为Solaris服务器配置款安全的防火墙(3)
http://www.itjxue.com 2007-11-14 21:35 来源:IT教学网 点击次数:
4. 编辑防火墙规则
使服务器对ping没有反应 ,防止你的服务器对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点,黑客可以利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改配置文件/etc/ipf/ipf.conf添加一行:
block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0
如图 3
图 3 配置文件/etc/ipf/ipf.conf添加一行
说明:IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp),启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候,可以使用icmp-type关键字来指定ICMP协议的类型,类型的值以下几种见表1。
表1 ICMP协议内容简介
| 类型 | 名称 | 备注 |
| 0 | 回波应答(Echo Reply) | 不允许ping命令回应 |
| 8 | 回波(Echo) | 允许ping命令回应 |
| 9 | 路由器公告(Router dvertisement) | |
| 10 | 路由器选择(Router Selection) |
所以把icmp-type设置为 0即可。
5. 启动服务
使用命令:svcadm enable svc:/network/ipfilter:default
6.使 pfil.ap配置文件生效
autopush -f /etc/ipf/pfil.ap
说明:此步骤只需要做一次,以后更改防火墙规则就不需要再做。
7.重新引导计算机,使用命令:“init 6”。
8.使用命令再次查看IPFilter包过滤防火墙运行情况 。
