为 Solaris 服务器配置款安全的防火墙作者: 曹江华(原创) 连接网上的服务器系统,不管是什么情况都要明确一点:网络是不安全的。因此,虽然创建一个防火墙并不能保证系统 100%安全,但却是绝对必要的。传统意义上的防火墙技术分为三大类,“包过滤”( Packet Filtering)、“应用代理”( Application Proxy)和“状态检测”(Stateful Inspection),无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。 一、Solaris 包过滤防火墙 IPFilter 简介 IPFilter 是目前比较流行的包过滤防火墙软件,它目前拥有多种平台的版本,安装配置相对比较简单。可以用它来构建功能强大的软件防火墙,下面就其的安装以及一些典型的配置作一下说明。IPFfilter 的作者是 Darren Reed 先生,他是一位致力于开源软件开发的高级程序员,目前工作于 SUN 公司。IP Filter 软件可以提供网络地址转换(NAT)或者防火墙服务。简单的说就是一 个 软 件 的 防 火 墙 , 并 且 这 个 软 件 是 开 源 免 费 的 。 当 前 的 版 本 是 4.1.15 , 目 前 支 持 FreeBSD、NetBSD、Solaris、AIX 等 平台。IPFilter 是它是一个在引导时配置的可加载到内核的模块。这使得它十分安全,因为已不能由用户应用程序篡改。我用 Solaris10 来作为实验的平台介绍一下 IP Filter。IP Filter 过滤器会执行一系列步骤。图 1 说明处理包的步骤,以及过滤如何与 TCP/IP 协议栈集成在一起。图 1 服务器的处理数据包的步骤 数据包在 Solaris 内的处理顺序包括下列步骤: 1. 网络地址转换 (Network Address Translation, NAT) :将专用 IP 地址转换为不同的公共地址,或者将多个专用地址的别名指定为单个公共地址。当组织具有现有的网络并需要访问 Internet 时,通过 NAT,该组织可解决 IP 地址用尽的问题。 2. IP 记帐 :可以分别设置输入规则和输出规则,从而记录所通过的字节数。每次与规则匹配时,都会将包的字节计数添加到该规则中,并允许收集层叠统计信息。 3. 片段高速缓存检查 :假如当前流量中的下一个包是片段,而且允许前一个包通过,则也将允许包片段通过,从而绕过状态表和规则检查。 4. 包状态检查 :假如规则中包括 keep state,则会自动传递或阻止指定会话中的所有包,具体取决于规则指明了 pass 还是 block。 5. 防火墙检查 :可以...