Oracle Solaris での PF の IP フィルタおよび OpenBSD パケットフィルタとの比較

言語:

IP フィルタの機能とパケットフィルタ (PF) の機能は、正確には一致しません。そのため、IP フィルタの構成をパケットフィルタの構成にマップする変換ツールはあり得ません。ネットワークポリシー (ファイアウォールポリシーを含む) をある製品から別の製品に変換する場合の最適な方針は、要件と仕様を確認してから、新しいツールを使用してポリシーを実装することです。IP フィルタ構成ファイルのネットワークポリシーを実装する PF 構成ファイルの例については、使用例 4を参照してください。

IP フィルタと Oracle Solaris パケットフィルタの比較

次の表は、PF の Oracle Solaris 実装と IP フィルタを比較しています。表 4では、PF の Oracle Solaris 実装と OpenBSD PF を比較します。

表 3 IP フィルタと Oracle Solaris でのパケットフィルタの比較

ファイアウォールの機能	IP フィルタ	Oracle Solaris の PF 実装
構成ファイル	`ippool.conf`、`ipnat.conf`、`ipv6.conf` など複数	1 つの `pf.conf` ファイル
規則の理解しやすさ	複雑な構文	マクロなどのショートカットやテーブルによる読みやすさ
IPv4 および IPv6 パケットのフラグメント	管理者が再構築を明示的にオンにする必要がある	IP の再構築がデフォルトでオンになっている
ループバックインタフェースの保護	`set intercept_loopback true;` で有効にする必要がある	ファイアウォールがループバックインタフェース上のパケットを常にインターセプトする
パッケージ名	`ipfilter`	`firewall`
OS 署名ファイル	なし	`pf.os`
`pass` 規則	デフォルトではステートレス	デフォルトではステートフル
権利プロファイル	IP フィルタの管理	Network Firewall Management
SMF サービス名	`ipfilter`	サービスを有効にする前に PF 構成を必要とする `firewall` と、`pflog` および `ftp-proxy` サービス

Oracle Solaris パケットフィルタと OpenBSD パケットフィルタの比較

次の表では、PF の OpenBSD 実装と Oracle Solaris バージョンの違いについて説明します。Oracle Solaris に含まれていない OpenBSD 機能については、パケットフィルタの概要を参照してください。

表 4 OpenBSD PF と Oracle Solaris PF の違い

OpenBSD PF の動作	Oracle Solaris PF の動作	Oracle Solaris PF での違い
ユーザーが Web から PF をダウンロードします。	管理者が IPS パッケージとして PF をインストールします。	IPS リポジトリが、保存されたデータと移動中のデータのセキュリティーを提供します。
`pf`* コマンドがファイアウォールを実行します。	`svc`* コマンドがファイアウォールを実行します。これは SMF サービスです。	一部の PF コマンドの使用は、SMF コマンドに置き換えられています。
NAT での PF は IPv4 および IPv6 ネットワークを介して機能します。	OpenBSD が RFC 6146 で説明されている NAT-64 をサポートしているのに対して、Oracle Solaris は、RFC 2663 で説明されている従来の NAT のみをサポートしています。	NAT での PF は、IPv4 ネットワーク上でのみ機能します。
ゾーンのプロビジョニングはありません。	PF は Oracle Solaris ゾーン内やゾーン間で機能します。	非大域ゾーンが PF を使用できます。システム上のほかのゾーンの仮想ルーターとして機能するゾーンでは、ゾーン間のフィルタリングがサポートされています。
管理者は `pf.conf` ファイルを直接編集します。	管理者は `pfconf` スクリプトを使用して `pf.conf` ファイルを編集します。	スクリプトが構文を検証し、ファイアウォールを更新します。

詳細は、Oracle Solaris でパケットフィルタを使用するためのガイドラインおよびパケットフィルタファイアウォールの構成を参照してください。

Oracle Solaris でパケットフィルタを使用するためのガイドライン

PF を使用する場合は、次のガイドラインを確認してください。

PF ファイアウォールをインストールして使用するには、Oracle Solaris で PF ファイアウォールを構成する方法を参照してください。

solaris-small-server、solaris-large-server、および solaris-desktop グループパッケージは、デフォルトで IP フィルタサービスをインストールします。
svcadm enable firewall などの SMF コマンドを使用して PF を管理します。pfctl コマンドをいつ使用するかについては、IPF 規則を PF 規則に変換するための方針を参照してください。

SMF の概要については、Oracle Solaris 11.3 でのシステムサービスの管理 の第 1 章, サービス管理機能の概要を参照してください。SMF の手順については、Oracle Solaris 11.3 でのシステムサービスの管理 の第 3 章, サービスの管理を参照してください。
PF を管理するには、Network Firewall Management 権利プロファイルが割り当てられた管理者になる必要があります。root 役割にはこのプロファイルが含まれています。

ベストプラクティスは、作成したユーザーまたは役割に、Network Firewall Management 権利プロファイルを割り当てることです。役割を作成してその役割をユーザーに割り当てるには、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の役割の作成を参照してください。
pf.conf PF 構成ファイルを編集するには、Oracle Solaris から pfconf シェルスクリプトを使用します。このスクリプトは、pf.conf ファイルをエディタで開き、エディタを閉じる前に構文を検証し、エディタから firewall サービスをリフレッシュします。
マクロおよびテーブルを使用して、規則の構文を簡略化し、パフォーマンスを向上させます。詳細は、パケットフィルタのマクロとテーブルを参照してください。