IP フィルタ の機能とパケットフィルタ (PF) の機能は、正確には一致しません。そのため、IP フィルタ の構成をパケットフィルタの構成にマップする変換ツールはあり得ません。ネットワークポリシー (ファイアウォールポリシーを含む) をある製品から別の製品に変換する場合の最適な方針は、要件と仕様を確認してから、新しいツールを使用してポリシーを実装することです。IP フィルタ 構成ファイルのネットワークポリシーを実装する PF 構成ファイルの例については、使用例 4を参照してください。
次の表は、PF の Oracle Solaris 実装と IP フィルタ を比較しています。表 4では、PF の Oracle Solaris 実装と OpenBSD PF を比較します。
|
次の表では、PF の OpenBSD 実装と Oracle Solaris バージョンの違いについて説明します。Oracle Solaris に含まれていない OpenBSD 機能については、パケットフィルタの概要を参照してください。
|
詳細は、Oracle Solaris でパケットフィルタを使用するためのガイドラインおよびパケットフィルタファイアウォールの構成を参照してください。
PF を使用する場合は、次のガイドラインを確認してください。
PF ファイアウォールをインストールして使用するには、Oracle Solaris で PF ファイアウォールを構成する方法を参照してください。
solaris-small-server、solaris-large-server、および solaris-desktop グループパッケージは、デフォルトで IP フィルタサービスをインストールします。
svcadm enable firewall などの SMF コマンドを使用して PF を管理します。pfctl コマンドをいつ使用するかについては、IPF 規則を PF 規則に変換するための方針を参照してください。
SMF の概要については、Oracle Solaris 11.3 でのシステムサービスの管理 の 第 1 章, サービス管理機能の概要を参照してください。SMF の手順については、Oracle Solaris 11.3 でのシステムサービスの管理 の 第 3 章, サービスの管理を参照してください。
PF を管理するには、Network Firewall Management 権利プロファイルが割り当てられた管理者になる必要があります。root 役割にはこのプロファイルが含まれています。
ベストプラクティスは、作成したユーザーまたは役割に、Network Firewall Management 権利プロファイルを割り当てることです。役割を作成してその役割をユーザーに割り当てるには、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 役割の作成を参照してください。
pf.conf PF 構成ファイルを編集するには、Oracle Solaris から pfconf シェルスクリプトを使用します。このスクリプトは、pf.conf ファイルをエディタで開き、エディタを閉じる前に構文を検証し、エディタから firewall サービスをリフレッシュします。
マクロおよびテーブルを使用して、規則の構文を簡略化し、パフォーマンスを向上させます。詳細は、パケットフィルタのマクロとテーブルを参照してください。