背景:
當(dāng)一個(gè)內(nèi)部網(wǎng)接入因特網(wǎng)時(shí),就可能會(huì)與50000個(gè)未知的網(wǎng)絡(luò)和用戶產(chǎn)生物理連接,打開這些連接就能使用各種各樣的應(yīng)用和共享信息,盡管大多數(shù)內(nèi)容肯定不能與外界共享,因特網(wǎng)為黑客盜用信息和破壞網(wǎng)絡(luò)提供了廣闊的空間,所以安全成為連接入因特網(wǎng)的關(guān)注點(diǎn)。
為什么使用防火墻
防火墻是限制外面用戶通過因特網(wǎng)進(jìn)入自己網(wǎng)絡(luò)的一種安全機(jī)制,是一套過濾數(shù)據(jù)包的規(guī)則,可以讓期望的數(shù)據(jù)通過,阻止不需要的流量。大多數(shù)防火墻通過相應(yīng)配置,依據(jù)訪問控制列表(ACL)與管道(Conduit)檢查數(shù)據(jù)包中的相關(guān)信息,然后轉(zhuǎn)發(fā)數(shù)據(jù)包。
。ㄗg者注:管道是一個(gè)通過防火墻的虛電路,它允許外部機(jī)器啟動(dòng)至內(nèi)部機(jī)器的一條連接。每條管道都是潛在威脅,因此,必須根據(jù)安全政策和業(yè)務(wù)的要求限制對它的使用。如果可能,可以用遠(yuǎn)程源地址、本地目標(biāo)地址和協(xié)議加以限制。ACL是一種在網(wǎng)絡(luò)設(shè)備中(如路由器或交換機(jī))通過一系列PERMIT,DENY語句來過濾數(shù)據(jù)包的方法。為了減少所需的接入,應(yīng)該認(rèn)真配置訪問列表。如果可能,應(yīng)該用遠(yuǎn)程源地址、本地目標(biāo)地址和協(xié)議對訪問列表施加更多的限制。)
如果不匹配訪問控制列表(ACL) 與管道(Conduit)的要求, 防火墻會(huì)丟棄這些數(shù)據(jù)包。訪問控制列表(ACL) 與管道(Conduit)定義符合要求的幀,這些幀必須滿足網(wǎng)絡(luò)可以接受的規(guī)則。符合條件即可以一般性設(shè)定,也可以設(shè)定得很具體。例如,防火墻中一般的管道充許網(wǎng)絡(luò)中所有的流量通過,不限制任何源主機(jī)和目的主機(jī)。特別設(shè)定后,管道只充許IP地址為45.30.155.30的主機(jī)通過UDP協(xié)議的161(SNMP)端口與IP地址為10.17.2.30的內(nèi)部網(wǎng)絡(luò)中的主機(jī)通信。結(jié)果,只有這兩個(gè)主機(jī)之間的SNMP的流量可以通過防火墻。
怎樣配置防火墻來實(shí)現(xiàn)遠(yuǎn)程訪問
通過防火墻遠(yuǎn)程訪問 OptiView 協(xié)議分析儀需要注意幾件事。管理員要在防火墻中加一兩條配置語句,除非讓防火墻的所有應(yīng)用都是開放的。
首先,OptiView 協(xié)議分析儀需要一個(gè)公共的IP 地址。當(dāng)在內(nèi)部網(wǎng)絡(luò)采用私有地址時(shí),許多網(wǎng)絡(luò)管理員會(huì)使用網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)的方法來處理,這樣可以把使用幾千個(gè)私有地址的網(wǎng)絡(luò)轉(zhuǎn)換為一個(gè)或幾個(gè)公共地址的網(wǎng)絡(luò)。網(wǎng)絡(luò)地址轉(zhuǎn)換( NAT)的作用是將內(nèi)部接口上的主機(jī)地址轉(zhuǎn)換為與外部接口相關(guān)的“全球地址”,這樣能防止將主機(jī)地址暴露給其它網(wǎng)絡(luò)接口。如果選擇使用NAT 保護(hù)內(nèi)部主機(jī)地址,應(yīng)該先確定一組用于轉(zhuǎn)換的地址段。
。ㄗg者注:對于內(nèi)部系統(tǒng),NAT 能夠轉(zhuǎn)換向外傳輸?shù)陌脑碔P 地址。它同時(shí)支持動(dòng)態(tài)轉(zhuǎn)換和靜態(tài)轉(zhuǎn)換。NAT 允許為內(nèi)部系統(tǒng)分配專用地址,或者保留現(xiàn)有的無效地址。NAT 還能提高安全性,因?yàn)樗芟蛲獠烤W(wǎng)絡(luò)隱藏內(nèi)部系統(tǒng)的真實(shí)網(wǎng)絡(luò)身份。)
當(dāng)使用NAT時(shí),OptiView 協(xié)議分析儀需要一個(gè)靜態(tài)的NAT表。如果,NAT以動(dòng)態(tài)的方式使用,實(shí)際地址來自于一個(gè)指定的地址段,這樣內(nèi)部主機(jī)就不會(huì)每次得到一個(gè)相同的外部地址。OptiView 協(xié)議分析儀從地址映射表中獲得一個(gè)固定的地址,這個(gè)固定的地址,可以讓外面的主機(jī)訪問到它。如果不使用NAT,那么 OptiView 協(xié)議分析儀就用當(dāng)前的地址進(jìn)行工作。一旦OptiView 協(xié)議分析儀由靜態(tài)的NAT表確定了地址,就需要對防火墻進(jìn)行一些配置,如果OptiView協(xié)議分析儀讓遠(yuǎn)程用戶以WEB形式訪問,就要充許HTTP服務(wù)。
圖1:OptiView 協(xié)議分析儀在因特網(wǎng)中的地址為45.30.1.1
HTTP 通信要基于TCP的連接,默認(rèn)的服務(wù)端口為TCP 80端口,所以要開放OPTIVIEW協(xié)議分析儀的80端口,例如,可以讓所有主機(jī)通過80端口訪問 OptiView 協(xié)議分析儀,也可以只讓一臺(tái)主機(jī)通過80端口訪問 OptiView 協(xié)議分析儀。
在圖2中,主機(jī)200.200.200.1試圖遠(yuǎn)程訪問 OptiView 協(xié)議分析儀,防火墻會(huì)檢查信息的匹配性,如果通過,會(huì)通過NAT轉(zhuǎn)換了一個(gè)內(nèi)部地址與 OptiView 協(xié)議分析儀通信。
遠(yuǎn)程用戶需要下載遠(yuǎn)程用戶接口程序,然后安裝在當(dāng)前主機(jī)中,該程序可以用E-mail或其它文件傳輸方式操作 OptiView 協(xié)議分析儀。用戶必須下載遠(yuǎn)程控制軟件,遠(yuǎn)程控制接口采用TCP的1695端口,所以在防火墻中必須開放這一端口。
舉例來說,如圖3是對本地防火墻的配置。許多管理員喜歡對進(jìn)出流量進(jìn)行控制,這樣在本地防火墻中,遠(yuǎn)程用戶接口很可能被阻擋。
防火墻是網(wǎng)絡(luò)安全的重要方式,由于許多安全漏洞的存在,黑客進(jìn)入你的網(wǎng)絡(luò)會(huì)有許多路徑,從外部來的信息必須嚴(yán)格控制。這樣,對 OptiView 協(xié)議分析儀的遠(yuǎn)程操作要非常細(xì)致嚴(yán)格,如果遠(yuǎn)程主機(jī)的地址是已知的話,管理員一定要在配置中指明。當(dāng)設(shè)置改變時(shí),一定要認(rèn)真驗(yàn)證,否則簡單馬虎的配置會(huì)招來黑客的攻擊。
作者:美國福祿克網(wǎng)絡(luò)公司 來源:C114(CHINA通信網(wǎng))