パケットのフィルタリングは、ネットワークベースの攻撃に対する基本的な保護を提供します。Oracle Solaris には、IP フィルタ機能および TCP ラッパーがあります。
Oracle Solaris の IP フィルタ機能は、ネットワークベースの攻撃を防ぐファイアウォールを作成します。
特に、IP フィルタはステートフルパケットフィルタリング機能を提供し、IP アドレスまたはネットワーク、ポート、プロトコル、ネットワークインタフェース、およびトラフィックリダイレクションでパケットをフィルタリングできます。また、ステートレスパケットフィルタリングと、アドレスプールの作成および管理を行う機能もあります。さらに、IP フィルタには、ネットワークアドレス変換 (NAT) およびポートアドレス変換 (PAT) を実行する機能もあります。
詳細については、次を参照してください。
IP フィルタの概要については、Oracle Solaris 11.2 でのネットワークのセキュリティー保護 の第 4 章Oracle Solaris の IP フィルタについてを参照してください。
IP フィルタの使用例については、Oracle Solaris 11.2 でのネットワークのセキュリティー保護 の第 5 章IP フィルタの構成およびマニュアルページを参照してください。
IP フィルタポリシー言語の構文の詳細および例については、ipnat(4) のマニュアルページを参照してください。
選択したマニュアルページには、ipfilter(5)、ipf(1M)、ipnat(1M)、svc.ipfd(1M)、および ipf(4) が含まれています。
TCP ラッパーは、インターネットサービスに対するアクセス制御を提供します。さまざまなインターネット (inetd) サービスが有効になっている場合、tcpd デーモンは特定のネットワークサービスを要求するホストのアドレスを ACL と照合します。要求は、状況に応じて、許可されたり拒否されたりします。また、TCP ラッパーはネットワークサービスへのホスト要求のログを syslog に記録します。これは、便利なモニタリング機能です。
Oracle Solaris の Secure Shell (ssh) および sendmail 機能は、TCP ラッパーを使用するように構成されます。実行可能ファイルと 1 対 1 のマッピングを持つネットワークサービス (proftpd や rpcbind など) が、TCP ラッパーの候補です。
TCP ラッパーでは、組織がセキュリティーポリシーをグローバルにだけでなく、サービスごとに指定することもできる多機能な構成ポリシー言語がサポートされています。サービスへの追加アクセスは、ホスト名、IPv4 または IPv6、ネットグループ名、ネットワーク、および DNS ドメインに基づいて許可または制限できます。
TCP ラッパーについては、次を参照してください。
TCP ラッパーのアクセス制御言語の構文の詳細および例については、 hosts_access(4) のマニュアルページを参照してください。
選択したマニュアルページには、tcpd(1M) および inetd(1M) が含まれています。