如何為Solaris服務(wù)器配置款安全的防火墻

　　六、Solaris IP 過(guò)濾防火墻的監(jiān)控和管理

　　1.查看包過(guò)濾規(guī)則集

　　啟用 Solaris IP 過(guò)濾器后，活動(dòng)和非活動(dòng)的包過(guò)濾規(guī)則集都可以駐留在內(nèi)核中?；顒?dòng)規(guī)則集確定正在對(duì)傳入包和傳出包執(zhí)行的過(guò)濾。非活動(dòng)規(guī)則集也存儲(chǔ)規(guī)則，但不會(huì)使用這些規(guī)則，除非使非活動(dòng)規(guī)則集成為活動(dòng)規(guī)則集?？梢怨芾怼⒉榭春托薷幕顒?dòng)和非活動(dòng)的包過(guò)濾規(guī)則集。查看裝入到內(nèi)核中的活動(dòng)包過(guò)濾規(guī)則集，使用命令：ipfstat –io 。

　　如果希望查看非活動(dòng)的包過(guò)濾規(guī)則集。可以同使用命令：

　　# ipfstat -I –io

　　2. 激活不同的包過(guò)濾規(guī)則集

　　以下示例顯示如何將一個(gè)包過(guò)濾規(guī)則集替換為另一個(gè)包過(guò)濾規(guī)則集。

　　# ipf -Fa -f filename

　　活動(dòng)規(guī)則集將從內(nèi)核中刪除。filename 文件中的規(guī)則將成為活動(dòng)規(guī)則集。

　　3. 將規(guī)則附加到活動(dòng)的包過(guò)濾規(guī)則集

　　以下示例顯示如何從命令行將規(guī)則添加到活動(dòng)的包過(guò)濾規(guī)則集。

　　# ipfstat -io

　　empty list for ipfilter(out)

　　block in log quick from 10.0.0.0/8 to any

　　# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

　　# ipfstat -io

　　empty list for ipfilter(out)

　　block in log quick from 10.0.0.0/8 to any

　　block in on dmfe1 proto tcp from 10.1.1.1/32 to any

　　4、監(jiān)控整個(gè)IP管理器防火墻查看狀態(tài)表

　　另外可以使用命令：“ipfstat -s” 查看 Solaris IP 過(guò)濾器的狀態(tài)統(tǒng)計(jì)，使用命令：“ipnat -s” 查看 Solaris IP 過(guò)濾器的NAT狀態(tài)統(tǒng)計(jì)。使用 ippool -s 命令查看地址池統(tǒng)計(jì)。

　　七、查看 Solaris IPFilter包過(guò)濾防火墻的日志文件

　　使用命令如下：

　　ipmon –o -a [S|N|I] filename

　　參數(shù)說(shuō)明：

　　S ：顯示狀態(tài)日志文件。

　　N：顯示 NAT 日志文件。

　　I：顯示常規(guī) IP 日志文件。

　　-a：顯示所有的狀態(tài)日志文件、NAT 日志文件和常規(guī)日志文件。

　　清除包日志文件使用命令：

　　# ipmon -F

　　八、使用fwbuilder管理防火墻

　　事實(shí)上，如果讀者們不是很熟悉Solaris中IPFilter命令的使用方式，在這里介紹一個(gè)不錯(cuò)的圖形管理程序，就是fwbuilder (http://www.fwbuilder.org/)，可以從http://www.fwbuilder.org/nightly_builds/取得讀者們所需要的版本或是原始碼。Fwbuilder 是一個(gè)相當(dāng)有彈性的防火墻圖形接口，它不僅可以產(chǎn)生IPFilter 的規(guī)則，也可以產(chǎn)生 Cisco 的 FWSM (FireWall Service Module ，用于 Cisco 高階第三層交換機(jī) 6500 及 7600 系列 ) 及 PIX 的規(guī)則，更有趣的是，每次我們改變某臺(tái)機(jī)器的設(shè)定后，它會(huì)使用 RCS 來(lái)做版本控管，相當(dāng)實(shí)用。fwbuilder所支援的防火牆有：FWSM、ipfilter、ipfw、iptables、PF、PIX。

　　1、安裝qt庫(kù)

　　Qt 是一個(gè)跨平臺(tái)的 C++ 圖形用戶界面庫(kù)，由挪威 TrollTech 公司出品，目前包括Qt， 基于 Framebuffer 的 Qt Embedded，快速開(kāi)發(fā)工具 Qt Designer，國(guó)際化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系統(tǒng)，當(dāng)然也包括 Solaris，還支持 WinNT/Win2k/2003 平臺(tái)。

　　#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz

　　# pkgadd -d qt-3.3.4-sol10-intel-local.pkg

　　2、安裝openssl

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz

　　#pkgadd -d openssl-0.9.7g-sol10-intel-local.pkg

　　3、安裝snmp

　　簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SNMP)是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。1990年5月，RFC 1157定義了SNMP(simple network management protocol)的第一個(gè)版本SNMPv1。RFC 1157和另一個(gè)關(guān)于管理信息的文件RFC 1155一起，提供了一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)方法。因此，SNMP得到了廣泛應(yīng)用，并成為網(wǎng)絡(luò)管理的事實(shí)上的標(biāo)準(zhǔn)。大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)和平臺(tái)都是基于SNMP的。

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz

　　#pkgadd -d netsnmp-5.1.4-sol10-x86-local.pkg

　　4、安裝gtk+

　　GTK+ 是一種圖形用戶界面(GUI)工具包。也就是說(shuō)，它是一個(gè)庫(kù)(或者，實(shí)際上是若干個(gè)密切相關(guān)的庫(kù)的集合)，它支持創(chuàng)建基于 GUI 的應(yīng)用程序?？梢园?GTK+ 想像成一個(gè)工具包，從這個(gè)工具包中可以找到用來(lái)創(chuàng)建 GUI 的許多已經(jīng)準(zhǔn)備好的構(gòu)造塊。最初，GTK+ 是作為另一個(gè)著名的開(kāi)放源碼項(xiàng)目 —— GNU Image Manipulation Program (GIMP) —— 的副產(chǎn)品而創(chuàng)建的。在開(kāi)發(fā)早期的 GIMP 版本時(shí)，Peter Mattis 和 Spencer Kimball 創(chuàng)建了 GTK(它代表 GIMP Toolkit)，作為 Motif 工具包的替代，后者在那個(gè)時(shí)候不是免費(fèi)的。(當(dāng)這個(gè)工具包獲得了面向?qū)ο筇匦院涂蓴U(kuò)展性之后，才在名稱后面加上了一個(gè)加號(hào)。)這差不多已經(jīng) 10 年過(guò)去了。今天，在 GTK+ 的最新版本 —— 2.8 版上，仍然在進(jìn)行許多活動(dòng)，同時(shí)，GIMP 無(wú)疑仍然是使用 GTK+ 的最著名的程序之一，不過(guò)現(xiàn)在它已經(jīng)不是惟一的使用 GTK+ 的程序了。已經(jīng)為 GTK+ 編寫了成百上千的應(yīng)用程序，而且至少有兩個(gè)主要的桌面環(huán)境(Xfce 和 GNOME)用 GTK+ 為用戶提供完整的工作環(huán)境。

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/gtk+-1.2.10-sol10-intel-local.gz

　　#pkgadd -d gtk+-1.2.10-sol10-intel-local.pkg

　　5、安裝fwbuilder

　　如果以上的庫(kù)已經(jīng)安裝，就可以執(zhí)行下面的命令來(lái)安裝：

　　#wget http://ma.yer.at/fwbuilder/pkg/fwbuilder-2.0.10_build-657-i386.pkg.tar.bz2

　　#wget http://mirrors.easynews.com/sunfreeware/i386/10/libfwbuilder-2.0.10-sol10-x86-local.gz

　　#pkgadd -d libfwbuilder-2.0.10-sol10-x86-local.pkg

　　#pkgadd -d fwbuilder-2.0.10_build-657-i386.pkg

　　另外也可以使用在線安裝方式部署fwbuilder，命令如下：

　　#/opt/csw/bin/pkg-get -i fwbuilder。

　　6、使用fwbuilder

　　為了使用方便在桌面建立一個(gè)啟動(dòng)器，單擊鼠標(biāo)右鍵選擇創(chuàng)建啟動(dòng)器。如圖6 。在命令欄目輸入：/opt/csw/bin/fwbuilder即可。

　　桌面背景啟動(dòng)器可以啟動(dòng)應(yīng)用程序，也可以鏈接到某個(gè)特定的文件、文件夾、FTP 站點(diǎn)或 URI 位置。要在桌面背景上添加啟動(dòng)器，請(qǐng)執(zhí)行以下步驟：右擊桌面背景，然后選擇“創(chuàng)建啟動(dòng)器”。在“創(chuàng)建啟動(dòng)器”對(duì)話框中鍵入要求的信息。為該啟動(dòng)器輸入的命令就是在使用桌面背景對(duì)象時(shí)執(zhí)行的命令。 通過(guò)任何菜單當(dāng)您在任何菜單中右擊啟動(dòng)器時(shí)，即可打開(kāi)啟動(dòng)器的彈出菜單。您可以使用該彈出菜單向面板添加該啟動(dòng)器。也可以將菜單、啟動(dòng)器和面板應(yīng)用程序從菜單拖動(dòng)到面板中。通過(guò)文件管理器每個(gè)啟動(dòng)器都對(duì)應(yīng)一個(gè) .desktop 文件。您可以將 .desktop 文件拖動(dòng)到面板上，從而將該啟動(dòng)器添加到面板上。

　　總結(jié)：盡管IPFilter技術(shù)十分容易了解，并且對(duì)于在網(wǎng)絡(luò)傳輸上設(shè)置具體的限制特別有用， —般而言，配置IPFilter防火墻存在一些缺點(diǎn)，因?yàn)榉阑饓ε渲蒙婕熬帉懸?guī)則，常用規(guī)則語(yǔ)言的話法通常對(duì)于初學(xué)者(特別是Windows 初學(xué)者)難于理解，這樣數(shù)據(jù)包過(guò)濾可能難于正確配置。雖然，包過(guò)濾防火墻有如上所述的缺點(diǎn)，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮其作用。一般情況下，人們不單獨(dú)使用包過(guò)濾防火墻，而是將它和其他設(shè)備(如堡壘主機(jī)等)聯(lián)合使用。