Точки доступа с брандмауэрами
Wi-Fi / Глава 14. Защита беспроводной сети / Брандмауэры / Точки доступа с брандмауэрами

Самым простым вариантом использования брандмауэра для беспроводной сети является использование встроенного в точку доступа. Некоторые сочетают функции беспроводной точки доступа с широкополосным маршрутизатором и свит- чем Ethernet, поэтому поддерживают как проводных, так и беспроводных сетевых клиентов.

Как известно, сетевой маршрутизатор обеспечивает преобразование между числовым IP-адресом, определяющим шлюз локальной сети, и внутренними IP- адресами, определяющими индивидуальные компьютеры в ее пределах.

Брандмауэр обычно блокирует все входящие запросы данных к локальным сетевым хостам, но это создает проблемы, когда вы хотите использовать один или более компьютеров локальной сети в качестве файловых серверов. Для решения этой проблемы брандмауэр включает виртуальный сервер, который перенаправляет запросы определенного типа на соответствующий компьютер внутри сети.

Каждый запрос на подключение к серверу содержит номер конкретного порта, определяющего тип сервера. Например, Web-серверы работают с портом 80, a FTP используют порт 21, поэтому номера этих портов являются частью запроса на доступ. Принимая запросы на доступ к серверу, вы должны включить в брандмауэре функцию преобразования сетевого адреса - network address translation (NAT) для направления этих запросов на заданный компьютер в пределах локальной сети. На рис. 14.7 виртуальный сервер сконфигурирован для использования компьютера с локальным IP-адресом 192.168.0.177 в качестве Web-сервера и 192.168.0.164 в качестве FTP файлового сервера. В табл. 14.1 приведены наиболее распространенные номера служебных портов.

Табл. 14.1 Распространенные номера служебных портов протокола TCP/IP

В разных сетях используются сотни номеров других портов, но большинство из них вы никогда не встретите в реальном использовании. Официальный список назначенных портов находится на http://www.iana.org/assignments/port-numbers.


Рис. 14.7

NAT-преобразование предполагает, что IP-адреса каждого виртуального сервера от одного запроса к следующему меняться не должны. Web-сервер с текущим номером 192.168.0.23 не должен через неделю переходить на 192.168.0.47.

Обычно это не является проблемой в проводной сети, но в беспроводной, где сетевые клиенты подключаются и выходят непрерывно, DHCP-сервер автоматически присваивает следующий доступный номер каждому новому клиенту. Если один из этих пользователей является месторасположением одного из сетевых служебных портов, NAT, возможно, его не обнаружит. Проблема эта не слишком распространена, так как в большинстве сетей в качестве серверов не используются портативные компьютеры, но иногда такое случается. Решением является либо отключение DHCP-сервера и назначение постоянного IP-адреса каждому клиенту, либо перемещение служебного порта на компьютер, имеющий проводное соединение с сетью.

Смотрите также

Клиентные компьютеры, отличающиеся от типа IBM PC
До сих пор мы рассматривали клиентные компьютеры с типичной "начинкой": мониторы, встроенные диски, клавиатуры и т.п. Компьютеры с такой архитектурой могут выполнять практически все, если ...

Физические аспекты организации сети
Самая легко выполнимая часть аудита сети заключается в инвентаризации оборудования: что имеется, и где оно находится. Такая работа может потребовать много времени, но она, в основном, исполняется не ...

Хранение приложений на сервере
Для работы с приложением, хранящимся на центральном сервере, требуется установить файлы приложения на жесткий диск сервера и сделать его доступным для всей сети. Сетевые клиенты смогут запускать при ...