IP 过滤器是 Solaris 系统上提供包过滤功能的软件。在设置正确的系统上,IP 过滤器可用于构建防火墙。
Solaris IP 过滤器随 Solaris 操作系统一起安装。但是,缺省情况下不启用包过滤。有关启用和激活 IP 过滤器功能的过程,请参见 ipf(1M)。
在位置配置文件中管理 IP 过滤器配置和激活(有关位置配置文件的更多信息,请参见 netcfg(1M))。这些配置文件要么是固定的,表示以传统方式管理网络配置;要么是反应性的,表示自动管理网络配置,并会根据配置文件中指定的策略规则对网络环境的变化作出反应。
当固定位置(当前可能只有一个 DefaultFixed 位置)处于活动状态时,对 SMF 系统信息库所做的更改会在对其禁用时应用于此位置,因此如果在稍后重新启用该位置会恢复这些更改。
当反应性位置处于活动状态时,不应将更改直接应用于 SMF 系统信息库;这些更改不会保留在位置配置文件中,因此如果禁用该位置,或者刷新或重新启动系统的网络配置(由 svc:/network/physical:default 和 svc:/network/location:default 管理),更改将会丢失。应使用 netcfg 命令将更改应用于位置本身;这样会将更改保存到位置配置文件系统信息库中,还会将其应用于 SMF 系统信息库(如果更改是针对当前活动的位置进行的)。
如果在 ipfilter-config-file 属性中指定 IPv4 过滤器配置文件,则将启用 ipfilter SMF 服务。要启用其他类型的过滤,还可以指定 ipfilter-v6-config-file、ipnat-config-file 和 ippool-config-file 属性。
ipfilter SMF 服务支持 start、stop、restart 和 refresh 方法。这些方法可以通过使用 svcadm(1M) 进行调用。
装入 ipfilter 内核模块并根据配置激活任何防火墙或 NAT 规则。
清除应用的所有防火墙和 NAT 规则以及创建的任何活动会话信息。仅当能够进入主机的任何网络通信流量不存在风险时,才能停止启用联网功能的服务。
停止然后启动 ipfilter 服务。对活动防火墙使用该方法会导致一定时段的暴露,在该时段内,通信流量可能在未经过滤的情况下进入和/或通过防火墙。
装入当前配置并从旧配置切换为新配置,而在这期间系统一直都在积极使用安全策略,没有间断。
为简化 IP 过滤器配置管理,创建了一个防火墙框架,以便用户可以通过在系统和服务级别指定防火墙策略来配置 IP 过滤器。在指定用户定义的防火墙策略后,该框架会生成一组 IP 过滤器规则来执行所需的系统行为。用户可以指定系统和服务防火墙策略,以允许或拒绝来自特定主机、子网和接口的网络通信流量。这些策略将转换成一组活动的 IPF 规则来执行指定的防火墙策略。
如果用户选择不使用该框架,仍可以指定他们自己的 ipf 规则文件。有关如何启用定制规则以及 ipf(4) 找出 ipf 规则语法的信息,请参见 ipf(1M)。
IPF 使用 ipmon(1M) 服务来记录防火墙事件。ipmon SMF 服务依赖于 ipfilter SMF 服务。在 ipfilter 由 “svcadm enable ipfilter” 自动启用后,ipmon 服务会立即由 ipfilter 服务启动方法临时启用。
本节介绍基于主机的防火墙框架。有关如何配置防火墙策略的详细信息,请参见 svc.ipfd(1M)。
有一种具有不同优先级的三层方法可帮助用户实现所需行为。
全局缺省—缺省的系统范围防火墙策略。所有服务都将自动继承此策略,除非有服务修改了其防火墙策略。
其优先级高于全局缺省。无论全局缺省策略如何,服务的策略都将允许/禁止其特定端口的通信。
另一种系统范围的策略,优先于网络服务层中特定服务的需求。
Global Override
|
|
Network Services
|
|
Global Default
防火墙策略包括一种防火墙模式和一组可选的网络源。网络源包括 IP 地址、子网和本地网络接口,所有这些网络源都可供系统从中接收传入通信。基本防火墙模式组包括:
无防火墙,允许所有传入通信。
允许所有传入通信,只拒绝来自指定源的通信。
拒绝所有传入通信,只允许来自指定源的通信。
第一个系统范围层全局缺省定义应用于任何传入通信的防火墙策略;例如,允许或阻止来自某一 IP 地址的所有通信。这使得很容易设置阻止所有传入通信或阻止来自不需要源的所有传入通信的策略。
网络服务层包含向远程客户机提供服务的本地程序(例如,telnetd、sshd 和 httpd)的防火墙策略。其中每个程序(即一个网络服务)都有其自己的防火墙策略来控制对其服务的访问。最初,服务的策略设置为继承全局缺省策略,即“使用全局缺省”模式。这使得很容易在全局缺省层设置一个可由所有服务继承的策略。
如果某一服务的策略不同于全局缺省策略,则该服务的策略具有较高的优先级。如果全局缺省策略设置为阻止来自子网的所有通信,则 SSH 服务可配置为允许从该子网中的特定主机进行访问。所有网络服务的所有策略的集合构成了网络服务层。
第二个系统范围层全局覆盖的防火墙策略也应用于任何传入网络通信。此策略具有最高优先级,将覆盖其他层中的策略,具体来说是覆盖网络服务的需求。例如,无论服务的策略如何,都能理想地阻止已知的恶意源。
此框架利用 IP 过滤器功能,仅在启用 svc:/network/ipfilter 时才有效,而在禁用 network/ipfilter 时将无效。同样,网络服务的防火墙策略也仅在启用该服务时才有效,而在禁用该服务时也将无效。具有有效防火墙的系统具有 IP 过滤器规则(用于正在运行/已启用的每个网络服务)以及系统范围的策略(防火墙模式不是无)。
用户可通过设置系统范围策略和各网络服务的策略来配置防火墙。有关配置防火墙策略的方法,请参见 svc.ipfd(1M)。
防火墙框架由策略配置和一个机制组成,用以从策略生成 IP 过滤器规则并应用这些规则来获取所需的 IP 过滤器配置。下面对设计和用户交互进行了快速汇总:
系统范围策略存储在 network/ipfilter 中
网络服务的策略存储在各 SMF 服务中
用户通过启用 network/ipfilter(请参见 ipf(1M))来激活防火墙
用户通过启用/禁用网络服务来激活/取消激活该服务的防火墙
对系统范围或每服务防火墙策略进行更改会导致系统防火墙规则的更新
有关以下属性的说明,请参见 attributes(5):
|
svcs(1)、ipf(1M)、ipmon(1M)、ipnat(1M)、netcfg(1M)、svcadm(1M)、svc.ipfd(1M)、ipf(4)、ipnat(4)、attributes(5)、smf(5)
在 Oracle Solaris 11.2 中管理 IP 服务质量
ipfilter 服务由服务管理工具 smf(5) 管理,其服务标识符为:
svc:/network/ipfilter:default
可以使用 svcadm(1M) 来对此服务执行管理操作(如启用、禁用或请求重新启动)。可以使用 svcs(1) 命令来查询服务的状态。
IP 过滤器启动配置文件存储在 /etc/ipf 中。