2.查看網(wǎng)卡接口

lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
     inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
       inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255

可以看到網(wǎng)卡接口是pcn0。

3.修改/etc/ipf/pfil.ap 文件

此文件包含主機上網(wǎng)絡(luò)接口卡 (network interface card, NIC) 的名稱。缺省情況下，這些名稱已被注釋掉。對傳輸要過濾的網(wǎng)絡(luò)通信流量的設(shè)備名稱取消注釋。

4. 編輯防火墻規(guī)則

使服務(wù)器對ping沒有反應(yīng) ，防止你的服務(wù)器對ping請求做出反應(yīng)，對于網(wǎng)絡(luò)安全很有好處，因為沒人能夠ping你的服務(wù)器并得到任何反應(yīng)。TCP/IP協(xié)議本身有很多的弱點，黑客可以利用一些技術(shù)，把傳輸正常數(shù)據(jù)包的通道用來偷偷地傳送數(shù)據(jù)。使你的系統(tǒng)對ping請求沒有反應(yīng)可以把這個危險減到最小。修改配置文件/etc /ipf/ipf.conf添加一行：

block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0   

說明：IP 過濾協(xié)議的關(guān)鍵字有4種(icmp、tcp、udp、tcp/udp)，啟用對協(xié)議的控制就是在協(xié)議的關(guān)鍵字前加proto關(guān)鍵字。ICMP全稱 Internet Control Message Protocol，中文名為因特網(wǎng)控制報文協(xié)議。它工作在OSI的網(wǎng)絡(luò)層，向數(shù)據(jù)通訊中的源主機報告錯誤。ICMP可以實現(xiàn)故障隔離和故障恢復。我們平時最常用的ICMP應(yīng)用就是通常被稱為Ping的操作。在使用ICMP協(xié)議控制的時候，可以使用icmp-type關(guān)鍵字來指定ICMP協(xié)議的類型，類型的值以下幾種見表1。

表1 ICMP協(xié)議內(nèi)容簡介

類型        名稱                                             備注
0        回波應(yīng)答(Echo Reply)                     不允許ping命令回應(yīng)
8        回波(Echo)                                       允許ping命令回應(yīng)
9        路由器公告(Router dvertisement)    
10      路由器選擇(Router Selection)    

所以把icmp-type設(shè)置為 0即可。

5. 啟動服務(wù)

使用命令：svcadm enable svc:/network/ipfilter:default

6. 使 pfil.ap配置文件生效

autopush -f /etc/ipf/pfil.ap

說明：此步驟只需要做一次，以后更改防火墻規(guī)則就不需要再做。

7. 重新引導計算機，使用命令：“init 6”。

8. 使用命令再次查看IPFilter包過濾防火墻運行情況 。四、IPFilter包過濾防火墻規(guī)則編寫方法

在創(chuàng)建IPFilter包過濾防火墻規(guī)則的第一步是與用戶咨詢確定一個可接受的服務(wù)列表。許多公司會有 —個可接受的使用策略，該策略會控制哪些端口應(yīng)當可用和應(yīng)當賦予用戶啟動的服務(wù)的權(quán)限。在你確定了開放的流入端口和外出的端口需求之后，最好是編寫一條規(guī)則：首先拒絕全部數(shù)據(jù)包，然后編寫另外的規(guī)則：允許使用的端口。你還必須設(shè)置兩個方向啟用允許的服務(wù)。例如．用戶同時接收和發(fā)送電子郵件通常是必要的，于是你需要對sendmail(端口25)包括一條入站和出站規(guī)則。

1、方法1

要阻止從 IP 地址 192.168.1.0/16 傳入的流量，需要在規(guī)則列表中包括以下規(guī)則：

block in quick from 192.168.1.0/16 to any

下面的例子阻止來自b類網(wǎng)絡(luò)148．126．0.0的任何數(shù)據(jù)包：

block in quick from 148．126．0.0/16 to any

2、方法2

通俗來說就是：禁止是block ，通過是pass ，進入流量是in，出去流量是out 。然后配合起來使用就行了，再加上可以指定在哪個網(wǎng)卡上使用，也就是再加個on pcn0，另外還有一個關(guān)鍵字就是all，這是匹配(禁止或者通過)所有的包?；贗P地址和防火墻接口的基本過濾方式：

block in quick on hme0 from 192.168.0.14 to any

block in quick on hme0 from 132.16.0.0/16 to any

pass in all

應(yīng)用此規(guī)則將阻止通過hme0口來自于192.168.0.14和132.16.0.0網(wǎng)段的所有包的進入，但是允許其他網(wǎng)段的包進入到防火墻，同時對出去的包不作任何限制。

3、方法3：基于IP地址和防火墻接口的完全雙向過濾方式：

block out quick on hme0 from any to 192.168.0.0/24

block out quick on hme0 from any to 172.16.0.0/16

block in quick on hme0 from 192.168.0.0/24 to any

block in quick on hme0 from 172.16.0.0/16 to any

pass in all

應(yīng)用此規(guī)則后將阻止通過hme0口來自于192.168.0.0和172.16.0.0網(wǎng)段的所有包的進入和外出，但是允許其他網(wǎng)段的包進入到防火墻，同時對出去的包不作任何限制。

4、方法4

使用“port”關(guān)鍵字對TCP和UDP的端口進行過濾：

block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513

block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080

block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23

pass in all

應(yīng)用此規(guī)則后將阻止從192.168.0.0網(wǎng)段通過8080和23端口對防火墻內(nèi)的數(shù)據(jù)通信，但是允許其他網(wǎng)段的包進入到防火墻，同時對出去的包不作任何限制。

5、方法5

quick關(guān)鍵字使用提示：假如你的防火墻有100條規(guī)則，最有用的可能只有前10條，那么quick是非常有必要的。

pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet

block in log all from any to any

假如你希望禁止服務(wù)器的所有包而只希望一個IP只能夠telnet的話，那么就可以加上quick關(guān)鍵字，quick的作用是當包符合這條規(guī)則以后，就不再向下進行遍歷了。如果沒有quick的情況下，每一個包都要遍歷整個規(guī)則表，這樣的開銷是十分大的，但是如果濫用quick也是不明智的，因為它畢竟不會產(chǎn)生日志。

6、管理 Solaris IP 過濾器的 NAT 規(guī)則

查看活動的 NAT 規(guī)則。

# ipnat -l

刪除當前的 NAT 規(guī)則。

# ipnat -C

將規(guī)則附加到 NAT 規(guī)則

在命令行上使用 ipnat -f – 命令，將規(guī)則附加到 NAT 規(guī)則集。

# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f –

五、關(guān)閉 Solaris IP 過濾防火墻的方法

有些情況可能希望取消激活或禁用包過濾，例如要進行測試另外在認為系統(tǒng)問題是由 Solaris IP 過濾器所導致時，對這些問題進行疑難解答。首先成為管理員權(quán)限，

禁用包過濾，并允許所有包傳入網(wǎng)絡(luò)的命令：

# ipf –D

取消激活 Solaris IP 過濾器規(guī)則方法：

從內(nèi)核中刪除活動規(guī)則集。

# ipf -Fa

此命令取消激活所有的包過濾規(guī)則。

刪除傳入包的過濾規(guī)則。

# ipf -Fi

此命令取消激活傳入包的包過濾規(guī)則。

刪除傳出包的過濾規(guī)則。

# ipf -Fo

此命令取消激活傳出包的包過濾規(guī)則。六、Solaris IP 過濾防火墻的監(jiān)控和管理

1. 查看包過濾規(guī)則集

啟用 Solaris IP 過濾器后，活動和非活動的包過濾規(guī)則集都可以駐留在內(nèi)核中?；顒右?guī)則集確定正在對傳入包和傳出包執(zhí)行的過濾。非活動規(guī)則集也存儲規(guī)則，但不會使用這些規(guī)則，除非使非活動規(guī)則集成為活動規(guī)則集?？梢怨芾?、查看和修改活動和非活動的包過濾規(guī)則集。查看裝入到內(nèi)核中的活動包過濾規(guī)則集，使用命令：ipfstat –io 。

如果希望查看非活動的包過濾規(guī)則集?？梢酝褂妹睿?/p>

# ipfstat -I –io

2. 激活不同的包過濾規(guī)則集

以下示例顯示如何將一個包過濾規(guī)則集替換為另一個包過濾規(guī)則集。

# ipf -Fa -f filename

活動規(guī)則集將從內(nèi)核中刪除。filename 文件中的規(guī)則將成為活動規(guī)則集。

3. 將規(guī)則附加到活動的包過濾規(guī)則集

以下示例顯示如何從命令行將規(guī)則添加到活動的包過濾規(guī)則集。

# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f –
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
 
4. 監(jiān)控整個IP管理器防火墻查看狀態(tài)表

使用沒有參數(shù)的ipfstat命令即可，另外可以使用命令：“ipfstat －s” 查看 Solaris IP 過濾器的狀態(tài)統(tǒng)計，使用命令：“ipnat -s” 查看 Solaris IP 過濾器的NAT狀態(tài)統(tǒng)計。使用 ippool -s 命令查看地址池統(tǒng)計。

七、查看 Solaris IPFilter包過濾防火墻的日志文件

使用命令如下：

ipmon –o －a [S|N|I] filename

參數(shù)說明：

S ：顯示狀態(tài)日志文件。

N：顯示 NAT 日志文件。

I：顯示常規(guī) IP 日志文件。

-a：顯示所有的狀態(tài)日志文件、NAT 日志文件和常規(guī)日志文件。

清除包日志文件使用命令：

# ipmon -F
八、使用fwbuilder管理防火墻

事實上，如果讀者們不是很熟悉Solaris中IPFilter命令的使用方式，在這里介紹一個不錯的圖形管理程序，就是fwbuilder (http://www.fwbuilder.org/)，可以從http://www.fwbuilder.org/nightly_builds/取得讀者們所需要的版本或是原始碼。Fwbuilder 是一個相當有彈性的防火墻圖形接口，它不僅可以產(chǎn)生IPFilter 的規(guī)則，也可以產(chǎn)生 Cisco 的 FWSM (FireWall Service Module ，用于 Cisco 高階第三層交換機 6500 及 7600 系列 ) 及 PIX 的規(guī)則，更有趣的是，每次我們改變某臺機器的設(shè)定后，它會使用 RCS 來做版本控管，相當實用。fwbuilder所支援的防火?有：FWSM、ipfilter、ipfw、iptables、PF、PIX。

1、安裝qt庫

Qt 是一個跨平臺的 C++ 圖形用戶界面庫，由挪威 TrollTech 公司出品，目前包括Qt， 基于 Framebuffer 的 Qt Embedded，快速開發(fā)工具 Qt Designer，國際化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系統(tǒng)，當然也包括 Solaris，還支持 WinNT/Win2k/2003 平臺。

#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz

# pkgadd －d qt-3.3.4-sol10-intel-local.pkg

2、安裝openssl

#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz

#pkgadd －d openssl-0.9.7g-sol10-intel-local.pkg

3、安裝snmp

簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。1990年5 月，RFC 1157定義了SNMP（simple network management protocol）的第一個版本SNMPv1。RFC 1157和另一個關(guān)于管理信息的文件RFC 1155一起，提供了一種監(jiān)控和管理計算機網(wǎng)絡(luò)的系統(tǒng)方法。因此，SNMP得到了廣泛應(yīng)用，并成為網(wǎng)絡(luò)管理的事實上的標準。大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)和平臺都是基于SNMP的。

#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz

#pkgadd －d netsnmp-5.1.4-sol10-x86-local.pkg4、安裝gtk+

GTK+ 是一種圖形用戶界面（GUI）工具包。也就是說，它是一個庫（或者，實際上是若干個密切相關(guān)的庫的集合），它支持創(chuàng)建基于 GUI 的應(yīng)用程序?？梢园?GTK+ 想像成一個工具包，從這個工具包中可以找到用來創(chuàng)建 GUI 的許多已經(jīng)準備好的構(gòu)造塊。最初，GTK+ 是作為另一個著名的開放源碼項目 —— GNU Image Manipulation Program (GIMP) —— 的副產(chǎn)品而創(chuàng)建的。在開發(fā)早期的 GIMP 版本時，Peter Mattis 和 Spencer Kimball 創(chuàng)建了 GTK（它代表 GIMP Toolkit），作為 Motif 工具包的替代，后者在那個時候不是免費的。（當這個工具包獲得了面向?qū)ο筇匦院涂蓴U展性之后，才在名稱后面加上了一個加號。）這差不多已經(jīng) 10 年過去了。今天，在 GTK+ 的最新版本 —— 2.8 版上，仍然在進行許多活動，同時，GIMP 無疑仍然是使用 GTK+ 的最著名的程序之一，不過現(xiàn)在它已經(jīng)不是惟一的使用 GTK+ 的程序了。已經(jīng)為 GTK+ 編寫了成百上千的應(yīng)用程序，而且至少有兩個主要的桌面環(huán)境（Xfce 和 GNOME）用 GTK+ 為用戶提供完整的工作環(huán)境。

#wget http://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz

#pkgadd －d gtk+-1.2.10-sol10-intel-local.pkg

5、安裝fwbuilder

如果以上的庫已經(jīng)安裝，就可以執(zhí)行下面的命令來安裝：

#wget http://ma.yer.at/fwbuilder/pkg/fwbuilder-2.0.10_build-657-i386.pkg.tar.bz2

#wget http://mirrors.easynews.com/sunfreeware/i386/10/libfwbuilder-2.0.10-sol10-x86-local.gz

#pkgadd －d libfwbuilder-2.0.10-sol10-x86-local.pkg

#pkgadd －d fwbuilder-2.0.10_build-657-i386.pkg

另外也可以使用在線安裝方式部署fwbuilder，命令如下：

#/opt/csw/bin/pkg-get -i fwbuilder。

6、使用fwbuilder

為了使用方便在桌面建立一個啟動器，單擊鼠標右鍵選擇創(chuàng)建啟動器。在命令欄目輸入：/opt/csw/bin/fwbuilder即可。

桌面背景啟動器可以啟動應(yīng)用程序，也可以鏈接到某個特定的文件、文件夾、FTP 站點或 URI 位置。要在桌面背景上添加啟動器，請執(zhí)行以下步驟：右擊桌面背景，然后選擇“創(chuàng)建啟動器”。在“創(chuàng)建啟動器”對話框中鍵入要求的信息。為該啟動器輸入的命令就是在使用桌面背景對象時執(zhí)行的命令。 通過任何菜單當您在任何菜單中右擊啟動器時，即可打開啟動器的彈出菜單。您可以使用該彈出菜單向面板添加該啟動器。也可以將菜單、啟動器和面板應(yīng)用程序從菜單拖動到面板中。通過文件管理器每個啟動器都對應(yīng)一個 .desktop 文件。您可以將 .desktop 文件拖動到面板上，從而將該啟動器添加到面板上。點擊啟動器即可啟動fwbuilder

總結(jié)：盡管IPFilter技術(shù)十分容易了解，并且對于在網(wǎng)絡(luò)傳輸上設(shè)置具體的限制特別有用，  —般而言，配置IPFilter防火墻存在一些缺點，因為防火墻配置涉及編寫規(guī)則，常用規(guī)則語言的話法通常對于初學者（特別是Windows 初學者）難于理解，這樣數(shù)據(jù)包過濾可能難于正確配置。雖然，包過濾防火墻有如上所述的缺點，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮其作用。一般情況下，人們不單獨使用包過濾防火墻，而是將它和其他設(shè)備（如堡壘主機等）聯(lián)合使用。

wangliang