连接网上的服务器系统，不管是什么情况都要明确一点：网络是不安全的。因此，虽然创建一个防火墙并不能保证系统100%安全，但却是绝对必要的。传统意义上的防火墙技术分为三大类，“包过滤（Packet Filtering）、“应用代理（Application Proxy）和“状态检测（Stateful Inspection），无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

　　一、Solaris包过滤防火墙IPFilter简介

　　IPFilter是目前比较流行的包过滤防火墙软件，它目前拥有多种平台的版本，安装配置相对比较简单。可以用它来构建功能强大的软件防火墙，下面就其的安装以及一些典型的配置作一下说明。IPFfilter 的作者是 Darren Reed 先生，他是一位致力于开源软件开发的高级程序员，目前工作于 SUN 公司。IP Filter 软件可以提供网络地址转换（NAT）或者防火墙服务。简单的说就是一个软件的防火墙，并且这个软件是开源免费的。当前的版本是4.1.15，目前支持 FreeBSD、NetBSD、Solaris、AIX 等操作系统平台。IPFilter是它是一个在引导时配置的可加载到内核的模块。这使得它十分安全，因为已不能由用户应用程序篡改。我用Solaris10 来作为实验的平台介绍一下IP Filter。IP Filter过滤器会执行一系列步骤。图1说明处理包的步骤，以及过滤如何与 TCP/IP 协议栈集成在一起。

　　图1 服务器的处理数据包的步骤

　　数据包在Solaris内的处理顺序包括下列步骤：

　　1. 网络地址转换 (Network Address Translation, NAT) ：将专用 IP 地址转换为不同的公共地址，或者将多个专用地址的别名指定为单个公共地址。当组织具有现有的网络并需要访问 Internet 时，通过 NAT，该组织可解决 IP 地址用尽的问题。

标签： 防火墙