电脑技术学习

如何为Solaris服务器配置安全防火墙

dn001

  2. IP 记帐 :可以分别设置输入规则和输出规则,从而记录所通过的字节数。每次与规则匹配时,都会将包的字节计数添加到该规则中,并允许收集层叠统计信息。

  3. 片段高速缓存检查 :如果当前流量中的下一个包是片段,而且允许前一个包通过,则也将允许包片段通过,从而绕过状态表和规则检查。

  4. 包状态检查 :如果规则中包括 keep state,则会自动传递或阻止指定会话中的所有包,具体取决于规则指明了 pass 还是 block。

  5. 防火墙检查 :可以分别设置输入规则和输出规则,确定是否允许包通过 Solaris IP 过滤器传入内核的 TCP/IP 例程或者传出到网络上。

  6. 组:通过分组可以按树的形式编写规则集。

  7. 功能 :功能是指要执行的操作。可能的功能包括 block、pass、literal 和 send ICMP response。

  8. 快速路由 :快速路由指示 Solaris IP 过滤器不将包传入 Unix IP 栈进行路由,从而导致 TTL 递减。

  9. IP 验证 :已验证的包仅通过防火墙循环一次来防止双重处理。

  二、学会编写IPFfilter 规则

  典型的防火墙设置有两个网卡:一个流入,一个流出。IPFfilter读取流入和流出数据包的报头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被拒绝的数据包,可以丢弃或按照所定义的方式来处理。 通过向防火墙提供有关对来自某个源地址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过使用IPFfilter系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的链中。关于添加、去除、编辑规则的命令,一般语法如下:

  action [in|out] option keyWord, keyword...

标签: 防火墙