為Solaris服務(wù)器配置款安全的防火墻

1、為Solaris服務(wù)器配置款安全的防火墻作者： 曹江華(原創(chuàng))連接網(wǎng)上的服務(wù)器系統(tǒng)，不管是什么情況都要明確一點(diǎn)：網(wǎng)絡(luò)是不安全的。因此，雖然創(chuàng)建一個(gè)防火墻并不能保證系統(tǒng)100安全，但卻是絕對(duì)必要的。傳統(tǒng)意義上的防火墻技術(shù)分為三大類(lèi)，“包過(guò)濾”（Packet Filtering）、“應(yīng)用代理”（Application Proxy）和“狀態(tài)檢測(cè)”（Stateful Inspection），無(wú)論一個(gè)防火墻的實(shí)現(xiàn)過(guò)程多么復(fù)雜，歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。 一、Solaris包過(guò)濾防火墻IPFilter簡(jiǎn)介IPFilter是目前比較流行的包過(guò)濾防火墻軟件，它目前擁有多種平臺(tái)的版本，安裝

2、配置相對(duì)比較簡(jiǎn)單?？梢杂盟鼇?lái)構(gòu)建功能強(qiáng)大的軟件防火墻，下面就其的安裝以及一些典型的配置作一下說(shuō)明。IPFfilter 的作者是 Darren Reed 先生，他是一位致力于開(kāi)源軟件開(kāi)發(fā)的高級(jí)程序員，目前工作于 SUN 公司。IP Filter 軟件可以提供網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）或者防火墻服務(wù)。簡(jiǎn)單的說(shuō)就是一個(gè)軟件的防火墻，并且這個(gè)軟件是開(kāi)源免費(fèi)的。當(dāng)前的版本是4.1.15，目前支持 FreeBSD、NetBSD、Solaris、AIX 等 窗體頂端窗體底端平臺(tái)。IPFilter是它是一個(gè)在引導(dǎo)時(shí)配置的可加載到內(nèi)核的模塊。這使得它十分安全，因?yàn)橐巡荒苡捎脩魬?yīng)用程序篡改。我用Solaris10 來(lái)

3、作為實(shí)驗(yàn)的平臺(tái)介紹一下IP Filter。IP Filter過(guò)濾器會(huì)執(zhí)行一系列步驟。圖1說(shuō)明處理包的步驟，以及過(guò)濾如何與 TCP/IP 協(xié)議棧集成在一起。圖1 服務(wù)器的處理數(shù)據(jù)包的步驟數(shù)據(jù)包在Solaris內(nèi)的處理順序包括下列步驟：1. 網(wǎng)絡(luò)地址轉(zhuǎn)換 (Network Address Translation, NAT) ：將專(zhuān)用 IP 地址轉(zhuǎn)換為不同的公共地址，或者將多個(gè)專(zhuān)用地址的別名指定為單個(gè)公共地址。當(dāng)組織具有現(xiàn)有的網(wǎng)絡(luò)并需要訪問(wèn) Internet 時(shí)，通過(guò) NAT，該組織可解決 IP 地址用盡的問(wèn)題。2. IP 記帳 ：可以分別設(shè)置輸入規(guī)則和輸出規(guī)則，從而記錄所通過(guò)的

4、字節(jié)數(shù)。每次與規(guī)則匹配時(shí)，都會(huì)將包的字節(jié)計(jì)數(shù)添加到該規(guī)則中，并允許收集層疊統(tǒng)計(jì)信息。3. 片段高速緩存檢查 ：如果當(dāng)前流量中的下一個(gè)包是片段，而且允許前一個(gè)包通過(guò)，則也將允許包片段通過(guò)，從而繞過(guò)狀態(tài)表和規(guī)則檢查。4. 包狀態(tài)檢查 ：如果規(guī)則中包括 keep state，則會(huì)自動(dòng)傳遞或阻止指定會(huì)話中的所有包，具體取決于規(guī)則指明了 pass 還是 block。5. 防火墻檢查 ：可以分別設(shè)置輸入規(guī)則和輸出規(guī)則，確定是否允許包通過(guò) Solaris IP 過(guò)濾器傳入內(nèi)核的 TCP/IP 例程或者傳出到網(wǎng)絡(luò)上。6. 組：通過(guò)分組可以按樹(shù)的形式編寫(xiě)規(guī)則集。7. 功能

5、 ：功能是指要執(zhí)行的操作?？赡艿墓δ馨?block、pass、literal 和 send ICMP response。8. 快速路由 ：快速路由指示 Solaris IP 過(guò)濾器不將包傳入 UNIX IP 棧進(jìn)行路由，從而導(dǎo)致 TTL 遞減。9. IP 驗(yàn)證 ：已驗(yàn)證的包僅通過(guò)防火墻循環(huán)一次來(lái)防止雙重處理。二、學(xué)會(huì)編寫(xiě)IPFfilter 規(guī)則 典型的防火墻設(shè)置有兩個(gè)網(wǎng)卡：一個(gè)流入，一個(gè)流出。IPFfilter讀取流入和流出數(shù)據(jù)包的報(bào)頭，將它們與規(guī)則集（Ruleset）相比較，將可接受的數(shù)據(jù)包從一個(gè)網(wǎng)卡轉(zhuǎn)發(fā)至另一個(gè)網(wǎng)卡，對(duì)被拒絕的數(shù)據(jù)包，可以丟棄或按照所定義的方式來(lái)處理。 通過(guò)向防

6、火墻提供有關(guān)對(duì)來(lái)自某個(gè)源地址、到某個(gè)目的地或具有特定協(xié)議類(lèi)型的信息包要做些什么的指令，規(guī)則控制信息包的過(guò)濾。通過(guò)使用IPFfilter系統(tǒng)提供的特殊命令建立這些規(guī)則，并將其添加到內(nèi)核空間特定信息包過(guò)濾表內(nèi)的鏈中。關(guān)于添加、去除、編輯規(guī)則的命令，一般語(yǔ)法如下： action in|out option keyword, keyword. 參數(shù)說(shuō)明：1. 每個(gè)規(guī)則都以操作開(kāi)頭。如果包與規(guī)則匹配，則 Solaris IP 過(guò)濾器將操作應(yīng)用于該包。以下列表包括應(yīng)用于包的常用操作。block ：阻止包通過(guò)過(guò)濾器。pass ：允許包通過(guò)過(guò)濾器。log ：記錄包但不確定是阻止包還是傳遞包。使用 i

7、pmon 命令可查看日志。count ：將包包括在過(guò)濾器統(tǒng)計(jì)信息中。使用 ipfstat 命令可查看統(tǒng)計(jì)信息。skip number ：使過(guò)濾器跳過(guò) number 個(gè)過(guò)濾規(guī)則。auth ：請(qǐng)求由驗(yàn)證包信息的用戶程序執(zhí)行包驗(yàn)證。該程序會(huì)確定是傳遞包還是阻止包。preauth ：請(qǐng)求過(guò)濾器查看預(yù)先驗(yàn)證的列表以確定如何處理包。2. 操作后面的下一個(gè)單詞必須是 in 或 out。您的選擇將確定是將包過(guò)濾規(guī)則應(yīng)用于傳入包還是應(yīng)用于傳出包。3. 接下來(lái)，可以從選項(xiàng)列表中進(jìn)行選擇。如果使用多個(gè)選項(xiàng)，則這些選項(xiàng)必須采用此處顯示的順序。log ：如果規(guī)則是最后一個(gè)匹配規(guī)則，則記錄包。使用 i

8、pmon 命令可查看日志。quick ：如果存在匹配的包，則執(zhí)行包含 quick 選項(xiàng)的規(guī)則。所有進(jìn)一步的規(guī)則檢查都將停止。on interface-name ：僅當(dāng)包移入或移出指定接口時(shí)才應(yīng)用規(guī)則。dup-to interface-name：復(fù)制包并將 interface-name 上的副本向外發(fā)送到選擇指定的 IP 地址。to interface-name ：將包移動(dòng)到 interface-name 上的外發(fā)隊(duì)列。4. 指定選項(xiàng)后，可以從確定包是否與規(guī)則匹配的各關(guān)鍵字中進(jìn)行選擇。必須按此處顯示的順序使用以下關(guān)鍵字。tos ：基于表示為十六進(jìn)制或十進(jìn)制整數(shù)的服務(wù)類(lèi)型值，對(duì)包進(jìn)行過(guò)濾

9、。ttl ：基于包的生存時(shí)間值與包匹配。在包中存儲(chǔ)的生存時(shí)間值指明了包在被廢棄之前可在網(wǎng)絡(luò)中存在的時(shí)間長(zhǎng)度。proto ：與特定協(xié)議匹配?？梢允褂迷?/etc/protocols 文件中指定的任何協(xié)議名稱(chēng)，或者使用十進(jìn)制數(shù)來(lái)表示協(xié)議。關(guān)鍵字 tcp/udp 可以用于與 TCP 包或 UDP 包匹配。from/to/all/any ：與以下任一項(xiàng)或所有項(xiàng)匹配：源 IP 地址、目標(biāo) IP 地址和端口號(hào)。all 關(guān)鍵字用于接受來(lái)自所有源和發(fā)往所有目標(biāo)的包。with ：與和包關(guān)聯(lián)的指定屬性匹配。在關(guān)鍵字前面插入 not 或 no 一詞，以便僅當(dāng)選項(xiàng)不存在時(shí)才與包匹配。flags ：供 TCP 用來(lái)基于

10、已設(shè)置的 TCP 標(biāo)志進(jìn)行過(guò)濾。icmp-type ：根據(jù) ICMP 類(lèi)型進(jìn)行過(guò)濾。僅當(dāng) proto 選項(xiàng)設(shè)置為 icmp 時(shí)才使用此關(guān)鍵字；如果使用 flags 選項(xiàng)，則不使用此關(guān)鍵字。keep keep-options ：確定為包保留的信息?？捎玫?keep-options 包括 state 選項(xiàng)和 frags 選項(xiàng)。state 選項(xiàng)會(huì)保留有關(guān)會(huì)話的信息，并可以保留在 TCP、UDP 和 ICMP 包中。frags 選項(xiàng)可保留有關(guān)包片段的信息，并將該信息應(yīng)用于后續(xù)片段。keep-options 允許匹配包通過(guò)，而不會(huì)查詢(xún)?cè)L問(wèn)控制列表。head number ：為過(guò)濾規(guī)則創(chuàng)建一個(gè)新組，該組由

11、數(shù)字 number 表示。group number ：將規(guī)則添加到編號(hào)為 number 的組而不是缺省組。如果未指定其他組，則將所有過(guò)濾規(guī)則放置在組 0 中。四、開(kāi)始編寫(xiě)規(guī)則1.查看IPFilter包過(guò)濾防火墻運(yùn)行情況Solaris 10 上IPFilter 的啟動(dòng)和關(guān)閉是由 SMF 管理的,在Solaris 10 上工作的進(jìn)程大多都交由SMF 管理，這和先前版本的Solaris 操作系統(tǒng)有很大的區(qū)別。Solaris IP 過(guò)濾防火墻隨 Solaris 操作系統(tǒng)一起安裝。但是，缺省情況下不啟用包過(guò)濾。使用以下過(guò)程可以激活 Solaris IP 過(guò)濾器。使用命令“svcs -a

12、0;|grep network |egrep "pfil|ipf"”查看。IP Filter 有兩個(gè)服務(wù)ipfilter 和pfil，默認(rèn)情況下ipfilter 是關(guān)閉的，而pfil 是打開(kāi)的。# svcs -a |grep network |egrep "pfil|ipf"disabled    7:17:43 svc:/network/ipfilter:defaultonline   7:17:46 svc:/network/pfil:default 2.查看網(wǎng)卡接口lo

13、0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1     inet 127.0.0.1 netmask ff000000pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2       inet 10.1.1.8 netmask ff000000 broadcast 1

14、0.255.255.255 可以看到網(wǎng)卡接口是pcn0。3.修改/etc/ipf/pfil.ap 文件此文件包含主機(jī)上網(wǎng)絡(luò)接口卡 (network interface card, NIC) 的名稱(chēng)。缺省情況下，這些名稱(chēng)已被注釋掉。對(duì)傳輸要過(guò)濾的網(wǎng)絡(luò)通信流量的設(shè)備名稱(chēng)取消注釋。編輯配置文件修改為如下內(nèi)容：圖2 配置文件修改為如下內(nèi)容4. 編輯防火墻規(guī)則 使服務(wù)器對(duì)ping沒(méi)有反應(yīng) ，防止你的服務(wù)器對(duì)ping請(qǐng)求做出反應(yīng)，對(duì)于網(wǎng)絡(luò)安全很有好處，因?yàn)闆](méi)人能夠ping你的服務(wù)器并得到任何反應(yīng)。TCP/IP協(xié)議本身有很多的弱點(diǎn)，黑客可以利用一些技術(shù)，把傳輸正常數(shù)據(jù)包的通道用來(lái)偷偷地傳送數(shù)據(jù)。使你的系統(tǒng)對(duì)

15、ping請(qǐng)求沒(méi)有反應(yīng)可以把這個(gè)危險(xiǎn)減到最小。修改配置文件/etc/ipf/ipf.conf添加一行：block out quick proto icmp from any to 192.168.0.2/24 icmp-type 0   如圖 3圖 3 配置文件/etc/ipf/ipf.conf添加一行說(shuō)明：IP 過(guò)濾協(xié)議的關(guān)鍵字有4種(icmp、tcp、udp、tcp/udp)，啟用對(duì)協(xié)議的控制就是在協(xié)議的關(guān)鍵字前加proto關(guān)鍵字。ICMP全稱(chēng)Internet Contro

16、l Message Protocol，中文名為因特網(wǎng)控制報(bào)文協(xié)議。它工作在OSI的網(wǎng)絡(luò)層，向數(shù)據(jù)通訊中的源主機(jī)報(bào)告錯(cuò)誤。ICMP可以實(shí)現(xiàn)故障隔離和故障恢復(fù)。我們平時(shí)最常用的ICMP應(yīng)用就是通常被稱(chēng)為Ping的操作。在使用ICMP協(xié)議控制的時(shí)候，可以使用icmp-type關(guān)鍵字來(lái)指定ICMP協(xié)議的類(lèi)型，類(lèi)型的值以下幾種見(jiàn)表1。表1 ICMP協(xié)議內(nèi)容簡(jiǎn)介類(lèi)型 名稱(chēng) 備注 0 回波應(yīng)答(Echo Reply) 不允許ping命令回應(yīng) 8 回波(Echo) 允許ping命令回應(yīng) 9 路由器公告(Router dvertisement)   10 路由器選擇(Router Selection)

17、   所以把icmp-type設(shè)置為 0即可。  5. 啟動(dòng)服務(wù)使用命令：svcadm enable svc:/network/ipfilter:default6.使 pfil.ap配置文件生效autopush -f /etc/ipf/pfil.ap說(shuō)明：此步驟只需要做一次，以后更改防火墻規(guī)則就不需要再做。7.重新引導(dǎo)計(jì)算機(jī)，使用命令：“init 6”。8.使用命令再次查看IPFilter包過(guò)濾防火墻運(yùn)行情況 。圖四使用命令再次查看IPFilter包過(guò)濾防火墻運(yùn)行四、IPFilter包過(guò)濾防火墻規(guī)則編寫(xiě)方法 在創(chuàng)建IPFilter包過(guò)

18、濾防火墻規(guī)則的第一步是與用戶咨詢(xún)確定一個(gè)可接受的服務(wù)列表。許多公司會(huì)有個(gè)可接受的使用策略，該策略會(huì)控制哪些端口應(yīng)當(dāng)可用和應(yīng)當(dāng)賦予用戶啟動(dòng)的服務(wù)的權(quán)限。在你確定了開(kāi)放的流入端口和外出的端口需求之后，最好是編寫(xiě)一條規(guī)則：首先拒絕全部數(shù)據(jù)包，然后編寫(xiě)另外的規(guī)則：允許使用的端口。你還必須設(shè)置兩個(gè)方向啟用允許的服務(wù)。例如用戶同時(shí)接收和發(fā)送電子郵件通常是必要的，于是你需要對(duì)sendmail(端口25)包括一條入站和出站規(guī)則。1、方法1要阻止從 IP 地址 192.168.1.0/16 傳入的流量，需要在規(guī)則列表中包括以下規(guī)則：block in quick from 192.168.1.0/16 to an

19、y下面的例子阻止來(lái)自b類(lèi)網(wǎng)絡(luò)1481260.0的任何數(shù)據(jù)包：block in quick from 1481260.0/16 to any2、方法2通俗來(lái)說(shuō)就是：禁止是block ，通過(guò)是pass ，進(jìn)入流量是in，出去流量是out 。然后配合起來(lái)使用就行了，再加上可以指定在哪個(gè)網(wǎng)卡上使用，也就是再加個(gè)on pcn0，另外還有一個(gè)關(guān)鍵字就是all，這是匹配(禁止或者通過(guò))所有的包?；贗P地址和防火墻接口的基本過(guò)濾方式：block in quick on hme0 from 192.168.0.14 to anyblock in quick on hme0 from 132.16.0

20、.0/16 to anypass in all應(yīng)用此規(guī)則將阻止通過(guò)hme0口來(lái)自于192.168.0.14和132.16.0.0網(wǎng)段的所有包的進(jìn)入，但是允許其他網(wǎng)段的包進(jìn)入到防火墻，同時(shí)對(duì)出去的包不作任何限制。3、方法3：基于IP地址和防火墻接口的完全雙向過(guò)濾方式：block out quick on hme0 from any to 192.168.0.0/24block out quick on hme0 from any to 172.16.0.0/16block in quick on hme0 from 192.168.0.0/24 to anyblock in quick on h

21、me0 from 172.16.0.0/16 to anypass in all應(yīng)用此規(guī)則后將阻止通過(guò)hme0口來(lái)自于192.168.0.0和172.16.0.0網(wǎng)段的所有包的進(jìn)入和外出，但是允許其他網(wǎng)段的包進(jìn)入到防火墻，同時(shí)對(duì)出去的包不作任何限制。4、方法4使用“port”關(guān)鍵字對(duì)TCP和UDP的端口進(jìn)行過(guò)濾：block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port

22、= 8080block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23pass in all應(yīng)用此規(guī)則后將阻止從192.168.0.0網(wǎng)段通過(guò)8080和23端口對(duì)防火墻內(nèi)的數(shù)據(jù)通信，但是允許其他網(wǎng)段的包進(jìn)入到防火墻，同時(shí)對(duì)出去的包不作任何限制。5、方法5quick關(guān)鍵字使用提示：假如你的防火墻有100條規(guī)則，最有用的可能只有前10條，那么quick是非常有必要的。 pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet bl

23、ock in log all from any to any 假如你希望禁止服務(wù)器的所有包而只希望一個(gè)IP只能夠telnet的話，那么就可以加上quick關(guān)鍵字，quick的作用是當(dāng)包符合這條規(guī)則以后，就不再向下進(jìn)行遍歷了。如果沒(méi)有quick的情況下，每一個(gè)包都要遍歷整個(gè)規(guī)則表，這樣的開(kāi)銷(xiāo)是十分大的，但是如果濫用quick也是不明智的，因?yàn)樗吘共粫?huì)產(chǎn)生日志。6、管理 Solaris IP 過(guò)濾器的 NAT 規(guī)則查看活動(dòng)的 NAT 規(guī)則。# ipnat -l刪除當(dāng)前的 NAT 規(guī)則。# ipnat -C將規(guī)則附加到 NAT 規(guī)則在命令行上使用 ipnat -f - 命令，將規(guī)則附加到 NAT

24、規(guī)則集。# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -五、關(guān)閉 Solaris IP 過(guò)濾防火墻的方法 有些情況可能希望取消激活或禁用包過(guò)濾，例如要進(jìn)行測(cè)試另外在認(rèn)為系統(tǒng)問(wèn)題是由 Solaris IP 過(guò)濾器所導(dǎo)致時(shí)，對(duì)這些問(wèn)題進(jìn)行疑難解答。首先成為管理員權(quán)限，禁用包過(guò)濾，并允許所有包傳入網(wǎng)絡(luò)的命令：# ipf D取消激活 Solaris IP 過(guò)濾器規(guī)則方法：從內(nèi)核中刪除活動(dòng)規(guī)則集。# ipf -Fa此命令取消激活所有的包過(guò)濾規(guī)則。刪除傳入包的過(guò)濾規(guī)則。# ipf -Fi此命令取消激活傳

25、入包的包過(guò)濾規(guī)則。刪除傳出包的過(guò)濾規(guī)則。# ipf -Fo此命令取消激活傳出包的包過(guò)濾規(guī)則。六、Solaris IP 過(guò)濾防火墻的監(jiān)控和管理 1.查看包過(guò)濾規(guī)則集啟用 Solaris IP 過(guò)濾器后，活動(dòng)和非活動(dòng)的包過(guò)濾規(guī)則集都可以駐留在內(nèi)核中?；顒?dòng)規(guī)則集確定正在對(duì)傳入包和傳出包執(zhí)行的過(guò)濾。非活動(dòng)規(guī)則集也存儲(chǔ)規(guī)則，但不會(huì)使用這些規(guī)則，除非使非活動(dòng)規(guī)則集成為活動(dòng)規(guī)則集?？梢怨芾怼⒉榭春托薷幕顒?dòng)和非活動(dòng)的包過(guò)濾規(guī)則集。查看裝入到內(nèi)核中的活動(dòng)包過(guò)濾規(guī)則集，使用命令：ipfstat io 。 如果希望查看非活動(dòng)的包過(guò)濾規(guī)則集?？梢酝褂妹睿? ipfstat -I io2. 激活不同的包過(guò)濾規(guī)則集以

26、下示例顯示如何將一個(gè)包過(guò)濾規(guī)則集替換為另一個(gè)包過(guò)濾規(guī)則集。# ipf -Fa -f 活動(dòng)規(guī)則集將從內(nèi)核中刪除。 文件中的規(guī)則將成為活動(dòng)規(guī)則集。3. 將規(guī)則附加到活動(dòng)的包過(guò)濾規(guī)則集以下示例顯示如何從命令行將規(guī)則添加到活動(dòng)的包過(guò)濾規(guī)則集。# ipfstat -ioempty list for ipfilter(out)block in log quick from 10.0.0.0/8 to any# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -# ipfstat -ioempty l

27、ist for ipfilter(out)block in log quick from 10.0.0.0/8 to anyblock in on dmfe1 proto tcp from 10.1.1.1/32 to any4、監(jiān)控整個(gè)IP管理器防火墻查看狀態(tài)表使用沒(méi)有參數(shù)的ipfstat命令即可，圖5 是整個(gè)IP過(guò)濾器防火墻查看狀態(tài)表的輸出。圖5 整個(gè)IP過(guò)濾器防火墻查看狀態(tài)表的輸出另外可以使用命令：“ipfstat s” 查看 Solaris IP 過(guò)濾器的狀態(tài)統(tǒng)計(jì)，使用命令：“ipnat -s” 查看 Solaris IP 過(guò)濾器的NAT狀態(tài)統(tǒng)計(jì)。使用 ippool -s 命令查看地址

28、池統(tǒng)計(jì)。七、查看 Solaris IPFilter包過(guò)濾防火墻的日志文件 使用命令如下：ipmon o a S|N|I 參數(shù)說(shuō)明：S ：顯示狀態(tài)日志文件。N：顯示 NAT 日志文件。I：顯示常規(guī) IP 日志文件。-a：顯示所有的狀態(tài)日志文件、NAT 日志文件和常規(guī)日志文件。清除包日志文件使用命令：# ipmon -F 八、使用fwbuilder管理防火墻事實(shí)上，如果讀者們不是很熟悉Solaris中IPFilter命令的使用方式，在這里介紹一個(gè)不錯(cuò)的圖形管理程序，就是fwbuilder ()，可以從lds/取得讀者們所需要的版本或是原始碼。Fwbuilder 是一個(gè)相當(dāng)有彈性的防火墻圖形接口，它

29、不僅可以產(chǎn)生IPFilter 的規(guī)則，也可以產(chǎn)生 Cisco 的 FWSM (FireWall Service Module ，用于 Cisco 高階第三層交換機(jī) 6500 及 7600 系列 ) 及 PIX 的規(guī)則，更有趣的是，每次我們改變某臺(tái)機(jī)器的設(shè)定后，它會(huì)使用 RCS 來(lái)做版本控管，相當(dāng)實(shí)用。fwbuilder所支援的防火牆有：FWSM、ipfilter、ipfw、iptables、PF、PIX。1、安裝qt庫(kù)Qt 是一個(gè)跨平臺(tái)的 C+ 圖形用戶界面庫(kù)，由挪威 TrollTech 公司出品，目前包括Qt， 基于 Framebuffer 的 Qt Embedded，快速開(kāi)發(fā)工具 Qt D

30、esigner，國(guó)際 窗體頂端窗體底端具 Qt Linguist 等部分 Qt 支持所有 Unix 系統(tǒng)，當(dāng)然也包括 Solaris，還支持 WinNT/Win2k/2003 平臺(tái)。 #wget ilder/qt-3.3.4-sol10-intel-local.gz # pkgadd d qt-3.3.4-sol10-intel-local.pkg2、安裝openssl#wget #pkgadd d openssl-0.9.7g-sol10-intel-local.pkg3、安裝snmp簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議（SNMP）是目前TCP/IP網(wǎng)絡(luò)中應(yīng)用最為廣泛的網(wǎng)絡(luò)管理協(xié)議。1990年5月，RFC 11

31、57定義了SNMP（simple network management protocol）的第一個(gè)版本SNMPv1。RFC 1157和另一個(gè)關(guān)于管理信息的文件RFC 1155一起，提供了一種監(jiān)控和管理計(jì)算機(jī)網(wǎng)絡(luò)的系統(tǒng)方法。因此，SNMP得到了廣泛應(yīng)用，并成為網(wǎng)絡(luò)管理的事實(shí)上的標(biāo)準(zhǔn)。大多數(shù)網(wǎng)絡(luò)管理系統(tǒng)和平臺(tái)都是基于SNMP的。#wget eware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz #pkgadd d netsnmp-5.1.4-sol10-x86-local.pkg4、安裝gtk+GTK+ 是一種圖形用戶界面（GUI）工具包。也就是說(shuō)，它是一個(gè)庫(kù)

32、（或者，實(shí)際上是若干個(gè)密切相關(guān)的庫(kù)的集合），它支持創(chuàng)建基于 GUI 的應(yīng)用程序。可以把 GTK+ 想像成一個(gè)工具包，從這個(gè)工具包中可以找到用來(lái)創(chuàng)建 GUI 的許多已經(jīng)準(zhǔn)備好的構(gòu)造塊。最初，GTK+ 是作為另一個(gè)著名的開(kāi)放源碼項(xiàng)目 GNU Image Manipulation Program (GIMP) 的副產(chǎn)品而創(chuàng)建的。在開(kāi)發(fā)早期的 GIMP 版本時(shí)，Peter Mattis 和 Spencer Kimball 創(chuàng)建了 GTK（它代表 GIMP Toolkit），作為 Motif 工具包的替代，后者在那個(gè)時(shí)候不是免費(fèi)的。（當(dāng)這個(gè)工具包獲得了面向?qū)ο筇匦院涂蓴U(kuò)展性之后，才在名稱(chēng)后面加上了一個(gè)加號(hào)。）這差不多已經(jīng) 10 年過(guò)去了。今天，在 GTK+ 的最新版本 2.8 版上，仍然在進(jìn)行許多活動(dòng)，同時(shí)，GIMP 無(wú)疑仍然是使用 GTK+