简介穿过防火墙来远程式控制制协议分析仪

当一个内部网接入因特网时，就可能会与50000个未知的网路和用户产生物理连接，打开这些连接就能使用各种各样的应用和共用资讯，尽管大多数内容肯定不能与外界共用，因特网为骇客盗用资讯和破坏网路提供了广阔的空间，所以安全成为连接入因特网的关注点。
  为什么使用防火墙
  防火墙是限制外面用户通过因特网进入自己网路的一种安全机制，是一套过滤数据包的规则，可以让期望的数据通过，阻止不需要的流量。大多数防火墙通过相应配置，依据访问控制列表（ACL）与管道（Conduit）检查数据包中的相关资讯，然后转发数据包。 http://211.147.225.34/gate/b...eyes.com.cn/
  怎样配置防火墙来实现远程访问
  通过防火墙远程访问OptiView协议分析仪需要注意几件事。管理员要在防火墙中加一两条配置语句，除非让防火墙的所有应用都是开放的。 http://211.147.225.34/gate/b...eyes.com.cn/
  （译者注：对于内部系统，NAT能够转换向外传输的包的源IP地址。它同时支援动态转换和静态转换。NAT允许为内部系统分配专用地址，或者保留现有的无效地址。NAT 还能提高安全性，因为它能向外部网路隐藏内部系统的真实网路身份。）
  当使用NAT时，OptiView协议分析仪需要一个静态的NAT表。如果，NAT以动态的方式使用，实际地址来自于一个指定的地址段，这样内部主机就不会每次得到一个相同的外部地址。OptiView协议分析仪从地址映射表中获得一个固定的地址，这个固定的地址，可以让外面的主机访问到它。如果不使用NAT，那么OptiView 协议分析仪就用当前的地址进行工作。一旦OptiView 协议分析仪由静态的NAT表确定了地址，就需要对防火墙进行一些配置，如果OptiView协议分析仪让远程用户以WEB形式访问，就要充许http服务。
[/url]
  图1：OptiView协议分析仪在因特网中的地址为45.30.1.1
  http通信要基于TCP的连接，默认的服务端口为TCP80端口，所以要开放OPTIVIEW协议分析仪的80端口，例如，可以让所有主机通过80端口访问OptiView 协议分析仪，也可以只让一台主机通过80端口访问 OptiView 协议分析仪。
[url=http://211.147.225.34/gate/big5/www.beareyes.com.cn/]
  在图2中，主机200.200.200.1试图远程访问OptiView协议分析仪，防火墙会检查资讯的匹配性，如果通过，会通过NAT转换了一个内部地址与OptiView 协议分析仪通信。 [/url]
  远程用户需要下载远程用户介面程式，然后安装在当前主机中，该程式可以用E-mail或其他文件传输方式操作OptiView协议分析仪。用户必须下载远程式控制制软体，远程式控制制介面采用TCP的1695端口，所以在防火墙中必须开放这一端口。
[url=http://211.147.225.34/gate/big5/www.beareyes.com.cn/]
  举例来说，如图3是对本地防火墙的配置。许多管理员喜欢对进出流量进行控制，这样在本地防火墙中，远程用户介面很可能被阻挡。 [url=http://211.147.225.34/gate/big5/www.beareyes.com.cn/][/url]
  防火墙是网路安全的重要方式，由于许多安全漏洞的存在，骇客进入你的网路会有许多路径，从外部来的资讯必须严格控制。这样，对OptiView协议分析仪的远程操作要非常细致严格，如果远程主机的地址是已知的话，管理员一定要在配置中指明。当设置改变时，一定要认真验证，否则简单马虎的配置会招来骇客的攻击。