如何为Solaris服务器配置款安全的防火墙(4)

如何为Solaris服务器配置款安全的防火墙

　　六、Solaris IP 过滤防火墙的监控和管理

　　1.查看包过滤规则集

　　启用 Solaris IP 过滤器后，活动和非活动的包过滤规则集都可以驻留在内核中。活动规则集确定正在对传入包和传出包执行的过滤。非活动规则集也存储规则，但不会使用这些规则，除非使非活动规则集成为活动规则集。可以管理、查看和修改活动和非活动的包过滤规则集。查看装入到内核中的活动包过滤规则集，使用命令：ipfstat –io 。

　　如果希望查看非活动的包过滤规则集。可以同使用命令：

　　# ipfstat -I –io

　　2. 激活不同的包过滤规则集

　　以下示例显示如何将一个包过滤规则集替换为另一个包过滤规则集。

　　# ipf -Fa -f filename

　　活动规则集将从内核中删除。filename 文件中的规则将成为活动规则集。

　　3. 将规则附加到活动的包过滤规则集

　　以下示例显示如何从命令行将规则添加到活动的包过滤规则集。

　　# ipfstat -io

　　empty list for ipfilter(out)

　　block in log quick from 10.0.0.0/8 to any

　　# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

　　# ipfstat -io

　　empty list for ipfilter(out)

　　block in log quick from 10.0.0.0/8 to any

　　block in on dmfe1 proto tcp from 10.1.1.1/32 to any

　　4、监控整个IP管理器防火墙查看状态表

　　另外可以使用命令：“ipfstat -s” 查看 Solaris IP 过滤器的状态统计，使用命令：“ipnat -s” 查看 Solaris IP 过滤器的NAT状态统计。使用 ippool -s 命令查看地址池统计。

　　七、查看 Solaris IPFilter包过滤防火墙的日志文件

　　使用命令如下：

　　ipmon –o -a [S|N|I] filename

　　参数说明：

　　S ：显示状态日志文件。

　　N：显示 NAT 日志文件。

　　I：显示常规 IP 日志文件。

　　-a：显示所有的状态日志文件、NAT 日志文件和常规日志文件。

　　清除包日志文件使用命令：

　　# ipmon -F

　　八、使用fwbuilder管理防火墙

　　事实上，如果读者们不是很熟悉Solaris中IPFilter命令的使用方式，在这里介绍一个不错的图形管理程序，就是fwbuilder (http://www.fwbuilder.org/)，可以从http://www.fwbuilder.org/nightly_builds/取得读者们所需要的版本或是原始码。Fwbuilder 是一个相当有弹性的防火墙图形接口，它不仅可以产生IPFilter 的规则，也可以产生 Cisco 的 FWSM (FireWall Service Module ，用于 Cisco 高阶第三层交换机 6500 及 7600 系列 ) 及 PIX 的规则，更有趣的是，每次我们改变某台机器的设定后，它会使用 RCS 来做版本控管，相当实用。fwbuilder所支援的防火牆有：FWSM、ipfilter、ipfw、iptables、PF、PIX。

　　1、安装qt库

　　Qt 是一个跨平台的 C++ 图形用户界面库，由挪威 TrollTech 公司出品，目前包括Qt， 基于 Framebuffer 的 Qt Embedded，快速开发工具 Qt Designer，国际化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系统，当然也包括 Solaris，还支持 WinNT/Win2k/2003 平台。

　　#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz

　　# pkgadd -d qt-3.3.4-sol10-intel-local.pkg

　　2、安装openssl

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz

　　#pkgadd -d openssl-0.9.7g-sol10-intel-local.pkg

　　3、安装snmp

　　简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月，RFC 1157定义了SNMP(simple network management protocol)的第一个版本SNMPv1。RFC 1157和另一个关于管理信息的文件RFC 1155一起，提供了一种监控和管理计算机网络的系统方法。因此，SNMP得到了广泛应用，并成为网络管理的事实上的标准。大多数网络管理系统和平台都是基于SNMP的。

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz

　　#pkgadd -d netsnmp-5.1.4-sol10-x86-local.pkg

　　4、安装gtk+

　　GTK+ 是一种图形用户界面(GUI)工具包。也就是说，它是一个库(或者，实际上是若干个密切相关的库的集合)，它支持创建基于 GUI 的应用程序。可以把 GTK+ 想像成一个工具包，从这个工具包中可以找到用来创建 GUI 的许多已经准备好的构造块。最初，GTK+ 是作为另一个著名的开放源码项目 —— GNU Image Manipulation Program (GIMP) —— 的副产品而创建的。在开发早期的 GIMP 版本时，Peter Mattis 和 Spencer Kimball 创建了 GTK(它代表 GIMP Toolkit)，作为 Motif 工具包的替代，后者在那个时候不是免费的。(当这个工具包获得了面向对象特性和可扩展性之后，才在名称后面加上了一个加号。)这差不多已经 10 年过去了。今天，在 GTK+ 的最新版本 —— 2.8 版上，仍然在进行许多活动，同时，GIMP 无疑仍然是使用 GTK+ 的最著名的程序之一，不过现在它已经不是惟一的使用 GTK+ 的程序了。已经为 GTK+ 编写了成百上千的应用程序，而且至少有两个主要的桌面环境(Xfce 和 GNOME)用 GTK+ 为用户提供完整的工作环境。

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz

　　#pkgadd -d gtk+-1.2.10-sol10-intel-local.pkg

　　5、安装fwbuilder

　　如果以上的库已经安装，就可以执行下面的命令来安装：

　　#wget http://ma.yer.at/fwbuilder/pkg/fwbuilder-2.0.10_build-657-i386.pkg.tar.bz2

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/libfwbuilder-2.0.10-sol10-x86-local.gz

　　#pkgadd -d libfwbuilder-2.0.10-sol10-x86-local.pkg

　　#pkgadd -d fwbuilder-2.0.10_build-657-i386.pkg

　　另外也可以使用在线安装方式部署fwbuilder，命令如下：

　　#/opt/csw/bin/pkg-get -i fwbuilder。

　　6、使用fwbuilder

　　为了使用方便在桌面建立一个启动器，单击鼠标右键选择创建启动器。如图6 。在命令栏目输入：/opt/csw/bin/fwbuilder即可。

　　桌面背景启动器可以启动应用程序，也可以链接到某个特定的文件、文件夹、FTP 站点或 URI 位置。要在桌面背景上添加启动器，请执行以下步骤：右击桌面背景，然后选择“创建启动器”。在“创建启动器”对话框中键入要求的信息。为该启动器输入的命令就是在使用桌面背景对象时执行的命令。 通过任何菜单当您在任何菜单中右击启动器时，即可打开启动器的弹出菜单。您可以使用该弹出菜单向面板添加该启动器。也可以将菜单、启动器和面板应用程序从菜单拖动到面板中。通过文件管理器每个启动器都对应一个 .desktop 文件。您可以将 .desktop 文件拖动到面板上，从而将该启动器添加到面板上。

　　总结：尽管IPFilter技术十分容易了解，并且对于在网络传输上设置具体的限制特别有用， —般而言，配置IPFilter防火墙存在一些缺点，因为防火墙配置涉及编写规则，常用规则语言的话法通常对于初学者(特别是Windows 初学者)难于理解，这样数据包过滤可能难于正确配置。虽然，包过滤防火墙有如上所述的缺点，但是在管理良好的小规模网络上，它能够正常的发挥其作用。一般情况下，人们不单独使用包过滤防火墙，而是将它和其他设备(如堡垒主机等)联合使用。