보안이라하면 일종의 방화벽으로서 공유기는 허브 모드로 사용하거나, TWIN IP, DMZ 설정을 한 경우를 제외하고는 기본적으로 외부에서 내부로 들어 오는 모든 포트가 닫혀 있는 상태며 이를 읽컷는 말이다.
닫혀 있는 포트를 열어 줄려면 통신정책설정의 어플리케이션 설정, 내부 서버 설정, 포트포워드 설정 등을 통하여 열어 주어야 한다.
반대로 나가는 포트를 닫을려면 고급설정에서 보안설정, 사이트 접속 차단에서 별도로 등록을 해 주어야 한다.
어떤 사용자는 모든 게임사이트, P2P, 메신저 등을 차단하고 싶은 경우가 있을 것이다.
이때 무수히 많은 포트들을 프로토콜별로 찾아서 등록을 하기는 쉽지 않다.
찾아서 등록을 했다 하더라도 웜바이러스가 사용하는 포트, 새롭게 생겨나는 P2P 등을 찾아서 등록해 준다는 것은 쉬운 일이 아니다.
해서 역발상으로 윈도우 방화벽의 보안 정책을 이용한다면 간단한 방법으로 불필요한 모든 포트를 차단 시킬수 있다.
그림에서 보는 것 처럼 우선 사용할 포트를 열어준 후(허용), 마지막에 모든 포트를 막아버리면(차단) 무수히 많은 포트(1~65536)중 불필요한 모든 포트를 차단 시켜서 공유기에 접속되어 있는 많은 컴퓨터들을 보호 할수 있다.
그림 설명
21 - FTP(파일 전송 프로토콜) 포트로서 내부에 FTP 서버가 없을때는 열 필요가 없다.
23 - TELNET 포트로서 역시 텔넷 서버가 없을때는 열 필요가 없다.
25 - SMTP(단순 메일 전송 프로토콜) 포트로서 내부에 메일 서버가 없을때는 열 필요가 없다.
80 - HTTP 포트 - 인터넷 서핑을 할때 반드시 필요한 포트로서 반듯이 열어 놓아야 한다.
110 - POP3 포트 - 아웃룩이나 아웃룩 익스프레스 등으로 메일 서버에 있는 편지를 읽어올대 사용하는 포트로서 내부에 아웃룩, 아웃룩 익스프레스 를 사용하는 컴퓨터가 없으면 열 필요가 없다.
443 - HTTPS 포트 - 일명 TLS/SSL 포트라고 하기도 하며, 보안웹 페이지를 접속할때 필요한 포드로서 열어 두는 편이 좋다.
3389 - RDTC 포트 - 원격데스크톱 포트로서 공유기 내부에 있는 컴퓨터중 원격지원을 받거나, 원격관리를 하기 위한 서버가 있을때는 열어 놓아야 한다.
5631~5632 - PCAnywhere 포트 - Symantec pcAnywhere 를 사용하는 컴퓨터가 있으면 열어 놓아야 한다.
53 - DNS 포트 - UDP 프로토콜 포트로서 웹서핑을 개시 할때 웹브라우저의 주소창에 방문하고저 하는 웹사이트의 주소를 치면, 네트워크 서비스 업체(ISP)의 DNS 서버(네임서버)로 웹사이트의 IP 주소를 받아오기 위하여 사용하는 포트로서 반듯이 열어 놓아야 한다.
1000~1200 - 네트워크로 통신을 하기 위한 프로그램들(예: 웹브라우저)은 반듯이 내부에서 임의의 포트를 열어서 각각의 용도에 맞는 목적지 포트로 데이터를 전송을 하는데, 공유기다 마찬가지로 외부로 나갈때는 로컬 컴퓨터에서 열린 임의의 포트를 받아서, 외부 목적지 포트로 변환을 해서 외부 네트워크로 페킷을 전달을 한다.
이때 임의로 열리는 내부 포트의 범위로서 반듯이 열어 주어야 하며, 실제는 범위를 더 좁혀서 40~50개 정도(1025~1070)만 열어 주어도 된다.
마지막으로 모든포트를 닫아 버리면(차단) 된다 - 이 설정은 반듯이 마지막에 있어야 한다.
이렇게 설정을 해도 막지 못하는 것은 MSN 메신저 이다. - MSN 메신저는 고유의 포트가 막혀 있으면 마지막으로 TCP 80번 포트를 이용하기 때문에 IP 차단및 URL 필터링을 통해서 막아야 한다.
가끔 네트워크가 끈키는 현상이 발생 하면 2066번 포트를 열어 주어야 합니다.
이 포트는 공유기의 DHCP(icslap)에서 로컬IP 부여하는 포트로 사용 됩니다.
;)
