包过滤可提供基本的保护以防止基于网络的攻击。Oracle Solaris 包括 IP 过滤器功能和 TCP 包装。
Oracle Solaris 的 IP 过滤器功能可创建一个防火墙以抵御基于网络的攻击。
具体来说,IP 过滤器提供有状态包过滤功能,可按照 IP 地址或网络、端口、协议、网络接口以及通信方向对包进行过滤。它还包括无状态包过滤以及创建和管理地址池的功能。此外,IP 过滤器还具有执行网络地址转换 (network address translation, NAT) 和端口地址转换 (port address translation, PAT) 的功能。
有关更多信息,请参见以下内容:
有关 IP 过滤器的概述,请参见在 Oracle Solaris 11.2 中确保网络安全 中的第 4 章 关于 Oracle Solaris 中的 IP 过滤器。
有关使用 IP 过滤器的示例,请参见在 Oracle Solaris 11.2 中确保网络安全 中的第 5 章 配置 IP 过滤器 和手册页。
有关 IP 过滤器策略语言的语法的信息和示例,请参见 ipnat(4) 手册页。
所选手册页包括 ipfilter(5)、ipf(1M)、ipnat(1M)、svc.ipfd(1M) 和 ipf(4)。
TCP 包装可为 Internet 服务提供访问控制。启用了多个 Internet (inetd) 服务时,tcpd 守护进程会根据 ACL 检查请求特定网络服务的主机的地址。请求将相应地被授权或拒绝。TCP 包装还会在 syslog 中记录主机对网络服务的请求,这是一项非常有用的监视功能。
可配置 Oracle Solaris 的 安全 Shell (ssh) 和 sendmail 功能以使用 TCP 包装。以一对一方式映射到可执行文件的网络服务(例如,proftpd 和 rpcbind)是 TCP 包装的候选对象。
TCP 包装支持一种丰富的配置策略语言,从而使组织不仅可以全局指定安全策略,还可以基于每个服务指定安全策略。可根据主机名、IPv4 或 IPv6 地址、网络组名称、网络甚至 DNS 域允许或限制对服务的进一步访问。
有关 TCP 包装的信息,请参见以下内容:
有关 TCP 包装的访问控制语言的语法的信息和示例,请参见 hosts_access(4) 手册页。
所选手册页包括 tcpd(1M) 和 inetd(1M)。