Paketverarbeitung mit Oracle Solaris IP Filter

Oracle Solaris IP Filter führt bei der Verarbeitung eines Pakets eine bestimmte Abfolge von Schritten aus. Das folgende Diagramm zeigt die Schritte bei der Paketverarbeitung und die Integration der Filterung in den TCP/IP-Protokollstapel.

Abbildung 25–1 Reihenfolge der Schritte bei der Paketverarbeitung

Die Reihenfolge bei der Paketverarbeitung umfasst:

• Network Address Translation (NAT)

  Die Übersetzung einer privaten IP-Adresse in eine andere öffentliche Adresse oder das Aliasing mehrerer privater Adressen mit einer einzigen öffentlichen Adresse. Mit NAT kann ein Unternehmen das Problem mit dem Mangel an IP-Adressen lösen, wenn es vorhandene Netzwerke besitzt und auf das Internet zugreifen muss.

• IP-Accounting

  Eingangs- und Ausgangsregeln können getrennt aufgestellt werden und die Anzahl der passierenden Byte aufzeichnen. Jedes Mal, wenn eine Regelübereinstimmung auftritt, werden die Anzahl der Byte im Paket zur Regel hinzugefügt. Auf diese Weise ist das Erstellen von kaskadierenden Statistiken möglich.

• Fragment Cache-Prüfung

  Wenn das nächste Paket des aktuellen Datenverkehrs ein Fragment ist und das vorherige Paket zugelassen wurde, wird auch das Paketfragment zugelassen. Dabei werden die Statustabelle und die Regelüberprüfung übergangen.

• Paket-Statusprüfung

  Wenn keep state (Status beibehalten) in einer Regel enthalten ist, werden alle Pakete in einer bestimmten Sitzung automatisch entweder zugelassen oder blockiert, je nachdem, ob die Regel pass oder block angibt.

• Firewall-Prüfung

  Eingangs- und Ausgangsregeln können getrennt aufgestellt werden und legen fest, ob ein Paket über Solaris IP Filter an die TCP/IP-Routinen oder weiter in das Netzwerk passieren darf.

• Gruppen

  Mit Gruppen können Sie Ihre eigene Regelliste in einer Baumstruktur erstellen.

• Funktion

  Eine Funktion ist eine durchzuführende Maßnahme. Mögliche Funktionen sind block, pass, literal und send ICMP response.

• Fast-route

  Fast-route teilt Solaris IP Filter mit, die Pakete nicht in den UNIX IP-Stapel zum Routing passieren zu lassen, was zu einer TTL-Verminderung führt.

• IP-Authentifizierung

  Bereits authentifizierte Pakete dürfen Firewall-Schleifen nur einmal passieren, um eine doppelte Verarbeitung zu verhindern.