Oracle Solaris IP Filter führt bei der Verarbeitung eines Pakets eine bestimmte Abfolge von Schritten aus. Das folgende Diagramm zeigt die Schritte bei der Paketverarbeitung und die Integration der Filterung in den TCP/IP-Protokollstapel.
Die Reihenfolge bei der Paketverarbeitung umfasst:
Network Address Translation (NAT)
Die Übersetzung einer privaten IP-Adresse in eine andere öffentliche Adresse oder das Aliasing mehrerer privater Adressen mit einer einzigen öffentlichen Adresse. Mit NAT kann ein Unternehmen das Problem mit dem Mangel an IP-Adressen lösen, wenn es vorhandene Netzwerke besitzt und auf das Internet zugreifen muss.
IP-Accounting
Eingangs- und Ausgangsregeln können getrennt aufgestellt werden und die Anzahl der passierenden Byte aufzeichnen. Jedes Mal, wenn eine Regelübereinstimmung auftritt, werden die Anzahl der Byte im Paket zur Regel hinzugefügt. Auf diese Weise ist das Erstellen von kaskadierenden Statistiken möglich.
Fragment Cache-Prüfung
Wenn das nächste Paket des aktuellen Datenverkehrs ein Fragment ist und das vorherige Paket zugelassen wurde, wird auch das Paketfragment zugelassen. Dabei werden die Statustabelle und die Regelüberprüfung übergangen.
Paket-Statusprüfung
Wenn keep state (Status beibehalten) in einer Regel enthalten ist, werden alle Pakete in einer bestimmten Sitzung automatisch entweder zugelassen oder blockiert, je nachdem, ob die Regel pass oder block angibt.
Firewall-Prüfung
Eingangs- und Ausgangsregeln können getrennt aufgestellt werden und legen fest, ob ein Paket über Solaris IP Filter an die TCP/IP-Routinen oder weiter in das Netzwerk passieren darf.
Gruppen
Mit Gruppen können Sie Ihre eigene Regelliste in einer Baumstruktur erstellen.
Funktion
Eine Funktion ist eine durchzuführende Maßnahme. Mögliche Funktionen sind block, pass, literal und send ICMP response.
Fast-route
Fast-route teilt Solaris IP Filter mit, die Pakete nicht in den UNIX IP-Stapel zum Routing passieren zu lassen, was zu einer TTL-Verminderung führt.
IP-Authentifizierung
Bereits authentifizierte Pakete dürfen Firewall-Schleifen nur einmal passieren, um eine doppelte Verarbeitung zu verhindern.