在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

IP 过滤器包处理

在处理包时,IP 过滤器会执行一系列步骤。下图说明处理包的步骤,以及过滤如何与 TCP/IP 协议栈集成在一起。

图 4-1  包处理顺序

image:说明与 IP 过滤器包处理关联的步骤顺序。

    包处理顺序包括下列步骤:

  • 网络地址转换 (Network Address Translation, NAT)

    将专用 IP 地址转换为不同的公共地址,或者将多个专用地址的别名指定为单个公共地址。当组织具有现有的网络并需要访问 Internet 时,通过 NAT,该组织可解决 IP 地址用尽的问题。

  • IP 记帐

    可以分别设置输入规则和输出规则,从而记录所通过的字节数。每次与规则匹配时,都会将包的字节计数添加到该规则中,并允许收集层叠统计信息。

  • 片段高速缓存检查

    缺省情况下,分段包会被缓存。特定包的所有段到达时,将应用过滤规则并允许或阻止段。如果规则文件中出现 set defrag off,则段未缓存。

  • 包状态检查

    如果规则中包括 keep state,则会自动传递或阻止指定会话中的所有包,具体取决于规则指明了 pass 还是 block

  • 防火墙检查

    可以分别设置输入规则和输出规则,确定是否允许包通过 IP 过滤器传入内核的 TCP/IP 例程或者传出到网络上。

  • 通过分组可以按树的形式编写规则集合。

  • 功能

    功能是指要执行的操作。可能的功能包括 blockpassliteralsend ICMP response

  • 快速路由

    快速路由指示 IP 过滤器不将包传入 UNIX IP 栈进行路由,从而导致 TTL 递减。

  • IP 验证

    已验证的包仅通过防火墙循环一次来防止双重处理。