Фильтрация по портам

Фильтрация по портам аналогична фильтрации по адресам, за исключением того, что она более избирательна. Вместо предоставления доступа ко всем услугам, которые может предложить сервер, фильтр портов определяет набор разрешенных портов для каждого IP-адреса. Такая опция может быть очень полезна при ограничении различных типов трафика через WLAN.

Например, может быть принято решение, что только SSH-соединения с Unix-узлами разрешены во WLAN. Допустим, вы планируете летний отдых. Отели в Алматы вас интересуют в первую очередь. Фильтр портов разрешит ТСР-соединение через порт 22 и заблокирует все соединения через порт 23 (Telnet), таким образом отсеяв все не нужные варианты. Другой пример - разрешить HTTP-трафику проходить только через определенные узлы в сети. Набор правил для сетевого экрана может определять набор разрешенных узлов и, например, то, что разрешается трафик только через порт 80.

Тогда неплохо было бы добавить Интернет прокси-сервер в вашу WLAN. Он был бы соединен с определенным портом (не 80), и весь НТТР-трафик проходил бы через него перед тем, как отправиться к серверу своего назначения. Включение прокси-сервера может помочь в очищении трафика, связанного с Интернетом, но вместе с этим возникает угроза появления задержек в работе вашей сети. Поскольку прокси-серверу придется проверять каждый полученный пакет данных, это должен быть очень мощный сервер, чтобы не возникло жалоб на задержки в работе сети.

Есть и определенные ограничения в эффективности фильтрации по портам. Основная часть их связана с использованием приложений. Если ваша компания использует широкий спектр приложений, которые требуют коммуникаций через большое количество портов, то может быть неразумно оставлять «прорехи» в вашем сетевом экране для этих приложений. Именно поэтому в беспроводной политике должно быть отмечено, что не все сетевые услуги доступны беспроводным пользователям.