瞭解 IP 封包過濾程式防火牆如何允許您建立一組規則,可捨棄或接受透過網路連線的資料傳輸。
IP 封包過濾防火牆可讓您建立一組規則,可捨棄或接受透過網路連線的資料傳輸。防火牆自身對此資料傳輸沒有任何影響。因為封包過濾程式只能捨棄送達本身的資料傳輸, 所以具有封包過濾程式的裝置必須執行 IP 遞送,或必須是資料傳輸的目的地。
封包過濾程式擁有一組接受或拒絕動作的規則。當封包過濾程式收到資訊封包時, 過濾程式會比較此封包和您預先配置的規則集。在第一次比對時,封包過濾程式會接受或拒絕資訊封包。大部份封包過濾程式在規則檔結尾處都有一個隱含的「全部拒絕規則」。
所有的封包過濾程式都有一個通用的狀況,即信任是以 IP 位址為基礎。雖然此安全類型對於整個網路而言仍屬不足,但可滿足元件層次的需求。
大部份 IP 封包過濾程式都是無狀態的,這意味著它們不會記憶關於其先前已處理之封包的任何資訊。有狀態封包過濾程式可以保留關於先前資料傳輸的部份資訊,這可讓您配置僅允許來自網際網路的對內部網路要求的回覆。因為封包標頭中的來源 IP 位址及 ACK 位元很容易被偽造,所以無狀態封包過濾程式容易被盜用。
您可以在 i5/OS® 中指定介面及遠端存取服務設定檔的封包過濾規則。如果您對 i5/OS 使用外部封包過濾防火牆或封包過濾規則,並且您的「廣用連線」資料通過這些過濾程式,則必須變更過濾規則,以允許與 IBM®「VPN 閘道」的連線,如下所示:
| IP 過濾規則 | IP 過濾值 |
|---|---|
| UDP 入埠資料傳輸過濾規則 | 允許 4500 埠用於 VPN 閘道位址 |
| UDP 入埠資料傳輸過濾規則 | 允許 500 埠用於 VPN 閘道位址 |
| UDP 離埠資料傳輸過濾規則 | 允許 4500 埠用於 VPN 閘道 IP 位址 |
| UDP 離埠資料傳輸過濾規則 | 允許 500 埠用於 VPN 閘道 IP 位址 |
| ESP 入埠資料傳輸過濾規則 | 允許 VPN 閘道 IP 位址使用 ESP 通訊協定 (X'32') |
| ESP 離埠資料傳輸過濾規則 | 允許 VPN 閘道 IP 位址使用 ESP 通訊協定 (X'32') |
| IP 過濾規則 | IP 過濾值 |
|---|---|
| TCP 入埠資料傳輸過濾規則 | 允許 80 埠用於所有服務目的地位址 |
| TCP 入埠資料傳輸過濾規則 | 允許 443 埠用於所有服務目的地位址 |
| TCP 離埠資料傳輸過濾規則 | 允許 80 埠用於所有服務目的地位址 |
| TCP 離埠資料傳輸過濾規則 | 允許 443 埠用於所有服務目的地位址 |
變更過濾規則需要指定實際的 IBM VPN 閘道位址。埠及服務必須對下列 IP 開放:Boulder:207.25.252.196 與 Rochester: 129.42.160.16。如需詳細資料, 請參閱「iSeries™ 資訊中心」中的決定 IBM VPN 閘道位址。
此外,對 HTTP 及 HTTPs 資料傳輸來說, 變更過濾規則還可能需要指定實際的服務目的地位址。您可以如「iSeries 資訊中心」中的決定 IBM 服務目的地位址中所說明的方式來決定這些位址。