如何為Solaris服務器配置款安全的防火墻(4)

如何為Solaris服務器配置款安全的防火墻

　　六、Solaris IP 過濾防火墻的監控和管理

　　1.查看包過濾規則集

　　啟用 Solaris IP 過濾器后，活動和非活動的包過濾規則集都可以駐留在內核中。活動規則集確定正在對傳入包和傳出包執行的過濾。非活動規則集也存儲規則，但不會使用這些規則，除非使非活動規則集成為活動規則集。可以管理、查看和修改活動和非活動的包過濾規則集。查看裝入到內核中的活動包過濾規則集，使用命令：ipfstat –io 。

　　如果希望查看非活動的包過濾規則集。可以同使用命令：

　　# ipfstat -I –io

　　2. 激活不同的包過濾規則集

　　以下示例顯示如何將一個包過濾規則集替換為另一個包過濾規則集。

　　# ipf -Fa -f filename

　　活動規則集將從內核中刪除。filename 文件中的規則將成為活動規則集。

　　3. 將規則附加到活動的包過濾規則集

　　以下示例顯示如何從命令行將規則添加到活動的包過濾規則集。

　　# ipfstat -io

　　empty list for ipfilter(out)

　　block in log quick from 10.0.0.0/8 to any

　　# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

　　# ipfstat -io

　　empty list for ipfilter(out)

　　block in log quick from 10.0.0.0/8 to any

　　block in on dmfe1 proto tcp from 10.1.1.1/32 to any

　　4、監控整個IP管理器防火墻查看狀態表

　　另外可以使用命令：“ipfstat -s” 查看 Solaris IP 過濾器的狀態統計，使用命令：“ipnat -s” 查看 Solaris IP 過濾器的NAT狀態統計。使用 ippool -s 命令查看地址池統計。

　　七、查看 Solaris IPFilter包過濾防火墻的日志文件

　　使用命令如下：

　　ipmon –o -a [S|N|I] filename

　　參數說明：

　　S ：顯示狀態日志文件。

　　N：顯示 NAT 日志文件。

　　I：顯示常規 IP 日志文件。

　　-a：顯示所有的狀態日志文件、NAT 日志文件和常規日志文件。

　　清除包日志文件使用命令：

　　# ipmon -F

　　八、使用fwbuilder管理防火墻

　　事實上，如果讀者們不是很熟悉Solaris中IPFilter命令的使用方式，在這里介紹一個不錯的圖形管理程序，就是fwbuilder (http://www.fwbuilder.org/)，可以從http://www.fwbuilder.org/nightly_builds/取得讀者們所需要的版本或是原始碼。Fwbuilder 是一個相當有彈性的防火墻圖形接口，它不僅可以產生IPFilter 的規則，也可以產生 Cisco 的 FWSM (FireWall Service Module ，用于 Cisco 高階第三層交換機 6500 及 7600 系列 ) 及 PIX 的規則，更有趣的是，每次我們改變某臺機器的設定后，它會使用 RCS 來做版本控管，相當實用。fwbuilder所支援的防火牆有：FWSM、ipfilter、ipfw、iptables、PF、PIX。

　　1、安裝qt庫

　　Qt 是一個跨平臺的 C++ 圖形用戶界面庫，由挪威 TrollTech 公司出品，目前包括Qt， 基于 Framebuffer 的 Qt Embedded，快速開發工具 Qt Designer，國際化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系統，當然也包括 Solaris，還支持 WinNT/Win2k/2003 平臺。

　　#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz

　　# pkgadd -d qt-3.3.4-sol10-intel-local.pkg

　　2、安裝openssl

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz

　　#pkgadd -d openssl-0.9.7g-sol10-intel-local.pkg

　　3、安裝snmp

　　簡單網絡管理協議(SNMP)是目前TCP/IP網絡中應用最為廣泛的網絡管理協議。1990年5月，RFC 1157定義了SNMP(simple network management protocol)的第一個版本SNMPv1。RFC 1157和另一個關于管理信息的文件RFC 1155一起，提供了一種監控和管理計算機網絡的系統方法。因此，SNMP得到了廣泛應用，并成為網絡管理的事實上的標準。大多數網絡管理系統和平臺都是基于SNMP的。

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz

　　#pkgadd -d netsnmp-5.1.4-sol10-x86-local.pkg

　　4、安裝gtk+

　　GTK+ 是一種圖形用戶界面(GUI)工具包。也就是說，它是一個庫(或者，實際上是若干個密切相關的庫的集合)，它支持創建基于 GUI 的應用程序。可以把 GTK+ 想像成一個工具包，從這個工具包中可以找到用來創建 GUI 的許多已經準備好的構造塊。最初，GTK+ 是作為另一個著名的開放源碼項目 —— GNU Image Manipulation Program (GIMP) —— 的副產品而創建的。在開發早期的 GIMP 版本時，Peter Mattis 和 Spencer Kimball 創建了 GTK(它代表 GIMP Toolkit)，作為 Motif 工具包的替代，后者在那個時候不是免費的。(當這個工具包獲得了面向對象特性和可擴展性之后，才在名稱后面加上了一個加號。)這差不多已經 10 年過去了。今天，在 GTK+ 的最新版本 —— 2.8 版上，仍然在進行許多活動，同時，GIMP 無疑仍然是使用 GTK+ 的最著名的程序之一，不過現在它已經不是惟一的使用 GTK+ 的程序了。已經為 GTK+ 編寫了成百上千的應用程序，而且至少有兩個主要的桌面環境(Xfce 和 GNOME)用 GTK+ 為用戶提供完整的工作環境。

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz

　　#pkgadd -d gtk+-1.2.10-sol10-intel-local.pkg

　　5、安裝fwbuilder

　　如果以上的庫已經安裝，就可以執行下面的命令來安裝：

　　#wget http://ma.yer.at/fwbuilder/pkg/fwbuilder-2.0.10_build-657-i386.pkg.tar.bz2

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/libfwbuilder-2.0.10-sol10-x86-local.gz

　　#pkgadd -d libfwbuilder-2.0.10-sol10-x86-local.pkg

　　#pkgadd -d fwbuilder-2.0.10_build-657-i386.pkg

　　另外也可以使用在線安裝方式部署fwbuilder，命令如下：

　　#/opt/csw/bin/pkg-get -i fwbuilder。

　　6、使用fwbuilder

　　為了使用方便在桌面建立一個啟動器，單擊鼠標右鍵選擇創建啟動器。如圖6 。在命令欄目輸入：/opt/csw/bin/fwbuilder即可。

　　桌面背景啟動器可以啟動應用程序，也可以鏈接到某個特定的文件、文件夾、FTP 站點或 URI 位置。要在桌面背景上添加啟動器，請執行以下步驟：右擊桌面背景，然后選擇“創建啟動器”。在“創建啟動器”對話框中鍵入要求的信息。為該啟動器輸入的命令就是在使用桌面背景對象時執行的命令。 通過任何菜單當您在任何菜單中右擊啟動器時，即可打開啟動器的彈出菜單。您可以使用該彈出菜單向面板添加該啟動器。也可以將菜單、啟動器和面板應用程序從菜單拖動到面板中。通過文件管理器每個啟動器都對應一個 .desktop 文件。您可以將 .desktop 文件拖動到面板上，從而將該啟動器添加到面板上。

　　總結：盡管IPFilter技術十分容易了解，并且對于在網絡傳輸上設置具體的限制特別有用， —般而言，配置IPFilter防火墻存在一些缺點，因為防火墻配置涉及編寫規則，常用規則語言的話法通常對于初學者(特別是Windows 初學者)難于理解，這樣數據包過濾可能難于正確配置。雖然，包過濾防火墻有如上所述的缺點，但是在管理良好的小規模網絡上，它能夠正常的發揮其作用。一般情況下，人們不單獨使用包過濾防火墻，而是將它和其他設備(如堡壘主機等)聯合使用。