1、我如何在toolkit里使用S/KEYS?
First,youmustobtaintheSecureIDlibraryfromAxentTechnologies(Security Dynamics)
ortheSkeylibrary.InordertocompiletheSecureIDwiththetoolkit,change the
"tis_sd_init"referenceinsecurid.cto"sd_init".The"tis_" variantisaTISfixthat
shipswithGauntletsincetheSecurIDsoftwarewontworkwellwithmulti-homed hosts.
Forboth,youneedtoedittheMakefileintheauthdirectoryfortheproper modulestobe
compiledandlinked.Removethe"#"fromthe"SKEYDIR=" (etc..)linesandre-make.
#ifyouareusingtheSKEYmodules,defineSKEYDIRtobethesource
#directorywheretheSKEYlibrariesandincludefilesare.
#SKEYDIR=../../skey
#SKEYINC=-I$(SKEYDIR)
#SKEYLIB=$(SKEYDIR)/libskey.a
#SKEYOBJ=skey.o
#ifyouareusingtheSecurIDmodule,defineSECURDIRtobethesource
#directorywheretheSecurIDlibrariesandincludefilesare.
#SECURDIR=/var/ace/client
#SECURLIB=$(SECURDIR)/sdclient.a$(FWLIB)#SECURINC=-I$(SECURDIR)
#SECUROBJ=securid.o
2、我如何在netperm-table指定一个子网掩码?
使用如"network-number:netmask"之类的格式,下面是示例:
111.222.0.0:255.255.0.0
这一特性在FWTK2.x以上的版本才有效哦。
3、为什么当我要打开proxy时得到"inetd:xxx-gw/tcp:unknownservice"的错误提示?
这表示在你/etc/inetd.conf中要打开的服务与/etc/services中定义的有冲突。
举例来说,你的inetd.conf文件中有如下行:
ftp-gwstreamtcpnowaitroot/usr/local/etc/ftp-gwftp-gw
最后就是指服务——service的名乐,把它改为ftp就OK了。
如果你运行的是Solaris2.x,可能还要参考/etc/nsswitch.conf文件。
4、我如何将FWTK的log文件与其它标准syslog文件隔开?
可以编辑firewall.h:
找到下面的行:
#defineLFACLOG_DAEMON
替换为
#defineLFACLOG_LOCAL6
然后将:
local6.*/var/log/fwtk
扔到syslog.conf里面去,然后把类似下面这行的东东干掉
*.info;local6,mail.none/var/log/messages
当然,在你的netperm-table里面要用-log的选项打开记录功能哦。
5、? 何为不同的服务建立分开的log文件?
按照如下形式来编辑你的/etc/syslog.conf文件吧——具体内容可以参看syslog.conf的
manpage。
#patternstomatchfor
"authsrv"/home/log/auth
"netacl.*fingerd"/home/log/in-fingerd
"netacl.*telnetd"/home/log/in-telnetd
"smap"/home/log/smap
"ftp-gw"/home/log/ftp-gw
"plug-gw"/home/log/plug-gw
"rlogin-gw"/home/log/rlogin-gw
"tn-gw"/home/log/tn-gw
#Standardsystemlogs
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug/var/adm/messages
*.emerg*
*.emerg;*.crit/dev/console
最后,发送HUP信号给syslogd来重启进程就OK了。
附2、一些相关术语(摘自防火墙的选型、配置、安装和维护一书)
1、防火墙(firewall):在被保护网络和因特网之间,或在其它网络之间限制访问的一种或一系列部件。
2、主机(host):连接到网络上的计算机系统,它可以是各种类型的机器,如SUN工作站,PC或者IBM主机等等,也可以运行不同的操作系统。
3、堡垒主机(bastionhost):它是一种被强化的可以防御进攻的计算机,被暴露于因特网之上,作为进入内部主机的一个检查点。通常情况下,堡垒主机上运行一些通用的操作系统。
4、双宿主主机dualhomedhost):有两个网络接口的主机。
5、屏蔽路由器(screenedrouter):可以根据过滤原则对数据包进行阻塞和转发的机器。
6、屏蔽主机(screenedhost):被放置到屏蔽路由器后面的网络上的主机,主机能被访问和程度取决于路由器的屏蔽规则。
7、屏蔽子网(screensubnet):位于屏蔽路由器后面的子网,子网能被访问的程度取决于屏蔽规则。
8、代理服务器(proxyserver):一种代表客户和真正服务器通信的程序。典型的代理接受用户的客户请求,然后决定用户或用户的IP地址是否有权使用代理服务器(也可能支持其它的认证手段),然后代表客户与真正服务器之间建立连接。
9、IP欺骗(ipspoofing):这是一种黑客的攻击形式,黑客使用一台机器,而用另一台机器的IP地址,从而装扮成另一台机器与服务器打交道。例如,一个防火墙不允许某一竞争站点访问该站点,但竞争站点可以使用其它站点的IP和服务器通信,而服务器则不知道与它通信的机器是竞争站点的主机。
10、DNS欺骗(DNSspoofing):通过破坏被攻击机上的名字服务器缓存,或破坏一个域名服务器来伪造IP地址和主机名的映射,从而冒充其它机器。
11、隧道路由器(trnnelingrouter):它是一种特殊的路由器,可以对数据包进行加密,让数据能通过非信任网,如因特网,然后在另一端用同样的路由器进行解密。
12、虚拟私用网(VirtualPrivateNetwork,VPN):一种连接两个远程局域网的方式,连接要通过非信任网,如因特网,所以一般通过隧道路由器来实现互联。
13、差错与控制报文(ICMP):这是TCP/IP协议中的一种,建立在IP层上,用于主机之间或主机在路由器之间传输错误报文以及路由建议。
14、纵深防御(DefenseinDepth):一种确保网络尽可能安全的安全措施,一般与防火墙联用。
15、最小特权(LeastPrivilege):在运行和维护系统中,尽可能地减少用户的特权,但同时也要使用户有足够的权限来做事,这样就会减少特权被滥用的机会。内部人员滥用特权很可能在防火墙上打开一个安全缺口,这很危险,很多的入侵是由此引起的。
16、数据包过滤(packagefiltering):一些设备,如路由器、网桥或单独的主机,可以有选择地控制网络上来往的数据流。当数据包要经过这些设备时,这些设备可以检查数据包的相应位,根据既定的原则来决定是否允许数据包通过。有时这也被称作屏蔽。
====================
错漏难免,请高手赐教
