描述 - 手册页第 5 部分：标准、环境和宏

ipfilter

- IP 包过滤软件

描述

IP 过滤器是 Solaris 系统上提供包过滤功能的软件。在设置正确的系统上，IP 过滤器可用于构建防火墙。

Solaris IP 过滤器随 Solaris 操作系统一起安装。但是，缺省情况下不启用包过滤。有关启用和激活 IP 过滤器功能的过程，请参见 ipf(1M)。

服务

ipfilter SMF 服务支持 start、stop、restart 和 refresh 方法。这些方法可以通过使用 svcadm(1M) 进行调用。

start: 装入 ipfilter 内核模块并根据配置激活任何防火墙或 NAT 规则。
stop: 清除应用的所有防火墙和 NAT 规则以及创建的任何活动会话信息。仅当能够进入主机的任何网络通信流量不存在风险时，才能停止启用联网功能的服务。
restart: 停止然后启动 ipfilter 服务。对活动防火墙使用该方法会导致一定时段的暴露，在该时段内，通信流量可能在未经过滤的情况下进入和/或通过防火墙。
refresh: 装入当前配置并从旧配置切换为新配置，而在这期间系统一直都在积极使用安全策略，没有间断。

基于主机的防火墙

为简化 IP 过滤器配置管理，创建了一个防火墙框架，以便用户可以通过在系统和服务级别指定防火墙策略来配置 IP 过滤器。在指定用户定义的防火墙策略后，该框架会生成一组 IP 过滤器规则来执行所需的系统行为。用户可以指定系统和服务防火墙策略，以允许或拒绝来自特定主机、子网和接口的网络通信流量。这些策略将转换成一组活动的 IPF 规则来执行指定的防火墙策略。

如果用户选择不使用该框架，仍可以指定他们自己的 ipf 规则文件。有关如何启用定制规则以及 ipf(4) 找出 ipf 规则语法的信息，请参见 ipf(1M)。

型号

本节介绍基于主机的防火墙框架。有关如何配置防火墙策略的详细信息，请参见 svc.ipfd(1M)。

有一种具有不同优先级的三层方法可帮助用户实现所需行为。

全局缺省: 全局缺省—缺省的系统范围防火墙策略。所有服务都将自动继承此策略，除非有服务修改了其防火墙策略。
网络服务: 其优先级高于全局缺省。无论全局缺省策略如何，服务的策略都将允许/禁止其特定端口的通信。
全局覆盖: 另一种系统范围的策略，优先于网络服务层中特定服务的需求。

Global Override
      |
      |
Network Services
      |
      |
Global Default

防火墙策略包括一种防火墙模式和一组可选的网络源。网络源包括 IP 地址、子网和本地网络接口，所有这些网络源都可供系统从中接收传入通信。基本防火墙模式组包括：

无: 无防火墙，允许所有传入通信。
拒绝: 允许所有传入通信，只拒绝来自指定源的通信。
允许: 拒绝所有传入通信，只允许来自指定源的通信。

有关层的详细说明

第一个系统范围层全局缺省定义应用于任何传入通信的防火墙策略；例如，允许或阻止来自某一 IP 地址的所有通信。这使得很容易设置阻止所有传入通信或阻止来自不需要源的所有传入通信的策略。

网络服务层包含向远程客户机提供服务的本地程序（例如，telnetd、sshd 和 httpd）的防火墙策略。其中每个程序（即一个网络服务）都有其自己的防火墙策略来控制对其服务的访问。最初，服务的策略设置为继承全局缺省策略，即“使用全局缺省”模式。这使得很容易在全局缺省层设置一个可由所有服务继承的策略。

如果某一服务的策略不同于全局缺省策略，则该服务的策略具有较高的优先级。如果全局缺省策略设置为阻止来自子网的所有通信，则 SSH 服务可配置为允许从该子网中的特定主机进行访问。所有网络服务的所有策略的集合构成了网络服务层。

第二个系统范围层全局覆盖的防火墙策略也应用于任何传入网络通信。此策略具有最高优先级，将覆盖其他层中的策略，具体来说是覆盖网络服务的需求。例如，无论服务的策略如何，都能理想地阻止已知的恶意源。

用户交互

此框架利用 IP 过滤器功能，仅在启用 svc:/network/ipfilter 时才有效，而在禁用 network/ipfilter 时将无效。同样，网络服务的防火墙策略也仅在启用该服务时才有效，而在禁用该服务时也将无效。具有有效防火墙的系统具有 IP 过滤器规则（用于正在运行/已启用的每个网络服务）以及系统范围的策略（防火墙模式不是无）。

用户可通过设置系统范围策略和各网络服务的策略来配置防火墙。有关配置防火墙策略的方法，请参见 svc.ipfd(1M)。

防火墙框架由策略配置和一个机制组成，用以从策略生成 IP 过滤器规则并应用这些规则来获取所需的 IP 过滤器配置。下面对设计和用户交互进行了快速汇总：