AIX 中配置防火墙策略
前言
在通常情况下,AIX 服务器都放置于企业内部环境中,可以受到企业级防火墙
的保护。为了方便使用,在 AIX 系统中许多常用服务端口缺省是开放的,但这
同时也带来一定的安全隐患,给企业内部一些别有用心的人提供了方便之门。
安全无小事,对于运行了关键业务的 AIX 服务器,为了提高安全性,我们可以
通过关闭不必要的端口,停止相应的服务来实现。但是,如果某项服务端口由
于应用的特殊需要不可以停止,有什么办法可以使其只为一部分服务器提供该
项服务,而不为其他服务器提供该项服务呢 ? 即通 IP 地址来判断访问请求是
否合理,可否为其提供服务。
为了保护 AIX 服务器,避免不必要的访问,最好的办法就是在 AIX 中实施 IP
过滤规则。在 AIX 中我们通过设置 IP 过滤规则 (IP Security Filter),只接受预
先定义好的访问请求而拒绝其他的访问的请求。
下面就 IP Security Filter 的设置步骤进行介绍。
安装 IP Security 软件包
为了设置 IP 过滤规则,需要在 AIX 上安装相应的 IP security 软件包,检查系
统中是否有以下的软件包。 ( 在本文中所使用的操作系统的版本是 AIX 6100-
TL06-SP01,而 IP Security Filter Feature 在早期的 AIX4.3.3 中就有支持了 )
图 1. 检查系统中是否安装了 IPSec 的软件包
如果没有,请在光盘驱动器中插入 AIX 操作系统 DVD,使用 AIX 中的 smit 命令进行安装。
该软件包是随着操作系统一起提供的。
1 # smitty install
加载 IP Security 核心扩展模块
软件包安装完成后,需要在系统中加载 IP Security 核心扩展模块,才能使过滤
功能生效。可以使用 smitty 或 mkdev 命令来完成模块的加载。
请参照以下图片完成 IP Security 扩展模块的加载。
1 #smitty tcpip
Configure IP Security (IPv4)->Start/Stop IP Security-
>Start IP Security
图 2. 加载 IP Security 扩展模块