IP 过滤功能加固 AIX 服务器Word格式文档下载.docx
《IP 过滤功能加固 AIX 服务器Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《IP 过滤功能加固 AIX 服务器Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
为了设置IP过滤规则,需要在AIX上安装相应的IPsecurity软件包,检查系统中是否有以下的软件包。
(在本文中所使用的操作系统的版本是AIX6100-TL06-SP01,而IPSecurityFilterFeature在早期的AIX4.3.3中就有支持了)
图1.检查系统中是否安装了IPSec的软件包
如果没有,请在光盘驱动器中插入AIX操作系统DVD,使用AIX中的smit命令进行安装。
该软件包是随着操作系统一起提供的。
#smittyinstall
加载IPSecurity核心扩展模块
软件包安装完成后,需要在系统中加载IPSecurity核心扩展模块,才能使过滤功能生效。
可以使用smitty或mkdev命令来完成模块的加载。
请参照以下图片完成IPSecurity扩展模块的加载。
#smittytcpip
ConfigureIPSecurity(IPv4)->
Start/StopIPSecurity->
StartIPSecurity
图2.加载IPSecurity扩展模块
注意:
在此时<
DenyAllNon_secureIPPackets>
选项要设为<
no>
.否则所有的网络通讯可能就会断掉。
成功完成上述命令后,系统中应增加了以下的设备
图3.检查系统中IPSecurity扩展模块的状态
ipsec_v4针对的是服务器中使用的IP地址是V4的定义
ipsec_v6针对的是服务器中使用的IP地址是V6的定义。
现在我们就可以开始在系统中定义过滤规则了。
检查系统中的缺省的IP过滤规则
在AIX中可以通过设定permit或deny规则,来表示接受或拒绝网络请求。
IPSecurity扩展核心模块加载后系统中就会有2条缺省过滤规则。
使用lsfilt命令检查当前系统中定义的规则。
#lsfilt–s–v4–O
图4.AIX系统中缺省的过滤规则
规则1,用于会话密钥监控服务(sessionkeydaemon),只会出现在IPv4的过滤规则表中。
通过使用端口4001来控制用于刷新会话密钥的通讯包。
不要修改该规则。
规则2,自动生成的规则,总是在过滤表中的最后一行,缺省是permit规则,表示如果之前的所有过滤规则都不匹配的话,就允许该包通过。
为了安全起见,通过周密的设置,可以改为deny规则,拒绝所有不满足过滤规则的通讯包访问该服务器。
配置IP过滤规则
IP过滤表中的每一行就表示一条过滤规则。
在AIX中可以通过设定permit或deny规则来表示接受或拒绝网络请求。
这些规则的集合决定了什么样的包是可以接收或发送的。
我们可以从多个方面来定义过滤规则,其中包括包的源地址、目标地址、网络屏蔽位、使用的协议类型、端口号、通讯方向(inboundoroutbound)、网络接口名(interfacename)等。
在IP过滤规则表中,匹配检查是从规则1开始的,一旦找到了相匹配的规则就可以决定是接受还是拒绝该通讯包,停止对剩余规则的扫描。
所以序号小的规则总是被先扫描,序号大的规则是在之前的过滤规则都不满足的情况下才会被扫描到。
我们可以根据需要来调整某条规则在过滤规则表中的位置,使其发挥应有的作用。
过滤规则表中的静态过滤规则是可以进行增加、删除、修改和序号移动操作的。
过滤规则的设置可以参照以下步骤完成:
#smittyipsec4
选择AdvancedIPSecurityConfiguration->
ConfigureIPSecurityFilterRules->
AddanIPSecurityFilterRules.
下面举例说明:
对于IP地址是172.16.58.131的AIX服务器,我们希望只有来自于172.16.15.0网段的服务器才可以通过telnet访问它,拒绝来自其他网段的telnet请求。
在Unix操作系统中telnet缺省使用的端口号是23,所以在172.16.58.131服务器上需要设置以下2条过滤规则,一条是permit规则,一条是deny规则。
permit规则要在deny规则之前。
图5.172.16.58.131服务器上设置的permit规则
图6.172.16.58.131服务器上设置的deny规则
设置完成后选择<
ListIPSecurityFilterRules>
检查一下当前系统中的IP过滤规则表。
图7.系统中定义的过滤规则表
或者使用命令行来完成这些操作。
增加2条IP过滤规则:
#genfilt-v4-a'
P'
-s'
172.16.15.0'
-m'
255.255.255.0'
-d'
172.16.58.131'
-M'
-g'
y'
-c'
all'
-o'
any'
-p'
0'
-O'
eq'
-P'
23'
-r'
B'
-w'
-l'
N'
-t'
-i'
all
D'
0.0.0.0'
255.255.255.255'
使用命令lsfilt检查当前系统中的IP过滤规则表
#lsfilt–v
使IP过滤规则生效
设置完成的IP过滤规则不是立即生效的,需要做激活操作才起作用。
可以在smit菜单中选择激活操作菜单项或使用命令行的方式来激活它。
#smittyipsec4
Activate/Update/DeactivateIPSecurityFilterRule
或者
#mkfilt–v4–u
使IP过滤规则生效后,下面来验证过规则是否有效。
测试一
在IP地址是172.16.15.56的服务器上,应该能ping到172.16.58.131,也可以用telnet访问172.16.58.131服务器
检查IP地址
zhujh@atsnim:
/atspersonal/zhujh>
ifconfig-a
en2:
flags=1e080863,c0<
UP,BROADCAST,NOTRAILERS,RUNNING,SIMPLEX,MULTICAST,GROUPRT,
64BIT,CHECKSUM_OFFLOAD(ACTIVE),LARGESEND,CHAIN>
inet172.16.15.56netmask0xffffff00broadcast172.16.15.255
tcp_sendspace131072tcp_recvspace65536rfc13230
图8.服务器172.16.15.56可以telnet访问172.16.58.131
测试二
在IP地址是172.16.28.221服务器,按规则应该只能ping到172.16.58.131,但却无法使用telnet访问172.16.58.131。
图9.服务器172.16.28.221上的运行结果
在172.16.58.131服务器上使IP过滤规则临时失效,这时172.16.28.211服务器就可以用telnet访问172.16.58.131服务器。
以上的实验证明,设置在172.16.58.131的IP过滤规则是有效的。
图10.规则失效时,172.16.28.211可以用telnet访问172.16.58.131
维护IP过滤规则
调整IP过滤规则的顺序
在IP过滤规则表中,过滤规则的顺序是非常重要的。
如果定义的顺序不恰当可能造成任何服务器都无法访问服务器,或者是本来需要限制的访问,却没有起作用,使服务器面临不必要的安全风险。
最新定义的过滤规则,其序号总是最大。
为了保证它能正常发挥作用,定义完成后根据需要适当调整其在过滤规则表中的位置。
参考“配置IP过滤规则”中的例子,如果deny规则定义在permit之前,则所有的服务器都无法通过telnet来访问172.16.58.131.
图11.deny规则在permit规则前
使用mvfilt命令将permit调整到deny之前就可以实现对IP的有效过滤。
#/usr/sbin/mvfilt-v4-p'
4'
-n'
3
图12.调整后的过滤规则表
这样修改前的规则4就改为当前规则3,原规则3及之后的规则序号都递增1。
不要忘记使用下面的命令刷新当前的过滤规则表。
#/usr/sbin/mkfilt–v4–u
当完成上述操作后,调整后的IP过滤规则就可以生效和起作用了。
修改IP过滤规则
参照“配置IP过滤规则”中的例子。
如果希望只有172.16.15.56服务器才可以访问172.16.58.131服务器,而在172.16.15.0网段和其他网段的服务器都不可以通过telnet来访问它。
在172.16.58.131服务器上使用命令chfilt来进行修改permit规则3:
#/usr/sbin/chfilt-v4-n'
3'
172.16.15.56'
255.255.255.255
图13修改后的过滤规则表
其中的网络掩码是255.255.255.255而不是255.255.255.0。
指将规则3中的源地址172.16.15.5
升级会员 