状态过滤规则
状态过滤检查诸如源和目标地址、端口号以及状态之类的信息.这时,通过将 IF、ELSE 或 ENDIF 过滤规则应用到这些头标志,
状态系统可在整个会话的上下文中(而不是在个别信息包及其头信息的上下文中)作出过滤决策.
状态检查将检查进入和外发的通信信息包.当使用 mkfilt -u 命令激活状态过滤规则时,在满足 IF 规则之前,将始终检查 ELSE 块中的规则.
在满足了 IF 规则或条件之后,在使用 mkfilt -u 命令重新激活过滤规则之前,将一直使用 IF 块中的规则.
ckfilt 命令将检查状态过滤规则的语法并将其以说明方式如下显示:
%ckfilt -v4
IPv4 过滤规则的开头。Rule 2
IF Rule 3
IF Rule 4
Rule 5
ELSE Rule 6
Rule 7
ENDIF Rule 8
ELSE Rule 9
Rule 10
ENDIF Rule 11
Rule 0
定时规则
定时规则指定在使用 mkfilt -v [4|6] -u 命令使过滤规则生效之后,应用过滤规则的时间(秒).
到期时间通过 genfilt -e 命令指定.
注:定时器对 IF、ELSE 或 ENDIF 规则没有影响.如果到期时间是在避免主机或避免端口规则中指定的,
则该时间仅适用于避免规则启动的有效规则.避免规则没有到期时间.
从 SMIT 访问过滤规则
要从 SMIT 配置过滤规则,完成以下步骤.
1.从命令行中,输入以下命令 : smitty ipsec4
2.选择高级 IP 安全性配置
3.选择配置 IP 安全性过滤规则
4.选择添加 IP 安全性过滤规则
5.
Add an IP Security Filter Rule
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[TOP] [Entry Fields]
* Rule Action [permit] +
* IP Source Address []
* IP Source Mask []
IP Destination Address []
IP Destination Mask []
* Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol [all] +
* Source Port / ICMP Type Operation [any] +
* Source Port Number / ICMP Type [0] #
* Destination Port / ICMP Code Operation [any] +
* Destination Port Number / ICMP Type [0] #
* Routing [both] +
* Direction [both] +
* Log Control [no] +
* Fragmentation Control [0] +
* Interface [] +
Expiration Time (sec) [] #
Pattern Type [none] +
Pattern / Pattern File []
Description []
Where "Pattern Type" may be one of the following
x none x#
x pattern x
x file x
x Anti-Virus patterns
操作字段的选项有 : permit、deny、shun_host、shun_port、if、else 和 endif .
如果指定了模式文件,则在使用 mkfilt -a 命令激活过滤规则时,该文件必须为可读.
过滤规则存储在 /etc/security/ipsec_filter 数据库中.
网友评论