背景:
當一個內部網接入因特網時，就可能會與50000個未知的網絡和用戶產生物理連接，打開這些連接就能使用各種各樣的應用和共享信息，盡管大多數內容肯定不能與外界共享,因特網為黑客盜用信息和破壞網絡提供了廣闊的空間，所以安全成為連接入因特網的關注點。
為什么使用防火墻
防火墻是限制外面用戶通過因特網進入自己網絡的一種安全機制，是一套過濾數據包的規則，可以讓期望的數據通過，阻止不需要的流量。大多數防火墻通過相應配置，依據訪問控制列表(ACL)與管道(Conduit)檢查數據包中的相關信息，然后轉發數據包。
（譯者注：
管道是一個通過防火墻的虛電路，它允許外部機器啟動至內部機器的一條連接。每條管道都是潛在威脅，因此，必須根據安全政策和業務的要求限制對它的使用。如果可能，可以用遠程源地址、本地目標地址和協議加以限制。
ACL是一種在網絡設備中(如路由器或交換機)通過一系列PERMIT，DENY語句來過濾數據包的方法。為了減少所需的接入，應該認真配置訪問列表。如果可能，應該用遠程源地址、本地目標地址和協議對訪問列表施加更多的限制。）
如果不匹配訪問控制列表(ACL) 與管道(Conduit)的要求， 防火墻會丟棄這些數據包。訪問控制列表(ACL) 與管道(Conduit)定義符合要求的幀，這些幀必須滿足網絡可以接受的規則。符合條件即可以一般性設定，也可以設定得很具體。例如，防火墻中一般的管道充許網絡中所
有的流量通過，不限制任何源主機和目的主機。特別設定后，管道只充許IP地址為45.30.155.30的主機通過UDP協議的161(SNMP)端口與IP地址為10.17.2.30的內部網絡中的主機通信。結果，只有這兩個主機之間的SNMP的流量可以通過防火墻。
怎樣配置防火墻來實現遠程訪問
通過防火墻遠程訪問 OptiView 協議分析儀需要注意幾件事。管理員要在防火墻中加一兩條配置語句，除非讓防火墻的所有應用都是開放的。
首先，OptiView 協議分析儀需要一個公共的IP 地址。當在內部網絡采用私有地址時，許多網絡管理員會使用網絡地址轉換(NAT)的方法來處理，這樣可以把使用幾千個私有地址的網絡轉換為一個或幾個公共地址的網絡。網絡地址轉換（ NAT）的作用是將內部接口上的主機地址轉換為與外部接口相關的“全球地址”，這樣能防止將主機地址暴露給其它網絡接口。如果選擇使用NAT 保護內部主機地址，應該先確定一組用于轉換的地址段。
（譯者注：對于內部系統，NAT 能夠轉換向外傳輸的包的源IP 地址。它同時支持動態轉換和靜態轉換。NAT 允許為內部系統分配專用地址，或者保留現有的無效地址。NAT 還能提高安全性，因為它能向外部網絡隱藏內部系統的真實網絡身份。）
當使用NAT時，OptiView 協議分析儀需要一個靜態的NAT表。如果，NAT以動態的方式使用，實際地址來自于一個指定的地址段，這樣內部主機就不會每次得到一個相同的外部地址。OptiView 協議分析儀從地址映射表中獲得一個固定的地址，這個固定的地址，可以讓外面的主機訪問到它。如果不使用NAT，那么 OptiView 協議分析儀就用當前的地址進行工作。一旦OptiView 協議分析儀由靜態的NAT表確定了地址，就需要對防火墻進行一些配置，如果OptiView協議分析儀讓遠程用戶以WEB形式訪問，就要充許HTTP服務。 HTTP 通信要基于TCP的連接，默認的服務端口為TCP 80端口，所以要開放OPTIVIEW協議分析儀的80端口，例如，可以讓所有主機通過80端口訪問 OptiView 協議分析儀，也可以只讓一臺主機通過80端口訪問 OptiView 協議分析儀。 在圖2中，主機200.200.200.1試圖遠程訪問 OptiView 協議分析儀，防火墻會檢查信息的匹配性，如果通過，會通過NAT轉換了一個內部地址與 OptiView 協議分析儀通信。
遠程用戶需要下載遠程用戶接口程序，然后安裝在當前主機中，該程序可以用E-mail或其它文件傳輸方式操作 OptiView 協議分析儀。用戶必須下載遠程控制軟件，遠程控制接口采用TCP的1695端口，所以在防火墻中必須開放這一端口。 舉例來說，如圖3是對本地防火墻的配置。許多管理員喜歡對進出流量進行控制，這樣在本地防火墻中，遠程用戶接口很可能被阻擋。
防火墻是網絡安全的重要方式，由于許多安全漏洞的存在，黑客進入你的網絡會有許多路徑，從外部來的信息必須嚴格控制。這樣，對OptiView 協議分析儀的遠程操作要非常細致嚴格，如果遠程主機的地址是已知的話，管理員一定要在配置中指明。當設置改變時，一定要認真驗證，否則簡單馬虎的配置會招來黑客的攻擊。 責任編輯: 雪花(TEL:（010）68476636-8008)