IP フィルタは、Solaris システムにパケットフィルタ処理機能を提供するソフトウェアです。適切に設定されたシステムでは、ファイアウォールを構築するために使用できます。
Solaris IP フィルタは、Solaris オペレーティングシステムとともにインストールされます。ただし、パケットフィルタ処理はデフォルトでは有効になっていません。IP フィルタ機能を有効にしてアクティブ化する手順については、ipf(1M) を参照してください。
IP フィルタの構成およびアクティブ化は場所プロファイルで管理されます (場所プロファイルの詳細については、netcfg(1M) を参照)。これらのプロファイルは、固定 (つまり、ネットワーク構成は従来の方法で管理される) とリアクティブ (つまり、ネットワーク構成は自動的に管理され、プロファイルに指定されたポリシールールに従ってネットワーク環境の変更に反応する) のいずれかです。
固定の場所 (現在は、DefaultFixed 場所の 1 つのみ) がアクティブな場合は、場所を無効にしたときに SMF リポジトリへの変更がその場所に適用され、場所を再度有効にしたときに復元されます。
リアクティブな場所がアクティブのときは、変更は SMF リポジトリに直接適用すべきではありません。これらの変更は場所プロファイルに保持されないため、場所が無効にされるか、svc:/network/physical:default および svc:/network/location:default によって管理されるシステムのネットワーク構成がリフレッシュまたは再起動された場合に失われます。代わりに、変更は、netcfg コマンドを使用して場所自体に適用すべきです。これによって、変更は場所プロファイルリポジトリに保存され、SMF リポジトリにも適用されます (現在アクティブな場所に対して変更が行われた場合)。
IPv4 フィルタ構成ファイルが ipfilter-config-file プロパティーで指定されている場合は、ipfilter SMF サービスが有効になります。追加のフィルタタイプを有効にするために、ipfilter-v6-config-file、ipnat-config-file、および ippool-config-file プロパティーを指定することも可能です。
ipfilter SMF サービスは、start、stop、restart、および refresh メソッドをサポートします。これらのメソッドは、svcadm (1M) を使用して呼び出されます。
ipfilter カーネルモジュールをロードし、構成に従ってファイアウォールまたは NAT 規則をアクティブにします。
適用されたすべてのファイアウォールと NAT 規則、および作成されたアクティブなセッション情報をクリアします。ネットワーク接続が有効な状態でのサービスの停止は、ネットワークトラフィックがホストに入るリスクがない場合にのみ実行するようにしてください。
ipfilter サービスの停止と開始を実行します。動作中のファイアウォールに対してこのメソッドを使用すると、トラフィックがファイアウォールに侵入したり、フィルタリングされずに通過することができる、危険にさらされやすい期間が生じることになります。
現在の構成をロードし、セキュリティーポリシーが両方ともアクティブに使用されない時間をまったく生じさせずに古い構成から新しい構成に切り替えます。
IP フィルタ構成の管理を簡素化するためにファイアウォールフレームワークが作成され、ユーザーはシステムレベルとサービスレベルのファイアウォールポリシーを記述することによって IP フィルタを構成できます。ユーザーが定義したファイアウォールポリシーから、必要なシステム動作が得られるようにフレームワークによって一連の IP フィルタ規則が生成されます。ユーザーは、特定のホスト、サブネット、およびインタフェースからのネットワークトラフィックを許可または拒否するよう、システムおよびサービスのファイアウォールポリシーを指定します。これらのポリシーが一連のアクティブな IPF 規則に変換されることにより、指定されたファイアウォールポリシーが適用されます。
ユーザーはフレームワークを利用しないことを選択した場合でも、独自の ipf 規則ファイルを指定できます。カスタマイズされた規則を有効にする方法については、ipf(1M) を、ipf 規則の構文を見つけるには、ipf(4) を参照してください。
IPF では、ipmon(1M) サービスを使用してファイアウォールイベントのログをとります。ipmon SMF サービスは、ipfilter SMF サービスに依存しています。ipfilter が “svcadm enable ipfilter” によって自動的に有効になるとすぐに、ipmon サービスが ipfilter サービス開始メソッドによって一時的に有効になります。
このセクションでは、ホストベースのファイアウォールフレームワークについて説明します。ファイアウォールポリシーを構成する方法については、svc.ipfd(1M) を参照してください。
ユーザーは、優先度の異なる 3 つのレイヤーを利用して、必要な動作を実現できます。
Global Default - システム全体のデフォルトファイアウォールポリシー。このポリシーは、サービスで独自にファイアウォールポリシーが変更されている場合を除き、すべてのサービスによって自動的に継承されます。
Global Default よりも優先されます。サービスのポリシーは、Global Default ポリシーにかかわらず、その特定のポートに対するトラフィックを許可または禁止します。
もう一つのシステム全体のポリシーで、Network Services レイヤーの個々のサービスの要求よりも優先されます。
Global Override
|
|
Network Services
|
|
Global Default
ファイアウォールポリシーには、ファイアウォールモードと、必要に応じてネットワークソースを設定します。ネットワークソースとは、システムが着信トラフィックを受け取る可能性のある、発信元の IP アドレス、サブネット、およびローカルネットワークインタフェースです。基本的なファイアウォールモードは次のとおりです。
ファイアウォールなしで、すべての着信トラフィックを許可します。
すべての着信トラフィックを許可しますが、指定した発信元からの着信トラフィックは拒否します。
すべての着信トラフィックを拒否しますが、指定した発信元からの着信トラフィックは許可します。
最初のシステム全体のレイヤー Global Default では、任意の着信トラフィックに適用するファイアウォールポリシーを定義します。たとえば、ある IP アドレスからのトラフィックをすべて許可またはブロックするように指定します。これにより、すべての着信トラフィックをブロックする、または望まない発信元からの着信トラフィックをすべてブロックするポリシーを簡単に作成できます。
Network Services レイヤーには、telnetd、sshd、httpd などのリモートクライアントにサービスを提供するローカルプログラムのためのファイアウォールポリシーが含まれています。このようなプログラム (ネットワークサービス) にはそれぞれ、サービスへのアクセスを制御する独自のファイアウォールポリシーがあります。最初は、サービスのポリシーは Global Default ポリシーを継承するように設定されています。つまり、「グローバルデフォルトを使用する」モードです。これにより、1 つのポリシーを Global Default レイヤーで設定し、それをすべてのサービスで簡単に継承することができます。
サービスのポリシーが Global Default ポリシーと異なっている場合は、サービスのポリシーが優先されます。あるサブネットからのトラフィックをすべてブロックするように Global Default ポリシーが設定されている場合でも、SSH サービスではそのサブネットの特定のホストからはアクセスを許可するように構成できます。Network Service レイヤーは、すべてのネットワークサービスに関するすべてのポリシーから成ります。
2 番目のシステム全体のレイヤー Global Override にも、任意の着信ネットワークトラフィックに適用されるファイアウォールポリシーが含まれています。このポリシーはもっとも優先度が高く、ほかのレイヤーのポリシーよりも優先されるため、個々のネットワークサービスの要求もオーバーライドします。たとえば、サービスのポリシーにかかわらず、悪意のある既知の発信元をブロックする場合に適しています。
このフレームワークは IP フィルタ機能を活用するため、svc:/network/ipfilter が有効になっている場合だけアクティブになり、network/ipfilter が無効になっている場合はアクティブになりません。同様に、ネットワークサービスのファイアウォールポリシーは、サービスが有効になっている場合だけアクティブになり、サービスが無効になっている場合はアクティブになりません。ファイアウォールがアクティブになっているシステムには、実行中または有効になっている各ネットワークサービスの IP フィルタ規則が存在し、ファイアウォールモード None ではないシステム全体のポリシーが存在します。
ユーザーは、システム全体のポリシーと各ネットワークサービスのポリシーを設定することにより、ファイアウォールを構成します。ファイアウォールポリシーの構成方法については、svc.ipfd(1M) を参照してください。
ファイアウォールフレームワークは、ポリシーの構成と、そのポリシーから IP フィルタ規則を生成して適用することによって必要な IP フィルタ構成を実現するメカニズムから成ります。設計およびユーザーとの対話のサマリーは次のとおりです。
システム全体のポリシーは network/ipfilter に保存されます
ネットワークサービスのポリシーは各 SMF サービスに保存されます
ユーザーは network/ipfilter を有効にすることでファイアウォールをアクティブにします (ipf(1M) を参照)
ユーザーはネットワークサービスを有効または無効にすることで、そのサービスのファイアウォールをアクティブまたは非アクティブにします
システム全体またはサービスごとのファイアウォールポリシーを変更すると、システムのファイアウォール規則が更新されます
属性についての詳細は、attributes(5) を参照してください。
|
svcs(1)、ipf(1M)、ipmon(1M)、ipnat(1M)、netcfg(1M)、svcadm(1M)、svc.ipfd(1M)、ipf(4)、ipnat(4)、attributes(5)、smf(5)
Managing IP Quality of Service in Oracle Solaris 11.2
ipfilter サービスは、サービス管理機能 smf(5) により次のサービス識別子として管理されます。
svc:/network/ipfilter:default
有効化、無効化、または再起動要求など、このサービスに関する管理操作は、svcadm(1M) を使用して実行できます。サービスステータスを照会するには、svcs(1) コマンドを使用します。
IP フィルタの起動時構成ファイルは /etc/ipf に保存されます。