封包篩選可針對網路攻擊提供基本的保護。Oracle Solaris 包含 IP 篩選器功能和 TCP 包裝程式。
Oracle Solaris 的 IP 篩選器功能會建立防火牆以避開網路攻擊。
尤其 IP 篩選器可以提供有狀態的封包篩選功能,可依據 IP 位址或網路、連接埠、通訊協定、網路介面及流量方向來篩選封包。IP 篩選也含有無狀態的封包篩選功能,以及建立與管理位址集區的能力。此外,IP 篩選器也具備執行網路位址轉譯 (NAT) 和連接埠位址轉譯 (PAT) 的能力。
如需更多資訊,請參閱:
如需 IP 篩選器的簡介,請參閱Securing the Network in Oracle Solaris 11.2 中的第 4 章About IP Filter in Oracle Solaris。
如需使用 IP 篩選器的範例,請參閱Securing the Network in Oracle Solaris 11.2 中的第 5 章Configuring IP Filter和線上手冊。
如需 IP 篩選器策略語言之語法的相關資訊與範例,請參閱 ipnat(4) 線上手冊。
相關線上手冊:包括 ipfilter(5)、ipf(1M)、ipnat(1M)、svc.ipfd(1M) 以及 ipf(4)。
TCP 包裝程式提供網際網路服務的存取控制。當各種網際網路 (inetd) 服務啟用之後,tcpd 常駐程式會依據 ACL 檢查要求特定網路服務的主機位址。接著會接受或拒絕要求。TCP 包裝程式也會在 syslog 中記錄網路服務的主機要求,這是很實用的監控功能。
Secure Shell (ssh) 和 Oracle Solaris 的 sendmail 功能配置為使用 TCP 包裝程式。與可執行檔案為一對一對應關係的網路服務 (例如 proftpd 和 rpcbind),可以使用 TCP 包裝程式。
TCP 包裝程式支援豐富的配置策略語言,不僅可讓組織指定全域的安全策略,還可指定以每個服務為基礎的安全策略。並可依據主機名稱、IPv4 或 IPv6 位址、網路群組名稱、網路甚至是 DNS 網域,來允許或限制對服務的進一步存取。
如需 TCP 包裝程式的相關資訊,請參閱:
如需 TCP 包裝程式之存取控制語言的語法資訊和範例,請參閱 hosts_access(4) 線上手冊。
相關線上手冊:包括 tcpd(1M) 和 inetd(1M)。