【51CTO.com獨家特稿】對于連接互聯(lián)網(wǎng)上的服務(wù)器系統(tǒng)，不管是什么情況都要明確一點：網(wǎng)絡(luò)是不安全的。因此，雖然創(chuàng)建一個防火墻并不能保證系統(tǒng)100％安全，但卻是絕對必要的（51CTO王文文：去年底的時候甲骨文說要加大對OpenSolaris的投入，也不知道他們說話算不算數(shù)，不過我們到現(xiàn)在都沒看見Opensolaris的新版本出來。即使他們說話不算數(shù)，Solaris以及Opensolaris強大的功能和久經(jīng)考驗的Unix特性都將繼續(xù)影響技術(shù)人群）。

一、 使用命令行管理Opensolais 防火墻

1.查看IPFilter包過濾防火墻運行情況  

◆OpenSolaris上IPFilter 的啟動和關(guān)閉是由 SMF 管理的, IP 過濾防火墻隨操作系統(tǒng)一起安裝。但是，缺省情況下已經(jīng)啟用包過濾。使用以下命令查看。

# svcs |grep ipf
Online    
4:36:28 svc:/network/ipfilter:default

2.查看網(wǎng)卡接口

# ifconfig -a
lo0: flags=2001000849 mtu 8232 index 1
       
inet 127.0.0.1 netmask ff000000
nfo0: flags=1100843 mtu 1500 index 2
        
inet 192.168.0.17 netmask ffffff00 broadcast 192.168.0.255
        
ether 8:0:27:60:d7:88
lo0: flags=2002000849 mtu 8252 index 1
       
inet6 ::1/128

可以看到網(wǎng)卡接口是nfo0。

3 編輯一個防火墻規(guī)則

打開服務(wù)器22 端口允許ssh遠(yuǎn)程登錄。系統(tǒng)管理員通常使用進行ssh遠(yuǎn)程登錄，所以必須開放22端口。在IPFilter配置文件/etc/ipf/ipf.conf添加一行：

pass in log quick from any to any port = 22

IPFilter配置文件/etc/ipf/ipf.con 缺省情況下只有一些說明文件，沒有任何規(guī)則。

4 啟動服務(wù)

#svcadm refresh network/ipfilter

5. 重新引導(dǎo)計算機，使用命令：“reboot”

6.從客戶端計算機測試

下面從一臺和Opensorlaris連接的windows 計算機使用putty工具進行ssh連接檢測，如圖-1。  

圖 -1從客戶端計算機進行ssh操作 #p#

二、 使用Webmin 管理防火墻

1 Webmin簡介

大多數(shù)人在配置Unix的各種服務(wù)時都會感到頭痛，因為Unix下的服務(wù)太多，而且每種服務(wù)看起來都不容易配置。熟悉Windows環(huán)境下配置網(wǎng)絡(luò)服務(wù)的人對Unix下手工編寫配置文件一般都很不習(xí)慣，在Unix下，可以安裝一種可以通過瀏覽器對Unix服務(wù)器上的各項服務(wù)器進行配置的工具——Webmin。Webmin是一款優(yōu)秀的遠(yuǎn)程Unix/Linix服務(wù)器的管理軟件，通過控制面版(支持各種語言，包括簡體中文)，它可以讓用戶輕松地配置Unix下的各種服務(wù)器，甚至可以遠(yuǎn)程配置目前Unix上運行的所有服務(wù)，默認(rèn)端口是10000，支持SSL加密。它還可以讓用戶使用遠(yuǎn)端電腦上的瀏覽器，直接修改服務(wù)器里的使用者帳號、Apache、DNS和文件分享等設(shè)定。Webmin的管理工作是通過Web頁面的方式來實現(xiàn)的，所有操作簡單而且直觀，非常適合初學(xué)者。Webmin目錄下的 os_list.txt列出了當(dāng)前Webmin 支持的UNIX系統(tǒng)。

相對于其他GUI管理工具而言，Webmin具有如下顯著優(yōu)點 

◆Web管理方式使得Webmin同時具有本地和遠(yuǎn)程管理的能力；  

◆插件式結(jié)構(gòu)使得Webmin具有很強的擴展性和伸縮性。目前Webmin提供的標(biāo)準(zhǔn)管理模塊幾乎涵蓋了常見的Unix管理，而且第三方的管理模塊也被不斷地被開發(fā)出來；  

◆訪問控制和SSL支持為遠(yuǎn)程管理提供了足夠的安全性；  

◆國際化支持，提供多國語言版本

除了管理Unix系統(tǒng)外，Webmin還提供了管理Webmin本身的模塊。對Webmin本身的管理主要包括： 

◆模塊管理：這一部分包括插入一個模塊、刪除一個模塊、復(fù)制一個模塊和重新設(shè)置模塊所在的類別等。另外Webmin還提供了直接從Internet上升級的功能。  

◆界面風(fēng)格管理：Webmin提供多種界面風(fēng)格，0.91版中提供了KDE和Caldera兩種界面風(fēng)格。Webmin的界面風(fēng)格實際上也是一個模塊，你可以插入一個新的界面風(fēng)格。除此之外，你還可以修改Webmin的一些界面參數(shù)，如頁面背景顏色、表格背景顏色等。  
◆國際化支持：Webmin的一個很大特色是提供多國語言支持。目前Webmin支持的語言有：英、法、德、意、中、日、韓等語言。  

◆Webmin服務(wù)器群：Webmin還提供了發(fā)現(xiàn)和管理多個Webmin服務(wù)器的功能，這為同時管理多臺UNIX服務(wù)器提供了極大的便利。  

◆活動日志：Webmin的活動日志主要用于審計系統(tǒng)的管理活動。

2 下載配置Webmin

◆使用IPS方式安裝Webmin

◆使用腳本初始化Webmin

◆修改Webmin用戶配置配置文件添加一個登錄用戶cjh

#gedit /etc/webmin/miniserv.users
root:x:0
cjh:x:101

◆修改Webmin訪問控制文件/etc/webmin/webmin.acl

添加用戶如下：

cjh: acl adsl-client apache at backup-config
bandwidth bind8 bsdexports burner cfengine change-user
cluster-copy cluster-cron cluster-passwd cluster-shell
cluster-software cluster-useradmin cluster-usermin
cluster-webmin cpan cron custom dfsadmin dnsadmin dovecot
exports fdisk fetchmail file filter firewall format frox
fsdump grub heartbeat hpuxexports htaccess-htpasswd idmapd
inetd init inittab ipfilter ipfw ipsec jabber krb5 ldap-client
lilo lpadmin lvm mailboxes mailcap majordomo man mon mount mysql
net nis openslp pam  passwd phpini postfix postgresql ppp-client
pptp-client pptp-server procmail proc proftpd pserver qmailadmin
quota raid rbac samba sarg sendmail sentry servers sgiexports shell
shorewall smart-status smf software spam squid sshd status stunnel
syslog syslog-ng telnet time tunnel updown useradmin usermin vgetty webalizer
webminlog webmin wuftpd xinetd zones

◆重新啟動Webmin服務(wù)

#svcadm restart webmin

◆使用webmin

在本地或其他相連主機的瀏覽器中輸入主機名(或主機IP地址)及端口號，這里我們

輸入http://localhost:10000，系統(tǒng)將打開Webmin的登錄界面如圖-2。

 圖-2 Webmin的登錄界面

在Webmin的登錄界面中，輸入用戶名(admin)和密碼，單擊Login按鈕，系統(tǒng)將進入Webmin的主界面。

3初始化防火墻配置

打開Webmin網(wǎng)址選擇網(wǎng)絡(luò)配置下的“IPFilter Firewall”的“Reset Firewall”按鈕進入防火墻初始化界面如圖-3。  

圖-3 防火墻初始化界面  

◆用Webmin配置防火墻和NAT服務(wù)，本質(zhì)上是編輯和操作/etc/ipf/ipf.conf和/etc/ipf/ipnat.conf文件，所有配置結(jié)果都保存在以上兩個文件。

Webmin 為防火墻預(yù)置了五種選擇：

◆Allow all traffic

允許使用進出流量，相當(dāng)于在/etc/ipf/ipf.conf 文件中只有兩句：

pass out all
pass in all

◆Do network address translation on external interface:

進行NAT 轉(zhuǎn)換。

◆Block all incoming connections on external interface:

阻塞所有進入選定網(wǎng)卡的流量。相當(dāng)于在/etc/ipf/ipf.conf 文件中有如下規(guī)則：

# Skip next rule for external interface
skip 1 in quick on e1000g0 all
# Allow all traffic on internal interface
pass in quick all keep state
# Accept responses to DNS queries
pass in quick proto udp from any to any port 1024 <> 1024 keep state
# Accept responses to our pings
pass in quick proto icmp all icmp-type echorep keep state
# Accept notifications of unreachable hosts
pass in quick proto icmp all icmp-type unreach keep state
# Accept notifications to reduce sending speed
pass in quick proto icmp all icmp-type squench keep state
# Accept notifications of lost packets
pass in quick proto icmp all icmp-type timex keep state
# Accept notifications of protocol problems
pass in quick proto icmp all icmp-type paramprob keep state
block in all
pass out all

◆Block all except SSH and IDENT on external interface:

阻塞所有進入選定網(wǎng)卡的流量。但是不包括SSH 和IDENT 連接。相當(dāng)于在/etc/ipf/ipf.conf 文件中有如下規(guī)則：

# Skip next rule for external interface
skip 1 in quick on e1000g0 all
# Allow all traffic on internal interface
pass in quick all keep state
# Accept responses to DNS queries
pass in quick proto udp from any to any port 1024 <> 1024 keep state
# Accept responses to our pings
pass in quick proto icmp all icmp-type echorep keep state
# Accept notifications of unreachable hosts
pass in quick proto icmp all icmp-type unreach keep state
# Accept notifications to reduce sending speed
pass in quick proto icmp all icmp-type squench keep state
# Accept notifications of lost packets
pass in quick proto icmp all icmp-type timex keep state
# Accept notifications of protocol problems
pass in quick proto icmp all icmp-type paramprob keep state
# Allow connections to our SSH server
pass in quick proto tcp from any to any port = 22 keep state
# Allow connections to our IDENT server
pass in quick proto tcp from any to any port = 113 keep state
block in all
pass out all

◆Block all except SSH, IDENT, ping and high ports on interface:

阻塞所有進入選定網(wǎng)卡的流量。但是不包括SSH 和IDENT、ping 連接關(guān)閉1024 以上端口。

3 防火墻進階配置

除了預(yù)置了五種選擇，還可以在以上基礎(chǔ)上進行進階配置，以配置出更加符合每個人的實際需求的配置如圖-4。 

 圖-4 編輯防火墻規(guī)則

您可以在Rule comment 欄目直接輸入防火墻配置規(guī)則進行進階配置然后保存配置。

4 配置NAT

如果原來已經(jīng)設(shè)置啟用了中級或高級防火墻策略，那就必須注意在這里配置轉(zhuǎn)發(fā)（Forwarded packets (FORWARD)）規(guī)則，允許NAT通信的有關(guān)協(xié)議、端口的流量由內(nèi)向外通過，使NAT真正生效。配置界面如如圖-5。

  圖-5 配置NAT

假如我們允許所有的通信通過，規(guī)則如下：

map e1000g0 192.168.0.11/24 -> 192.168.0.17/24

然后按“Save”按鈕保存，再按“Apply Configuration”按鈕，使規(guī)則即可生效。 #p#

三、 使用GUI 工具管理防火墻

盡管IPFilter技術(shù)十分容易了解，并且對于在網(wǎng)絡(luò)傳輸上設(shè)置具體的限制特別有用，  —般而言，配置IPFilter防火墻存在一些缺點，因為防火墻配置涉及編寫規(guī)則，常用規(guī)則語言的話法通常對于初學(xué)者（特別是Windows 初學(xué)者）難于理解，這樣數(shù)據(jù)包過濾可能難于正確配置。當(dāng)然如果您以前使用Freebsd 那么掌握IPFilter包過濾防火墻就非常簡單了。

規(guī)則表很快會變得很大而且復(fù)雜，規(guī)則很難測試。隨著表的增大和復(fù)雜性的增加，規(guī)則結(jié)構(gòu)出現(xiàn)漏洞的可能  性也會增加。這種防火墻***的缺陷是它依賴一個單一的部件來保護系統(tǒng)。如果這個部件出現(xiàn)了問題，會使得網(wǎng)絡(luò)大門敞開，而用戶其至可能還不知道。在一般情況下，如果外部用戶被允許訪問內(nèi)部主機，則它就可以訪問內(nèi)部網(wǎng)上的任何主機。包過濾防火墻只能阻止一種類型的IP欺騙，即外部主機偽裝內(nèi)部主機的IP，對于外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。雖然，包過濾防火墻有如上所述的缺點，但是在管理良好的小規(guī)模網(wǎng)絡(luò)上，它能夠正常的發(fā)揮其作用。一般情況下，人們不單獨使用包過濾防火墻，而是將它和其他設(shè)備（如堡壘主機等）聯(lián)合使用。事實上，如果讀者們不是很熟悉IPFilter命令的使用方式，在這里介紹一個不錯的圖形管理程序，就是“System Firewall（系統(tǒng)防火墻）“ 。這是一個Opensolais 2010.03 發(fā)行版的一個新工具是Java 編寫的。

System Firewall（系統(tǒng)防火墻）服務(wù)包括： 

◆防火墻政策選擇 

◆默認(rèn)設(shè)置防火墻策略 

◆打開程序設(shè)置策略 

◆對全系統(tǒng)防火墻策略設(shè)置覆蓋 

◆個性化服務(wù)的防火墻策略

System Firewall（系統(tǒng)防火墻）選項卡介紹:

1.系統(tǒng)的默認(rèn)設(shè)置防火墻策略選項卡

如圖-6  

圖-6 系統(tǒng)的默認(rèn)設(shè)置防火墻策略

下面的操作支持默認(rèn)選項卡： 

◆啟用基于主機的防火墻服務(wù) 

◆設(shè)置全系統(tǒng)的政策，拒絕或允許來自特定主機，網(wǎng)絡(luò)或接口訪問。 

◆添加一個主機，網(wǎng)絡(luò)或接口的政策 

◆編輯條目的政策 

◆刪除條目從政策 

◆添加，編輯或刪除異常的準(zhǔn)入政策 

◆選擇不執(zhí)行任何訪問策略 

◆選擇使用自定義的策略文件 

◆全系統(tǒng)所制定的政策在此選項卡可以更改為每個個性化服務(wù)的政策。

2 .打開程序設(shè)置選項卡

如圖-7 

圖-7 打開程序設(shè)置選項卡

下面的操作支持打開程序設(shè)置選項卡： 

◆從選項卡打開的程序，你可以： 

◆使用添加按鈕來定義一個端口，該端口的傳輸協(xié)議 

◆選擇編輯按鈕更改端口或協(xié)議規(guī)范 

◆使用刪除按鈕來刪除一個端口

3.防火墻策略設(shè)置覆蓋選項卡

如圖-8 。  

圖-8 防火墻策略設(shè)置覆蓋

系統(tǒng)政策中定義的替代選項卡。在覆蓋政策不能改變一個人服務(wù)的政策。你可以選擇： 

◆強制執(zhí)行安全政策 

◆拒絕或允許來自特定主機，網(wǎng)絡(luò)或接口訪問。 

◆添加一個主機，網(wǎng)絡(luò)或接口的訪問策略 

◆編輯條目的訪問策略 

◆刪除條目從準(zhǔn)入政策

4.個性化服務(wù)的防火墻策略

如圖-9 。  

圖-9 個性化服務(wù)的防火墻策略

從防火墻策略選擇，你可以選擇一個特定于服務(wù)的防火墻策略配置。這項服務(wù)的具體政策，采取了防火墻的默認(rèn)全系統(tǒng)的政策優(yōu)先，但不是全系統(tǒng)覆蓋的政策。對于每個服務(wù)，您可以選擇： 

◆使用默認(rèn)全系統(tǒng)準(zhǔn)入政策>  

◆拒絕或允許來自特定主機，網(wǎng)絡(luò)或接口訪問。在選定的服務(wù)，特別是你可以： 

◆添加一個主機，網(wǎng)絡(luò)或接口的訪問策略 

◆編輯條目的訪問策略 

◆刪除條目從準(zhǔn)入政策 

◆添加，編輯或刪除異常的準(zhǔn)入政策 

◆選擇不強制執(zhí)行安全政策

5 更改用戶

所有面板讓您為不同的用戶或角色的變化。若要使用不同的用戶，請單擊窗口頂部的右上角的鎖圖標(biāo)，旁邊的用戶名。在出現(xiàn)的對話框提示您輸入用戶名和密碼。如果你想使用一個角色，要提供角色名稱和角色密碼（用戶名和已被授予這一作用還必須提供帳戶密碼）。如圖-10 。  

圖-10更改用戶

【51CTO.COM 獨家特稿，轉(zhuǎn)載請注明出處及作者！】

【編輯推薦】

1. 網(wǎng)絡(luò)安全中防火墻和IDS的作用
2. 企業(yè)安全要上鎖如何選購硬件防火墻