如何穿过防火墙远程控制 OptiView™ 协议分析仪
背景:
当*个内部网接入因特网时,就可能会与50000个未知的网络和用户产生物理连接,打开这些连接就能使用各种各样的应用和共享信息,尽管大多数内容肯定不能与外界共享,因特网为黑客盗用信息和破坏网络提供了广阔的空间,所以安全成为连接入因特网的关注点。
为什么使用防火墙
防火墙是限制外面用户通过因特网进入自己网络的*种安全机制,是*套过滤数据包的规则,可以让期望的数据通过,阻止不需要的流量。大多数防火墙通过相应配置,依据访问控制列表(ACL)与管道(Conduit)检查数据包中的相关信息,然后转发数据包。
[译者注:管道是*个通过防火墙的虚电路,它允许外部机器启动至内部机器的*条连接。每条管道都是潜在威胁,因此,必须根据安全政策和业务的要求限制对它的使用。如果可能,可以用远程源地址、本地目标地址和协议加以限制。
ACL是*种在网络设备中(如路由器或交换机)通过*系列PERMIT,DENY语句来过滤数据包的方法。为了减少所需的接入,应该认真配置访问列表。如果可能,应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。]
如果不匹配访问控制列表(ACL) 与管道(Conduit)的要求, 防火墙会丢弃这些数据包。访问控制列表(ACL) 与管道(Conduit)定义符合要求的帧,这些帧必须满足网络可以接受的规则。 符合条件即可以*般性设定,也可以设定得很具体。例如,防火墙中*般的管道充许网络中所有的流量通过,不限制任何源主机和目的主机。特别设定后,管道只充许IP地址为45.30.155.30的主机通过UDP协议的161(SNMP)端口与IP地址为10.17.2.30的内部网络中的主机通信。结果,只有这两个主机之间的SNMP的流量可以通过防火墙。
怎样配置防火墙来实现远程访问
通过防火墙远程访问 OptiView 协议分析仪需要注意几件事。管理员要在防火墙中加*两条配置语句,除非让防火墙的所有应用都是开放的。
**,OptiView协议分析仪需要*个公共的IP地址。当在内部网络采用私有地址时,许多网络管理员会使用网络地址转换(NAT)的方法来处理,这样可以把使用几千个私有地址的网络转换为*个或几个公共地址的网络。网络地址转换(NAT)的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”,这样能防止将主机地址暴露给其它网络接口。如果选择使用NAT保护内部主机地址,应该*确定*组用于转换的地址段。
[译者注:对于内部系统,NAT能够转换向外传输的包的源IP地址。它同时支持动态转换和静态转换。NAT允许为内部系统分配专用地址,或者保留现有的无效地址。NAT还能提高安全性,因为它能向外部网络隐藏内部系统的真实网络身份。]
当使用NAT时,OptiView 协议分析仪需要*个静态的NAT表。如果,NAT以动态的方式使用,实际地址来自于*个指定的地址段,这样内部主机就不会每次得到*个相同的外部地址。OptiView 协议分析仪从地址映射表中获得*个固定的地址,这个固定的地址,可以让外面的主机访问到它。如果不使用NAT,那么 OptiView 协议分析仪就用当前的地址进行工作。*旦OptiView 协议分析仪由静态的NAT表确定了地址,就需要对防火墙进行*些配置,如果 OptiView协议分析仪让远程用户以WEB形式访问,就要充许HTTP服务。
图1:OptiView 协议分析仪在因特网中的地址为45.30.1.1
HTTP 通信要基于TCP的连接,默认的服务端口为TCP 80端口,所以要开放OPTIVIEW协议分析仪的80端口,例如,可以让所有主机通过80端口访问 OptiView 协议分析仪,也可以只让*台主机通过80端口访问 OptiView 协议分析仪。
在图2中,主机200.200.200.1试图远程访问 OptiView 协议分析仪,防火墙会检查信息的匹配性,如果通过,会通过NAT转换了*个内部地址与 OptiView 协议分析仪通信。
远程用户需要下载远程用户接口程序,然后安装在当前主机中,该程序可以用E-mail或其它文件传输方式操作 OptiView 协议分析仪。用户必须下载远程控制软件,远程控制接口采用TCP的1695端口,所以在防火墙中必须开放这*端口。
举例来说,如图3是对本地防火墙的配置。许多管理员喜欢对进出流量进行控制,这样在本地防火墙中,远程用户接口很可能被阻挡。
防火墙是网络安全的重要方式,由于许多安全漏洞的存在,黑客进入你的网络会有许多路径,从外部来的信息必须严格控制。这样,对 OptiView 协议分析仪的远程操作要非常细致严格,如果远程主机的地址是已知的话,管理员*定要在配置中指明。当设置改变时,*定要认真验证,否则简单马虎的配置会招来黑客的攻击。