍然在进行许多活动，同步，GIMP 无疑仍然是使用 GTK+ 的最出名的程序之一，但是目前它已经不是惟一的使用 GTK+ 的程序了。已经为 GTK+ 编写了成百上千的应用程序，并且至少有两个重要的桌面环境（Xfce 和 GNOME）用 GTK+ 为顾客提供完整的工作环境。#wget +-1.2.10-sol10-intel-local.gz #pkgadd d gtk+-1.2.10-sol10-int

32、el-local.pkg5、安装fwbuilder如果以上的库已经安装，就可以执行下面的命令来安装： #wget #wget #pkgadd d libfwbuilder-2.0.10-sol10-x86-local.pkg#pkgadd d fwbuilder-2.0.10_build-657-i386.pkg此外也可以使用在线安装方式部署fwbuilder，命令如下：#/opt/csw/bin/pkg-get -i fwbuilder。6、使用fwbuilder为了使用以便在桌面建立一种启动器，单击鼠标右键选择创立启动器。如图6 。在命令栏目输入：/opt/csw/bin/fwbuilde

33、r即可。图6 创立fwbuilder启动器桌面背景启动器可以启动应用程序，也可以链接到某个特定的文献、文献夹、FTP 站点或 URI 位置。要在桌面背景上添加启动器，请执行如下环节：右击桌面背景，然后选择“创立启动器”。在“创立启动器”对话框中键入规定的信息。为该启动器输入的命令就是在使用桌面背景对象时执行的命令。 通过任何菜单当您在任何菜单中右击启动器时，即可打启动动器的弹出菜单。您可以使用该弹出菜单向面板添加该启动器。也可以将菜单、启动器和面板应用程序从菜单拖动到面板中。通过文献管理器每个启动器都相应一种 .desktop 文献。您可以将 .desktop 文献拖动到面板上，从而将该启动器添加到面板上。点击启动器即可启动fwbuilder，如图7。图7 fwbuilder的使用界面总结：尽管IPFilter技术十分容易理解，并且对于在网络传播上设立具体的限制特别有用， 般而言，配备IPFilter防火墙存在某些缺陷，由于防火墙配备波及编写规则，常用规则语言的话法一般对于初学者（特别是Windows 初学者）难于理解，这样数据包过滤也许难于对的配备。虽然，包过滤防火墙有如上所述的缺陷，但是在管理良好的小规模网络上，它可以正常的发挥其作用。一般状况下，人们不单独使用包过滤防火墙，而是将它和其她设备（如堡垒主机等）联合使用。