win7系统下载
当前位置: 首页 > 网络技术教程 > 详细页面

Fluke Networks:如何穿过防火墙远程控制 OptiView?

发布时间:2022-12-25 文章来源:深度系统下载 浏览:

网络技术是从1990年代中期发展起来的新技术,它把互联网上分散的资源融为有机整体,实现资源的全面共享和有机协作,使人们能够透明地使用资源的整体能力并按需获取信息。资源包括高性能计算机、存储资源、数据资源、信息资源、知识资源、专家资源、大型数据库、网络、传感器等。 当前的互联网只限于信息共享,网络则被认为是互联网发展的第三阶段。

背景:
当一个内部网接入因特网时,就可能会与50000个未知的网络和用户产生物理连接,打开这些连接就能使用各种各样的应用和共享信息,尽管大多数内容肯定不能与外界共享,因特网为黑客盗用信息和破坏网络提供了广阔的空间,所以安全成为连接入因特网的关注点。
为什么使用防火墙
防火墙是限制外面用户通过因特网进入自己网络的一种安全机制,是一套过滤数据包的规则,可以让期望的数据通过,阻止不需要的流量。大多数防火墙通过相应配置,依据访问控制列表(ACL)与管道(Conduit)检查数据包中的相关信息,然后转发数据包。
(译者注:
管道是一个通过防火墙的虚电路,它允许外部机器启动至内部机器的一条连接。每条管道都是潜在威胁,因此,必须根据安全政策和业务的要求限制对它的使用。如果可能,可以用远程源地址、本地目标地址和协议加以限制。
ACL是一种在网络设备中(如路由器或交换机)通过一系列PERMIT,DENY语句来过滤数据包的方法。为了减少所需的接入,应该认真配置访问列表。如果可能,应该用远程源地址、本地目标地址和协议对访问列表施加更多的限制。)

如果不匹配访问控制列表(ACL) 与管道(Conduit)的要求, 防火墙会丢弃这些数据包。访问控制列表(ACL) 与管道(Conduit)定义符合要求的帧,这些帧必须满足网络可以接受的规则。符合条件即可以一般性设定,也可以设定得很具体。例如,防火墙中一般的管道充许网络中所
有的流量通过,不限制任何源主机和目的主机。特别设定后,管道只充许IP地址为45.30.155.30的主机通过UDP协议的161(SNMP)端口与IP地址为10.17.2.30的内部网络中的主机通信。结果,只有这两个主机之间的SNMP的流量可以通过防火墙。
怎样配置防火墙来实现远程访问
通过防火墙远程访问 OptiView 协议分析仪需要注意几件事。管理员要在防火墙中加一两条配置语句,除非让防火墙的所有应用都是开放的。
首先,OptiView 协议分析仪需要一个公共的IP 地址。当在内部网络采用私有地址时,许多网络管理员会使用网络地址转换(NAT)的方法来处理,这样可以把使用几千个私有地址的网络转换为一个或几个公共地址的网络。网络地址转换( NAT)的作用是将内部接口上的主机地址转换为与外部接口相关的“全球地址”,这样能防止将主机地址暴露给其它网络接口。如果选择使用NAT 保护内部主机地址,应该先确定一组用于转换的地址段。
(译者注:对于内部系统,NAT 能够转换向外传输的包的源IP 地址。它同时支持动态转换和静态转换。NAT 允许为内部系统分配专用地址,或者保留现有的无效地址。NAT 还能提高安全性,因为它能向外部网络隐藏内部系统的真实网络身份。)
当使用NAT时,OptiView 协议分析仪需要一个静态的NAT表。如果,NAT以动态的方式使用,实际地址来自于一个指定的地址段,这样内部主机就不会每次得到一个相同的外部地址。OptiView 协议分析仪从地址映射表中获得一个固定的地址,这个固定的地址,可以让外面的主机访问到它。如果不使用NAT,那么 OptiView 协议分析仪就用当前的地址进行工作。一旦OptiView 协议分析仪由静态的NAT表确定了地址,就需要对防火墙进行一些配置,如果OptiView协议分析仪让远程用户以WEB形式访问,就要充许HTTP服务。 HTTP 通信要基于TCP的连接,默认的服务端口为TCP 80端口,所以要开放OPTIVIEW协议分析仪的80端口,例如,可以让所有主机通过80端口访问 OptiView 协议分析仪,也可以只让一台主机通过80端口访问 OptiView 协议分析仪。 在图2中,主机200.200.200.1试图远程访问 OptiView 协议分析仪,防火墙会检查信息的匹配性,如果通过,会通过NAT转换了一个内部地址与 OptiView 协议分析仪通信。
远程用户需要下载远程用户接口程序,然后安装在当前主机中,该程序可以用E-mail或其它文件传输方式操作 OptiView 协议分析仪。用户必须下载远程控制软件,远程控制接口采用TCP的1695端口,所以在防火墙中必须开放这一端口。 举例来说,如图3是对本地防火墙的配置。许多管理员喜欢对进出流量进行控制,这样在本地防火墙中,远程用户接口很可能被阻挡。
防火墙是网络安全的重要方式,由于许多安全漏洞的存在,黑客进入你的网络会有许多路径,从外部来的信息必须严格控制。这样,对OptiView 协议分析仪的远程操作要非常细致严格,如果远程主机的地址是已知的话,管理员一定要在配置中指明。当设置改变时,一定要认真验证,否则简单马虎的配置会招来黑客的攻击。 责任编辑: 雪花(TEL:(010)68476636-8008)

网络的神奇作用吸引着越来越多的用户加入其中,正因如此,网络的承受能力也面临着越来越严峻的考验―从硬件上、软件上、所用标准上......,各项技术都需要适时应势,对应发展,这正是网络迅速走向进步的催化剂。

本文章关键词: 防火墙 远程控制 OptiView