背景:
當一個內(nèi)部網(wǎng)接入因特網(wǎng)時，就可能會與50000個未知的網(wǎng)絡和用戶產(chǎn)生物理連接，打開這些連接就能使用各種各樣的應用和共享信息，盡管大多數(shù)內(nèi)容肯定不能與外界共享,因特網(wǎng)為黑客盜用信息和破壞網(wǎng)絡提供了廣闊的空間，所以安全成為連接入因特網(wǎng)的關注點。
為什么使用防火墻
防火墻是限制外面用戶通過因特網(wǎng)進入自己網(wǎng)絡的一種安全機制，是一套過濾數(shù)據(jù)包的規(guī)則，可以讓期望的數(shù)據(jù)通過，阻止不需要的流量。大多數(shù)防火墻通過相應配置，依據(jù)訪問控制列表(ACL)與管道(Conduit)檢查數(shù)據(jù)包中的相關信息，然后轉(zhuǎn)發(fā)數(shù)據(jù)包。
（譯者注：
管道是一個通過防火墻的虛電路，它允許外部機器啟動至內(nèi)部機器的一條連接。每條管道都是潛在威脅，因此，必須根據(jù)安全政策和業(yè)務的要求限制對它的使用。如果可能，可以用遠程源地址、本地目標地址和協(xié)議加以限制。
ACL是一種在網(wǎng)絡設備中(如路由器或交換機)通過一系列PERMIT，DENY語句來過濾數(shù)據(jù)包的方法。為了減少所需的接入，應該認真配置訪問列表。如果可能，應該用遠程源地址、本地目標地址和協(xié)議對訪問列表施加更多的限制。）
如果不匹配訪問控制列表(ACL) 與管道(Conduit)的要求， 防火墻會丟棄這些數(shù)據(jù)包。訪問控制列表(ACL) 與管道(Conduit)定義符合要求的幀，這些幀必須滿足網(wǎng)絡可以接受的規(guī)則。符合條件即可以一般性設定，也可以設定得很具體。例如，防火墻中一般的管道充許網(wǎng)絡中所
有的流量通過，不限制任何源主機和目的主機。特別設定后，管道只充許IP地址為45.30.155.30的主機通過UDP協(xié)議的161(SNMP)端口與IP地址為10.17.2.30的內(nèi)部網(wǎng)絡中的主機通信。結(jié)果，只有這兩個主機之間的SNMP的流量可以通過防火墻。
怎樣配置防火墻來實現(xiàn)遠程訪問
通過防火墻遠程訪問 OptiView 協(xié)議分析儀需要注意幾件事。管理員要在防火墻中加一兩條配置語句，除非讓防火墻的所有應用都是開放的。
首先，OptiView 協(xié)議分析儀需要一個公共的IP 地址。當在內(nèi)部網(wǎng)絡采用私有地址時，許多網(wǎng)絡管理員會使用網(wǎng)絡地址轉(zhuǎn)換(NAT)的方法來處理，這樣可以把使用幾千個私有地址的網(wǎng)絡轉(zhuǎn)換為一個或幾個公共地址的網(wǎng)絡。網(wǎng)絡地址轉(zhuǎn)換（ NAT）的作用是將內(nèi)部接口上的主機地址轉(zhuǎn)換為與外部接口相關的“全球地址”，這樣能防止將主機地址暴露給其它網(wǎng)絡接口。如果選擇使用NAT 保護內(nèi)部主機地址，應該先確定一組用于轉(zhuǎn)換的地址段。
（譯者注：對于內(nèi)部系統(tǒng)，NAT 能夠轉(zhuǎn)換向外傳輸?shù)陌�的源IP 地址。它同時支持動態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。NAT 允許為內(nèi)部系統(tǒng)分配專用地址，或者保留現(xiàn)有的無效地址。NAT 還能提高安全性，因為它能向外部網(wǎng)絡隱藏內(nèi)部系統(tǒng)的真實網(wǎng)絡身份。）
當使用NAT時，OptiView 協(xié)議分析儀需要一個靜態(tài)的NAT表。如果，NAT以動態(tài)的方式使用，實際地址來自于一個指定的地址段，這樣內(nèi)部主機就不會每次得到一個相同的外部地址。OptiView 協(xié)議分析儀從地址映射表中獲得一個固定的地址，這個固定的地址，可以讓外面的主機訪問到它。如果不使用NAT，那么 OptiView 協(xié)議分析儀就用當前的地址進行工作。一旦OptiView 協(xié)議分析儀由靜態(tài)的NAT表確定了地址，就需要對防火墻進行一些配置，如果OptiView協(xié)議分析儀讓遠程用戶以WEB形式訪問，就要充許HTTP服務。 HTTP 通信要基于TCP的連接，默認的服務端口為TCP 80端口，所以要開放OPTIVIEW協(xié)議分析儀的80端口，例如，可以讓所有主機通過80端口訪問 OptiView 協(xié)議分析儀，也可以只讓一臺主機通過80端口訪問 OptiView 協(xié)議分析儀。 在圖2中，主機200.200.200.1試圖遠程訪問 OptiView 協(xié)議分析儀，防火墻會檢查信息的匹配性，如果通過，會通過NAT轉(zhuǎn)換了一個內(nèi)部地址與 OptiView 協(xié)議分析儀通信。
遠程用戶需要下載遠程用戶接口程序，然后安裝在當前主機中，該程序可以用E-mail或其它文件傳輸方式操作 OptiView 協(xié)議分析儀。用戶必須下載遠程控制軟件，遠程控制接口采用TCP的1695端口，所以在防火墻中必須開放這一端口。 舉例來說，如圖3是對本地防火墻的配置。許多管理員喜歡對進出流量進行控制，這樣在本地防火墻中，遠程用戶接口很可能被阻擋。
防火墻是網(wǎng)絡安全的重要方式，由于許多安全漏洞的存在，黑客進入你的網(wǎng)絡會有許多路徑，從外部來的信息必須嚴格控制。這樣，對OptiView 協(xié)議分析儀的遠程操作要非常細致嚴格，如果遠程主機的地址是已知的話，管理員一定要在配置中指明。當設置改變時，一定要認真驗證，否則簡單馬虎的配置會招來黑客的攻擊。 責任編輯: 雪花(TEL:（010）68476636-8008)