【51CTO.com獨家特稿】對于連接互聯網上的服務器系統，不管是什么情況都要明確一點：網絡是不安全的。因此，雖然創建一個防火墻并不能保證系統100％安全，但卻是絕對必要的（51CTO王文文：去年底的時候甲骨文說要加大對OpenSolaris的投入，也不知道他們說話算不算數，不過我們到現在都沒看見Opensolaris的新版本出來。即使他們說話不算數，Solaris以及Opensolaris強大的功能和久經考驗的Unix特性都將繼續影響技術人群）。

一、 使用命令行管理Opensolais 防火墻

1.查看IPFilter包過濾防火墻運行情況  

◆OpenSolaris上IPFilter 的啟動和關閉是由 SMF 管理的, IP 過濾防火墻隨操作系統一起安裝。但是，缺省情況下已經啟用包過濾。使用以下命令查看。

# svcs |grep ipf
Online    
4:36:28 svc:/network/ipfilter:default

2.查看網卡接口

# ifconfig -a
lo0: flags=2001000849 mtu 8232 index 1
       
inet 127.0.0.1 netmask ff000000
nfo0: flags=1100843 mtu 1500 index 2
        
inet 192.168.0.17 netmask ffffff00 broadcast 192.168.0.255
        
ether 8:0:27:60:d7:88
lo0: flags=2002000849 mtu 8252 index 1
       
inet6 ::1/128

可以看到網卡接口是nfo0。

3 編輯一個防火墻規則

打開服務器22 端口允許ssh遠程登錄。系統管理員通常使用進行ssh遠程登錄，所以必須開放22端口。在IPFilter配置文件/etc/ipf/ipf.conf添加一行：

pass in log quick from any to any port = 22

IPFilter配置文件/etc/ipf/ipf.con 缺省情況下只有一些說明文件，沒有任何規則。

4 啟動服務

#svcadm refresh network/ipfilter

5. 重新引導計算機，使用命令：“reboot”

6.從客戶端計算機測試

下面從一臺和Opensorlaris連接的windows 計算機使用putty工具進行ssh連接檢測，如圖-1。  

圖 -1從客戶端計算機進行ssh操作 #p#

二、 使用Webmin 管理防火墻

1 Webmin簡介

大多數人在配置Unix的各種服務時都會感到頭痛，因為Unix下的服務太多，而且每種服務看起來都不容易配置。熟悉Windows環境下配置網絡服務的人對Unix下手工編寫配置文件一般都很不習慣，在Unix下，可以安裝一種可以通過瀏覽器對Unix服務器上的各項服務器進行配置的工具——Webmin。Webmin是一款優秀的遠程Unix/Linix服務器的管理軟件，通過控制面版(支持各種語言，包括簡體中文)，它可以讓用戶輕松地配置Unix下的各種服務器，甚至可以遠程配置目前Unix上運行的所有服務，默認端口是10000，支持SSL加密。它還可以讓用戶使用遠端電腦上的瀏覽器，直接修改服務器里的使用者帳號、Apache、DNS和文件分享等設定。Webmin的管理工作是通過Web頁面的方式來實現的，所有操作簡單而且直觀，非常適合初學者。Webmin目錄下的 os_list.txt列出了當前Webmin 支持的UNIX系統。

相對于其他GUI管理工具而言，Webmin具有如下顯著優點 

◆Web管理方式使得Webmin同時具有本地和遠程管理的能力；  

◆插件式結構使得Webmin具有很強的擴展性和伸縮性。目前Webmin提供的標準管理模塊幾乎涵蓋了常見的Unix管理，而且第三方的管理模塊也被不斷地被開發出來；  

◆訪問控制和SSL支持為遠程管理提供了足夠的安全性；  

◆國際化支持，提供多國語言版本

除了管理Unix系統外，Webmin還提供了管理Webmin本身的模塊。對Webmin本身的管理主要包括： 

◆模塊管理：這一部分包括插入一個模塊、刪除一個模塊、復制一個模塊和重新設置模塊所在的類別等。另外Webmin還提供了直接從Internet上升級的功能。  

◆界面風格管理：Webmin提供多種界面風格，0.91版中提供了KDE和Caldera兩種界面風格。Webmin的界面風格實際上也是一個模塊，你可以插入一個新的界面風格。除此之外，你還可以修改Webmin的一些界面參數，如頁面背景顏色、表格背景顏色等。  
◆國際化支持：Webmin的一個很大特色是提供多國語言支持。目前Webmin支持的語言有：英、法、德、意、中、日、韓等語言。  

◆Webmin服務器群：Webmin還提供了發現和管理多個Webmin服務器的功能，這為同時管理多臺UNIX服務器提供了極大的便利。  

◆活動日志：Webmin的活動日志主要用于審計系統的管理活動。

2 下載配置Webmin

◆使用IPS方式安裝Webmin

◆使用腳本初始化Webmin

◆修改Webmin用戶配置配置文件添加一個登錄用戶cjh

#gedit /etc/webmin/miniserv.users
root:x:0
cjh:x:101

◆修改Webmin訪問控制文件/etc/webmin/webmin.acl

添加用戶如下：

cjh: acl adsl-client apache at backup-config
bandwidth bind8 bsdexports burner cfengine change-user
cluster-copy cluster-cron cluster-passwd cluster-shell
cluster-software cluster-useradmin cluster-usermin
cluster-webmin cpan cron custom dfsadmin dnsadmin dovecot
exports fdisk fetchmail file filter firewall format frox
fsdump grub heartbeat hpuxexports htaccess-htpasswd idmapd
inetd init inittab ipfilter ipfw ipsec jabber krb5 ldap-client
lilo lpadmin lvm mailboxes mailcap majordomo man mon mount mysql
net nis openslp pam  passwd phpini postfix postgresql ppp-client
pptp-client pptp-server procmail proc proftpd pserver qmailadmin
quota raid rbac samba sarg sendmail sentry servers sgiexports shell
shorewall smart-status smf software spam squid sshd status stunnel
syslog syslog-ng telnet time tunnel updown useradmin usermin vgetty webalizer
webminlog webmin wuftpd xinetd zones

◆重新啟動Webmin服務

#svcadm restart webmin

◆使用webmin

在本地或其他相連主機的瀏覽器中輸入主機名(或主機IP地址)及端口號，這里我們

輸入http://localhost:10000，系統將打開Webmin的登錄界面如圖-2。

 圖-2 Webmin的登錄界面

在Webmin的登錄界面中，輸入用戶名(admin)和密碼，單擊Login按鈕，系統將進入Webmin的主界面。

3初始化防火墻配置

打開Webmin網址選擇網絡配置下的“IPFilter Firewall”的“Reset Firewall”按鈕進入防火墻初始化界面如圖-3。  

圖-3 防火墻初始化界面  

◆用Webmin配置防火墻和NAT服務，本質上是編輯和操作/etc/ipf/ipf.conf和/etc/ipf/ipnat.conf文件，所有配置結果都保存在以上兩個文件。

Webmin 為防火墻預置了五種選擇：

◆Allow all traffic

允許使用進出流量，相當于在/etc/ipf/ipf.conf 文件中只有兩句：

pass out all
pass in all

◆Do network address translation on external interface:

進行NAT 轉換。

◆Block all incoming connections on external interface:

阻塞所有進入選定網卡的流量。相當于在/etc/ipf/ipf.conf 文件中有如下規則：

# Skip next rule for external interface
skip 1 in quick on e1000g0 all
# Allow all traffic on internal interface
pass in quick all keep state
# Accept responses to DNS queries
pass in quick proto udp from any to any port 1024 <> 1024 keep state
# Accept responses to our pings
pass in quick proto icmp all icmp-type echorep keep state
# Accept notifications of unreachable hosts
pass in quick proto icmp all icmp-type unreach keep state
# Accept notifications to reduce sending speed
pass in quick proto icmp all icmp-type squench keep state
# Accept notifications of lost packets
pass in quick proto icmp all icmp-type timex keep state
# Accept notifications of protocol problems
pass in quick proto icmp all icmp-type paramprob keep state
block in all
pass out all

◆Block all except SSH and IDENT on external interface:

阻塞所有進入選定網卡的流量。但是不包括SSH 和IDENT 連接。相當于在/etc/ipf/ipf.conf 文件中有如下規則：

# Skip next rule for external interface
skip 1 in quick on e1000g0 all
# Allow all traffic on internal interface
pass in quick all keep state
# Accept responses to DNS queries
pass in quick proto udp from any to any port 1024 <> 1024 keep state
# Accept responses to our pings
pass in quick proto icmp all icmp-type echorep keep state
# Accept notifications of unreachable hosts
pass in quick proto icmp all icmp-type unreach keep state
# Accept notifications to reduce sending speed
pass in quick proto icmp all icmp-type squench keep state
# Accept notifications of lost packets
pass in quick proto icmp all icmp-type timex keep state
# Accept notifications of protocol problems
pass in quick proto icmp all icmp-type paramprob keep state
# Allow connections to our SSH server
pass in quick proto tcp from any to any port = 22 keep state
# Allow connections to our IDENT server
pass in quick proto tcp from any to any port = 113 keep state
block in all
pass out all

◆Block all except SSH, IDENT, ping and high ports on interface:

阻塞所有進入選定網卡的流量。但是不包括SSH 和IDENT、ping 連接關閉1024 以上端口。

3 防火墻進階配置

除了預置了五種選擇，還可以在以上基礎上進行進階配置，以配置出更加符合每個人的實際需求的配置如圖-4。 

 圖-4 編輯防火墻規則

您可以在Rule comment 欄目直接輸入防火墻配置規則進行進階配置然后保存配置。

4 配置NAT

如果原來已經設置啟用了中級或高級防火墻策略，那就必須注意在這里配置轉發（Forwarded packets (FORWARD)）規則，允許NAT通信的有關協議、端口的流量由內向外通過，使NAT真正生效。配置界面如如圖-5。

  圖-5 配置NAT

假如我們允許所有的通信通過，規則如下：

map e1000g0 192.168.0.11/24 -> 192.168.0.17/24

然后按“Save”按鈕保存，再按“Apply Configuration”按鈕，使規則即可生效。 #p#

三、 使用GUI 工具管理防火墻

盡管IPFilter技術十分容易了解，并且對于在網絡傳輸上設置具體的限制特別有用，  —般而言，配置IPFilter防火墻存在一些缺點，因為防火墻配置涉及編寫規則，常用規則語言的話法通常對于初學者（特別是Windows 初學者）難于理解，這樣數據包過濾可能難于正確配置。當然如果您以前使用Freebsd 那么掌握IPFilter包過濾防火墻就非常簡單了。

規則表很快會變得很大而且復雜，規則很難測試。隨著表的增大和復雜性的增加，規則結構出現漏洞的可能  性也會增加。這種防火墻***的缺陷是它依賴一個單一的部件來保護系統。如果這個部件出現了問題，會使得網絡大門敞開，而用戶其至可能還不知道。在一般情況下，如果外部用戶被允許訪問內部主機，則它就可以訪問內部網上的任何主機。包過濾防火墻只能阻止一種類型的IP欺騙，即外部主機偽裝內部主機的IP，對于外部主機偽裝外部主機的IP欺騙卻不可能阻止，而且它不能防止DNS欺騙。雖然，包過濾防火墻有如上所述的缺點，但是在管理良好的小規模網絡上，它能夠正常的發揮其作用。一般情況下，人們不單獨使用包過濾防火墻，而是將它和其他設備（如堡壘主機等）聯合使用。事實上，如果讀者們不是很熟悉IPFilter命令的使用方式，在這里介紹一個不錯的圖形管理程序，就是“System Firewall（系統防火墻）“ 。這是一個Opensolais 2010.03 發行版的一個新工具是Java 編寫的。

System Firewall（系統防火墻）服務包括： 

◆防火墻政策選擇 

◆默認設置防火墻策略 

◆打開程序設置策略 

◆對全系統防火墻策略設置覆蓋 

◆個性化服務的防火墻策略

System Firewall（系統防火墻）選項卡介紹:

1.系統的默認設置防火墻策略選項卡

如圖-6  

圖-6 系統的默認設置防火墻策略

下面的操作支持默認選項卡： 

◆啟用基于主機的防火墻服務 

◆設置全系統的政策，拒絕或允許來自特定主機，網絡或接口訪問。 

◆添加一個主機，網絡或接口的政策 

◆編輯條目的政策 

◆刪除條目從政策 

◆添加，編輯或刪除異常的準入政策 

◆選擇不執行任何訪問策略 

◆選擇使用自定義的策略文件 

◆全系統所制定的政策在此選項卡可以更改為每個個性化服務的政策。

2 .打開程序設置選項卡

如圖-7 

圖-7 打開程序設置選項卡

下面的操作支持打開程序設置選項卡： 

◆從選項卡打開的程序，你可以： 

◆使用添加按鈕來定義一個端口，該端口的傳輸協議 

◆選擇編輯按鈕更改端口或協議規范 

◆使用刪除按鈕來刪除一個端口

3.防火墻策略設置覆蓋選項卡

如圖-8 。  

圖-8 防火墻策略設置覆蓋

系統政策中定義的替代選項卡。在覆蓋政策不能改變一個人服務的政策。你可以選擇： 

◆強制執行安全政策 

◆拒絕或允許來自特定主機，網絡或接口訪問。 

◆添加一個主機，網絡或接口的訪問策略 

◆編輯條目的訪問策略 

◆刪除條目從準入政策

4.個性化服務的防火墻策略

如圖-9 。  

圖-9 個性化服務的防火墻策略

從防火墻策略選擇，你可以選擇一個特定于服務的防火墻策略配置。這項服務的具體政策，采取了防火墻的默認全系統的政策優先，但不是全系統覆蓋的政策。對于每個服務，您可以選擇： 

◆使用默認全系統準入政策>  

◆拒絕或允許來自特定主機，網絡或接口訪問。在選定的服務，特別是你可以： 

◆添加一個主機，網絡或接口的訪問策略 

◆編輯條目的訪問策略 

◆刪除條目從準入政策 

◆添加，編輯或刪除異常的準入政策 

◆選擇不強制執行安全政策

5 更改用戶

所有面板讓您為不同的用戶或角色的變化。若要使用不同的用戶，請單擊窗口頂部的右上角的鎖圖標，旁邊的用戶名。在出現的對話框提示您輸入用戶名和密碼。如果你想使用一個角色，要提供角色名稱和角色密碼（用戶名和已被授予這一作用還必須提供帳戶密碼）。如圖-10 。  

圖-10更改用戶

【51CTO.COM 獨家特稿，轉載請注明出處及作者！】

【編輯推薦】

1. 網絡安全中防火墻和IDS的作用
2. 企業安全要上鎖如何選購硬件防火墻