资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
为Solaris服务器配置款安全的防火墙
11月15日08:25天极yesky
作者:曹江华(原创)
连接网上的服务器系统,不论是什么情况都要明确一点:网络是不安全的。 因此,虽然创立一个防火墙并不能保证系统100安全,但却是绝对必要的。传统意义上的防火墙技术分为三大类, ”包过滤”( Packet Fi ltering) 、 ”应用代理”(Appl ication Proxy)和”状态检测”(Stateful Inspection) ,无论一个防火墙的实现过程多么复杂,归根结底都是在这三种技术的基础上进行功能扩展的。
一、 Solaris包过滤防火墙IPFi lter简介
IPFi lter是当前比较流行的包过滤防火墙软件,它当前拥有多种平台的版本,安装配置相对比较简单。能够用它来构建功能强大的软件防火墙,下面就其的安装以及一些典型的配置作一下说明。 IPFfi lter的作者是Darren Reed先生,她是一位致力于开源软件开发的高级程序员,当前工作于SUN公司。 IP Fi lter软件能够提供网络地址转换(NAT)或者防火墙服务。简单的说就是一个软件的防火墙,而且这个软件是开源免费的。 当前的版本是4115,当前支持FreeBSD、 NetBSD、 Solaris、 AIX等
操作系统平台。 IPFi lter是它是一个在引导时配置的可加载到内核的模块。这使得它十分安全,因为已不能由用户应用程序篡改。我用Solaris10来作为实验的平台介绍一下IP Fi lter。 IP Fi lter过滤器会执行一系列步骤。图1说明处理包的步骤,以及过滤如何与TCP/IP协议栈集成在一起。
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
图1服务器的处理数据包的步骤
数据包在Solaris内的处理顺序包括下列步骤:
1网络地址转换(Network Address Translation,NAT) :将专用IP地址转换为不同的公共地址,或者将多个专用地址的别名指定为单个公共地址。 当组织具有现有的网络并需要访问Internet时,经过NAT,该组织可解决IP地址用尽的问题。
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
2 IP记帐:能够分别设置输入规则和输出规则,从而记录所经过的字节数。每次与规则匹配时,都会将包的字节计数添加到该规则中,并允许收集层叠统计信息。
3片段高速缓存检查:如果当前流量中的下一个包是片段,而且允许前一个包经过,则也将允许包片段经过,从而绕过状态表和规则检查。
4包状态检查:如果规则中包括keep state,则会自动传递或阻止指定会话中的所有包,具体取决于规则指明了pass还是block。
5防火墙检查:能够分别设置输入规则和输出规则,确定是否允许包经过Solaris IP 过滤器传入内核的TCP/IP例程或者传出到网络上。
6组:经过分组能够按树的形式编写规则集。
7功能:功能是指要执行的操作。可能的功能包括block、 pass、 l iteral和send ICMP response。
8快速路由:快速路由指示Solaris IP过滤器不将包传入UNIXIP栈进行路由,从而导致TT L递减。
9 IP验证:已验证的包仅经过防火墙循环一次来防止双重处理。
二、 学会编写IPFfi lter规则
典型的防火墙设置有两个网卡:一个流入,一个流出。 IPFfi lter读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,能够丢弃或按照所定义的方式来处理。 经过向防火墙提供有关对来自某个源地址、 到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。经过使用IPFfi lter系统提供的特殊命令建立这些规则,并将
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
其添加到内核空间特定信息包过滤表内的链中。关于添加、 去除、 编辑规则的命令,一般语法如下:action [in|out]option keyword, keyword
参数说明:
1每个规则都以操作开头。如果包与规则匹配,则Solaris IP过滤器将操作应用于该包。以下列表包括应用于包的常见操作。block:阻止包经过过滤器。pass:允许包经过过滤器。log:记录包但不确定是阻止包还是传递包。使用ipmon命令可查看日志。count :将包包括在过滤器统计信息中。使用ipfstat命令可查看统计信息。skip number:使过滤器跳过number个过滤规则。auth:请求由验证包信息的用户程序执行包验证。该程序会确定是传递包还是阻止包。preauth:请求过滤器查看预先验证的列表以确定如何处理包。
2操作后面的下一个单词必须是in或out。您的选择将确定是将包过滤规则应用于传入包还是应用于传出包。
3接下来,能够从选项列表中进行选择。如果使用多个选项,则这些选项必须采用此处显示的顺序。log:如果规则是最后一个匹配规则,则记录包。使用ipmon命令可查看日志。
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。quick:如果存在匹配的包,则执行包含quick选项的规则。所有进一步的规则检查都将停止。on interface-name:仅当包移入或移出指定接口时才应用规则。dup-to interface-name:复制包并将interface-name上的副本向外发送到选择指定的IP地址。to interface-name:将包移动到interface-name上的外发队列。
4指定选项后,能够从确定包是否与规则匹配的各关键字中进行选择。必须按此处显示的顺序使用以下关键字。tos:基于表示为十六进制或十进制整数的服务类型值,对包进行过滤。ttl :基于包的生存时间值与包匹配。在包中存储的生存时间值指明了包在被废弃之前可在网络中存在的时间长度。proto:与特定协议匹配。能够使用在/etc/protocols文件中指定的任何协议名称,或者使用十进制数来表示协议。关键字tcp/udp能够用于与TCP包或UDP包匹配。from/to/al l/any:与以下任一项或所有项匹配:源IP地址、 目标IP地址和端口号。al l关键字用于接受来自所有源和发往所有目标的包。with:与和包关联的指定属性匹配。在关键字前面插入not或no一词,以便仅当选项不存在时才与包匹配。flags:供TCP用来基于已设置的TCP标志进行过滤。icmp-type:根据ICMP类型进行过滤。仅当proto选项设置为icmp时才使用此关键字;如果使用flags选项,则不使用此关键字。
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。keep keep-options:确定为包保留的信息。可用的keep-options包括state选项和frags选项。 state选项会保留有关会话的信息,并能够保留在TCP、 UDP和ICMP包中。 frags选项可保留有关包片段的信息,并将该信息应用于后续片段。 keep-options 允许匹配包经过,而不会查询访问控制列表。head number:为过滤规则创立一个新组,该组由数字number表示。group number:将规则添加到编号为number的组而不是缺省组。如果未指定其它组,则将所有过滤规则放置在组0中。
四、 开始编写规则
1查看IPFi lter包过滤
防火墙运行情况
Solaris 10上IPFi lter的启动和关闭是由SMF管理的,在Solaris 10上工作的进程大多都交由SMF管理,这和先前版本的Solaris操作系统有很大的区别。 Solaris IP过滤防火墙随Solaris操作系统一起安装。可是,缺省情况下不启用包过滤。使用以下过程能够激活Solaris IP过滤器。使用命令”svcs -a |grep network|egrep"pfi l | ipf"”查看。 IP Fi lter有两个服务ipfi lter和pfi l ,默认情况下ipfi lter是关闭的,而pfi l是打开的。
#svcs-a|grep network|egrep"pfi l | ipf"disabled 7:17:43 svc:/network/ipfi lter:default onl ine 7:17:46 svc:/network/pfi l :default
2查看网卡接口lo0: flags=<UP,LOOPBACK,RUNNING,MULTICAST, IPv4,VIRTUAL>mtu 8232 index 1inet 127001 netmask ff000000pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST, IPv4>mtu 1500 index 2inet 101 1 8 netmask ff000000 broadcast 10255255255
能够看到网卡接口是pcn0。
3修改/etc/ipf/pfi l ap文件
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
此文件包含主机上网络接口卡(network interface card,NIC)的名称。缺省情况下,这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。编辑配置文件修改为如下内容:
图2配置文件修改为如下内容
4编辑防火墙规则
使服务器对ping没有反应,防止你的服务器对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器并得到任何反应。 TCP/IP协议本身有很多的弱点,黑客能够利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应能够把这个危险减到最小。修改配置文件/etc/ipf/ipf conf添加一行:
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。blockoutquickproto icmpfrom anyto 19216802/24 icmp-type0
如图3
图3配置文件/etc/ipf/ipf conf添加一行
说明: IP过滤协议的关键字有4种(icmp、 tcp、 udp、 tcp/udp),启用对协议的控制就是在协议的关键字前加proto关键字。 ICMP全称Internet Control Message Protocol ,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。 ICMP能够实现故障隔离和故障恢复。我们平时最常见的ICMP应用就是一般被称为Ping的操作。在使用ICMP协议控制的时候,能够使用icmp-type关键字来指定ICMP协议的类型,类型的值以下几种见表1。
表1 ICMP协议内容简介
类型 名称 备注
0 回波应答(Echo Reply) 不允许ping命令回应
8 回波(Echo) 允许ping命令回应
9 路由器公告(Router dvertisement)
10 路由器选择(Router
Selection)
因此把icmp-type设置为0即可。
资料内容仅供您学习参考如有不当或者侵权请联系改正或者删除。
5启动服务
使用命令:svcadm enable svc:/network/ipfi lter:default
6使pfi lap配置文件生效autopush -f/etc/ipf/pfi l ap
说明:此步骤只需要做一次,以后更改防火墙规则就不需要再做。
7重新引导计算机,使用命令: ”init6”。
8使用命令再次查看IPFi lter包过滤防火墙运行情况。
图四使用命令再次查看IPFi lter包过滤防火墙运行
四、 IPFi lter包过滤防火墙规则编写方法
在创立IPFi lter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略,该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后,最好是编写一条规则:首先拒绝全部数据包,然后编写另外的规则:允许使用的端口。你还必须设
全球领先的IDC服务商华纳云“美国服务器”正式发售啦~~~~此次上线的美国服务器包含美国云服务器、美国服务器、美国高防服务器以及美国高防云服务器。针对此次美国服务器新品上线,华纳云也推出了史无前例的超低活动力度。美国云服务器低至3折,1核1G5M低至24元/月,20G DDos防御的美国服务器低至688元/月,年付再送2个月,两年送4个月,三年送6个月,且永久续费同价,更多款高性价比配置供您选择。...
HostYun是一家成立于2008年的VPS主机品牌,原主机分享组织(hostshare.cn),商家以提供低端廉价VPS产品而广为人知,是小成本投入学习练手首选,主要提供基于XEN和KVM架构VPS主机,数据中心包括中国香港、日本、德国、韩国和美国的多个地区,大部分机房为国内直连或者CN2等优质线路。本月商家全场9折优惠码仍然有效,以KVM架构产品为例,优惠后韩国VPS月付13.5元起,日本东京...
官方网站:点击访问月神科技官网优惠码:美国优惠方案:CPU:E5-2696V2,机房:国人热衷的优质 CeraNetworks机房,优惠码:3wuZD43F 【过期时间:5.31,季付年付均可用】活动方案:1、美国机房:洛杉矶CN2-GIA,100%高性能核心:2核CPU内存:2GB硬盘:50GB流量:Unmilited端口:10Mbps架构:KVM折后价:15元/月、150元/年传送:购买链接洛...