IP 过滤功能加固 AIX 服务器Word格式文档下载.docx

1、为了设置 IP 过滤规则，需要在 AIX 上安装相应的 IP security 软件包，检查系统中是否有以下的软件包。 （ 在本文中所使用的操作系统的版本是 AIX 6100-TL06-SP01，而 IP Security Filter Feature 在早期的 AIX4.3.3 中就有支持了 ）图 1. 检查系统中是否安装了 IPSec 的软件包如果没有，请在光盘驱动器中插入 AIX 操作系统 DVD，使用 AIX 中的 smit 命令进行安装。该软件包是随着操作系统一起提供的。# smitty install加载 IP Security 核心扩展模块软件包安装完成后，需要在系统中加载 IP

2、 Security 核心扩展模块，才能使过滤功能生效。可以使用 smitty 或 mkdev 命令来完成模块的加载。请参照以下图片完成 IP Security 扩展模块的加载。#smitty tcpipConfigure IP Security （IPv4）-Start/Stop IP Security-Start IP Security图 2. 加载 IP Security 扩展模块注意 : 在此时 选项要设为 . 否则所有的网络通讯可能就会断掉。成功完成上述命令后，系统中应增加了以下的设备图 3.检查系统中 IP Security 扩展模块的状态ipsec_v4 针对的是服务器中使用的 I

3、P 地址是 V4 的定义ipsec_v6 针对的是服务器中使用的 IP 地址是 V6 的定义。现在我们就可以开始在系统中定义过滤规则了。检查系统中的缺省的 IP 过滤规则在 AIX 中可以通过设定 permit 或 deny 规则，来表示接受或拒绝网络请求。IP Security 扩展核心模块加载后系统中就会有 2 条缺省过滤规则。使用 lsfilt 命令检查当前系统中定义的规则。#lsfilt s v4 O图 4.AIX 系统中缺省的过滤规则规则 1，用于会话密钥监控服务 （session key daemon ）， 只会出现在 IP v4 的过滤规则表中。通过使用端口 4001 来控制用于

4、刷新会话密钥的通讯包。不要修改该规则。规则 2，自动生成的规则，总是在过滤表中的最后一行，缺省是 permit 规则，表示如果之前的所有过滤规则都不匹配的话，就允许该包通过。为了安全起见，通过周密的设置，可以改为 deny 规则，拒绝所有不满足过滤规则的通讯包访问该服务器。配置 IP 过滤规则IP 过滤表中的每一行就表示一条过滤规则。在 AIX 中可以通过设定 permit 或 deny 规则来表示接受或拒绝网络请求。这些规则的集合决定了什么样的包是可以接收或发送的。我们可以从多个方面来定义过滤规则，其中包括包的源地址、目标地址、网络屏蔽位、使用的协议类型、端口号、通讯方向 （inbound

5、or outbound）、网络接口名 （interface name） 等。在 IP 过滤规则表中，匹配检查是从规则 1 开始的，一旦找到了相匹配的规则就可以决定是接受还是拒绝该通讯包，停止对剩余规则的扫描。所以序号小的规则总是被先扫描，序号大的规则是在之前的过滤规则都不满足的情况下才会被扫描到。我们可以根据需要来调整某条规则在过滤规则表中的位置，使其发挥应有的作用。过滤规则表中的静态过滤规则是可以进行增加、删除、修改和序号移动操作的。过滤规则的设置可以参照以下步骤完成 :#smitty ipsec4选择 Advanced IP Security Configuration - Configu

6、re IP Security Filter Rules - Add an IP Security Filter Rules.下面举例说明 : 对于 IP 地址是 172.16.58.131 的 AIX 服务器，我们希望只有来自于 172.16.15.0 网段的服务器才可以通过 telnet 访问它， 拒绝来自其他网段的 telnet 请求。在 Unix 操作系统中 telnet 缺省使用的端口号是 23，所以在 172.16.58.131 服务器上需要设置以下 2 条过滤规则，一条是 permit 规则，一条是 deny 规则。permit 规则要在 deny 规则之前。图 5.172.16.

7、58.131 服务器上设置的 permit 规则图 6.172.16.58.131 服务器上设置的 deny 规则设置完成后选择 检查一下当前系统中的 IP 过滤规则表。图 7.系统中定义的过滤规则表或者使用命令行来完成这些操作。增加 2 条 IP 过滤规则 :# genfilt -v 4 -a P -s 172.16.15.0 -m 255.255.255.0 -d 172.16.58.131 -M -g y -c all -o any -p 0 -O eq -P 23 -r B-w -l N -t -i allD0.0.0.0255.255.255.255使用命令 lsfilt 检查当前系

8、统中的 IP 过滤规则表 #lsfilt v使 IP 过滤规则生效设置完成的 IP 过滤规则不是立即生效的，需要做激活操作才起作用。 可以在 smit 菜单中选择激活操作菜单项或使用命令行的方式来激活它。# smitty ipsec4Activate/Update/Deactivate IP Security Filter Rule或者 # mkfilt v4 u使 IP 过滤规则生效后，下面来验证过规则是否有效。测试一在 IP 地址是 172.16.15.56 的服务器上，应该能 ping 到 172.16.58.131，也可以用 telnet 访问 172.16.58.131 服务器检查

9、IP 地址 zhujhatsnim:/atspersonal/zhujhifconfig -a en2: flags=1e080863,c0 inet 172.16.15.56 netmask 0xffffff00 broadcast 172.16.15.255 tcp_sendspace 131072 tcp_recvspace 65536 rfc1323 0图 8.服务器 172.16.15.56 可以 telnet 访问 172.16.58.131测试二在 IP 地址是 172.16.28.221 服务器，按规则应该只能 ping 到 172.16.58.131，但却无法使用 telne

10、t 访问 172.16.58.131。图 9.服务器 172.16.28.221 上的运行结果在 172.16.58.131 服务器上使 IP 过滤规则临时失效，这时 172.16.28.211 服务器就可以用 telnet 访问 172.16.58.131 服务器。以上的实验证明，设置在 172.16.58.131 的 IP 过滤规则是有效的。图 10. 规则失效时，172.16.28.211 可以用 telnet 访问 172.16.58.131维护 IP 过滤规则调整 IP 过滤规则的顺序在 IP 过滤规则表中，过滤规则的顺序是非常重要的。如果定义的顺序不恰当可能造成任何服务器都无法访问

11、服务器，或者是本来需要限制的访问，却没有起作用，使服务器面临不必要的安全风险。最新定义的过滤规则，其序号总是最大。为了保证它能正常发挥作用，定义完成后根据需要适当调整其在过滤规则表中的位置。参考“配置 IP 过滤规则”中的例子，如果 deny 规则定义在 permit 之前，则所有的服务器都无法通过 telnet 来访问 172.16.58.131.图 11.deny 规则在 permit 规则前使用 mvfilt 命令将 permit 调整到 deny 之前就可以实现对 IP 的有效过滤。 # /usr/sbin/mvfilt -v 4 -p 4 -n 3图 12.调整后的过滤规则表这样修改

12、前的规则 4 就改为当前规则 3，原规则 3 及之后的规则序号都递增 1。不要忘记使用下面的命令刷新当前的过滤规则表。 #/usr/sbin/mkfilt v4 u当完成上述操作后，调整后的 IP 过滤规则就可以生效和起作用了。修改 IP 过滤规则参照 “配置 IP 过滤规则”中的例子。如果希望只有 172.16.15.56 服务器才可以访问 172.16.58.131 服务器，而在 172.16.15.0 网段和其他网段的服务器都不可以通过 telnet 来访问它。在 172.16.58.131 服务器上使用命令 chfilt 来进行修改 permit 规则 3:# /usr/sbin/chfilt -v 4 -n 3172.16.15.56255.255.255.255图 13 修改后的过滤规则表 其中的网络掩码是 255.255.255.255 而不是 255.255.255.0。指将规则 3 中的源地址 172.16.15.5