为Solaris服务器配置款安全的防火墙

　　2.查看网卡接口

　　可以看到网卡接口是pcn0。

　　3.修改/etc/ipf/pfil.ap 文件

　　此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下，这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。编辑配置文件修改为如下内容：

　　使服务器对ping没有反应 ，防止你的服务器对ping请求做出反应，对于网络安全很有好处，因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点，黑客可以利用一些技术，把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改配置文件/etc/ipf/ipf.conf添加一行：

　　block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0  

　　如图 3

图 3 配置文件/etc/ipf/ipf.conf添加一行

　　说明：IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp)，启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候，可以使用icmp-type关键字来指定ICMP协议的类型，类型的值以下几种见表1。

　　表1 ICMP协议内容简介

　　所以把icmp-type设置为 0即可。 

　　5. 启动服务

　　使用命令：svcadm enable svc:/network/ipfilter:default

　　6.使 pfil.ap配置文件生效

　　autopush -f /etc/ipf/pfil.ap

　　说明：此步骤只需要做一次，以后更改防火墙规则就不需要再做。

　　7.重新引导计算机，使用命令：“init 6”。

　　8.使用命令再次查看IPFilter包过滤防火墙运行情况 。

　　在创建IPFilter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略，该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后，最好是编写一条规则：首先拒绝全部数据包，然后编写另外的规则：允许使用的端口。你还必须设置两个方向启用允许的服务。例如．用户同时接收和发送电子邮件通常是必要的，于是你需要对sendmail(端口25)包括一条入站和出站规则。

　　1、方法1

　　要阻