3. 片段高速缓存检查 :如果当前流量中的下一个包是片段,而且允许前一个包通过,则也
将允许包片段通过,从而绕过状态表和规则检查。
4. 包状态检查 :如果规则中包括 keep state,则会自动传递或阻止指定会话中的所有
包,具体取决于规则指明了 pass 还是 block。
5. 防火墙检查 :可以分别设置输入规则和输出规则,确定是否允许包通过 Solaris IP 过滤
器传入内核的 TCP/IP 例程或者传出到网络上。
6. 组:通过分组可以按树的形式编写规则集。
7. 功能 :功能是指要执行的操作。可能的功能包括 block、pass、literal 和 send
ICMP response。
8. 快速路由 :快速路由指示 Solaris IP 过滤器不将包传入 UNIX IP 栈进行路由,从而导
致 TTL 递减。
9. IP 验证 :已验证的包仅通过防火墙循环一次来防止双重处理。
二、学会编写 IPFfilter 规则
典型的防火墙设置有两个网卡:一个流入,一个流出。IPFfilter 读取流入和流出数据包的报
头,将它们与规则集(Ruleset)相比较,将可接受的数据包从一个网卡转发至另一个网卡,对被
拒绝的数据包,可以丢弃或按照所定义的方式来处理。 通过向防火墙提供有关对来自某个源地
址、到某个目的地或具有特定协议类型的信息包要做些什么的指令,规则控制信息包的过滤。通过
使用 IPFfilter 系统提供的特殊命令建立这些规则,并将其添加到内核空间特定信息包过滤表内的
链中。关于添加、去除、编辑规则的命令,一般语法如下:
action [in|out] option keyword, keyword...
参数说明:
1. 每个规则都以操作开头。如果包与规则匹配,则 Solaris IP 过滤器将操作应用于该包。
以下列表包括应用于包的常用操作。
block :阻止包通过过滤器。
pass :允许包通过过滤器。
log :记录包但不确定是阻止包还是传递包。使用 ipmon 命令可查看日志。
count :将包包括在过滤器统计信息中。使用 ipfstat 命令可查看统计信息。
skip
number
:使过滤器跳过
number
个过滤规则。
auth :请求由验证包信息的用户程序执行包验证。该程序会确定是传递包还是阻止包。
preauth :请求过滤器查看预先验证的列表以确定如何处理包。
评论0
最新资源