Chinaunix首页 | 论坛 | 博客
  • 博客访问: 742956
  • 博文数量: 130
  • 博客积分: 2951
  • 博客等级: 少校
  • 技术积分: 1875
  • 用 户 组: 普通用户
  • 注册时间: 2010-03-04 18:32
文章分类

全部博文(130)

文章存档

2013年(1)

2012年(129)

分类: 系统运维

2012-07-27 09:50:56

检查系统中是否安装了 IPSec 的软件包
lslpp -l | grep ipsec
# lslpp -l | grep ipsec
  bos.msg.ca_ES.net.ipsec    6.1.7.0  COMMITTED  IP Security Messages - Catalan
  bos.msg.de_DE.net.ipsec    6.1.7.0  COMMITTED  IP Security Messages - German
  bos.msg.en_US.net.ipsec    6.1.4.0  COMMITTED  IP Security Messages - U.S.
  bos.msg.es_ES.net.ipsec    6.1.7.0  COMMITTED  IP Security Messages - Spanish
  bos.msg.fr_FR.net.ipsec    6.1.7.0  COMMITTED  IP Security Messages - French
  bos.msg.it_IT.net.ipsec    6.1.7.0  COMMITTED  IP Security Messages - Italian
  bos.msg.pt_BR.net.ipsec    6.1.7.0  COMMITTED  IP Security Messages -
  bos.net.ipsec.keymgt       6.1.7.0  COMMITTED  IP Security Key Management
  bos.net.ipsec.rte          6.1.7.1  APPLIED    IP Security
  bos.net.ipsec.websm        6.1.7.0  COMMITTED  IP Security WebSM
  bos.net.ipsec.keymgt       6.1.7.0  COMMITTED  IP Security Key Management
  bos.net.ipsec.rte          6.1.7.1  APPLIED    IP Security
  bos.net.ipsec.websm        6.1.7.0  COMMITTED  IP Security WebSM

#

启动IPsec
#smitty tcpip
Configure IP Security (IPv4)->Start/Stop IP Security->Start IP Security

检查系统中 IP Security 扩展模块的状态
lsdev -Cc ipsec

在 AIX 中可以通过设定 permit 或 deny 规则,来表示接受或拒绝网络请求。IP Security 扩展核心模块加载后系统中就会有 2 条缺省过滤规则。

使用 lsfilt 命令检查当前系统中定义的规则。
# lsfilt -s -v4 -O
1 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 no udp eq 4001 eq 4001 both both no all packets 0 all 0 none  Default Rule
2 *** Dynamic filter placement rule for IKE tunnels *** no
0 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all 0 none  Default Rule
规则 1,用于会话密钥监控服务 (session key daemon ), 只会出现在 IP v4 的过滤规则表中。通过使用端口 4001 来控制用于刷新会话密钥的通讯包。不要修改该规则。

规则 2,自动生成的规则,总是在过滤表中的最后一行,缺省是 permit 规则,表示如果之前的所有过滤规则都不匹配的话,就允许该包通过。为了安全起见,通过周密的设置,可以改为 deny 规则,拒绝所有不满足过滤规则的通讯包访问该服务器。

配置 IP 过滤规则

IP 过滤表中的每一行就表示一条过滤规则。在 AIX 中可以通过设定 permit 或 deny 规则来表示接受或拒绝网络请求。这些规则的集合决定了什么样的包是可以接收或发送的。

我们可以从多个方面来定义过滤规则,其中包括包的源地址、目标地址、网络屏蔽位、使用的协议类型、端口号、通讯方向 (inbound or outbound)、网络接口名 (interface name) 等。

在 IP 过滤规则表中,匹配检查是从规则 1 开始的,一旦找到了相匹配的规则就可以决定是接受还是拒绝该通讯包,停止对剩余规则的扫描。所以序号小的规则总是被先扫描,序号大的规则是在之前的过滤规则都不满足的情况下才会被扫描到。我们可以根据需要来调整某条规则在过滤规则表中的位置,使其发挥应有的作用。过滤规则表中的静态过滤规则是可以进行增加、删除、修改和序号移动操作的。

过滤规则的设置可以参照以下步骤完成 :

#smitty ipsec4
选择 Advanced IP Security Configuration -> Configure IP Security Filter Rules -> Add an IP Security Filter Rules.

下面举例说明 : 对于 IP 地址是 172.16.58.131 的 AIX 服务器,我们希望只有来自于 172.16.15.0 网段的服务器才可以通过 telnet 访问它, 拒绝来自其他网段的 telnet 请求。

在 Unix 操作系统中 telnet 缺省使用的端口号是 23,所以在 172.16.58.131 服务器上需要设置以下 2 条过滤规则,一条是 permit 规则,一条是 deny 规则。

注意 :permit 规则要在 deny 规则之前。

# genfilt -v 4  -a 'P' -s '172.16.15.0' -m '255.255.255.0' -d '172.16.58.131'
-M '255.255.255.0' -g 'y' -c 'all' -o 'any' -p '0' -O  'eq' -P '23' -r 'B'
-w 'B' -l 'N' -t '0' -i 'all
# genfilt -v 4  -a 'D' -s '0.0.0.0' -m '0.0.0.0' -d '172.16.58.131'
-M '255.255.255.255' -g 'y' -c 'all' -o 'any' -p '0' -O 'eq' -P  '23' -r 'B'
-w 'B' -l 'N' -t '0' -i 'all'


使用命令 lsfilt 检查当前系统中的 IP 过滤规则表
 #lsfilt –v

使 IP 过滤规则生效
#mkfilt –v4 –u

通过使用以下命令对 IP 过滤规则表进行周密的定义,就可以大大增强 AIX 服务器的安全,减少受到网络攻击的可能。

    genfilt: 向系统中增加过滤规则
    mkfilt: 使过滤规则生效或失效
    lsfilt: 列出当前系统中定义的过滤规则表
    chfilt: 修改过滤规则
    mvfilt: 调整过滤规则在表中顺序
    ipsecstat : 检查 IP security 设备和状态以及对各类 IP security 包进行统计。

阅读(3178) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~