Configurarea filtrării de trafic pe mikrotik

"Securitatea rețelei este ridicată și puternică."
Fraza găsită pe Internet

De la începuturile sale, Internetul a crescut de mai multe ori. De asemenea, indicatorii de rețea, cum ar fi resursele furnizate, viteza de schimb de informații, vitezele de conectare s-au înmulțit. Cu toate acestea, odată cu creșterea resurselor minerale, de multe ori un risc crescut de furt de informații, utilizarea abuzivă a resurselor și alte opasnosti.Takim, fiecare administrator de sistem se confruntă zilnic protecția resurselor deservite.







Caracteristicile firewall-ului

Pentru înțelegerea de bază a firewall-ului trebuie să se familiarizeze cu noțiunile de lanț (lanț), starea de conectare (starea conexiunii), condițiile și acțiunile (acțiune).

La o filtrare, traficul, în funcție de destinație, intră într-unul din lanțurile (lanțului) de procesare a traficului. Filtrul are trei lanțuri principale:

  • introduceți traficul de intrare destinat pentru router. De exemplu, atunci când vă conectați la un router utilizând aplicația winbox, traficul intră doar în această conversație.
  • ieșire trafic de ieșire. Traficul creat de routerul însuși. De exemplu, dacă executați comanda ping direct de la routerul în sine, traficul va cădea în acest lanț.
  • înainte Traficul trece prin router. De exemplu, dacă un computer dintr-o rețea locală a stabilit o conexiune la un site extern, acest trafic intră în lanțul înainte.

Astfel, vedem că pentru a proteja ruterul în sine, trebuie să utilizați lanțul de intrare. și pentru a proteja și a filtra traficul între rețele, trebuie să utilizați lanțul înainte.

În plus, administratorul are capacitatea de a-și crea propriile lanțuri de procesare a traficului, care pot fi accesate din lanțurile principale. Această posibilitate va fi luată în considerare în viitor.

Starea conexiunii

Fiecare dintre conexiunile de rețea MikroTik se referă la una din cele 4 stări:

  • Nou - Conexiune nouă. Un pachet care deschide o nouă conexiune care nu este conectată la nicio conexiune de rețea existentă de către ruter.
  • Înființată - Conexiune existentă. Pachetul aparține conexiunii deja create, în curs de procesare a routerului.
  • Conexiune asociată - legată. Un pachet asociat unei conexiuni existente, dar care nu face parte din acesta. De exemplu, un pachet care începe în conexiunea de transmisie de date FTP-sesiune (va fi asociat cu un compus de control FTP), sau sub formă de pachete ICMP care conține o eroare, trimis ca răspuns la un alt compus.
  • Invalid - Routerul nu poate să se potrivească pachetului cu oricare dintre stările de conexiune de mai sus.






Pe baza celor de mai sus, vedem că următorul set de condiții este o bună opțiune pentru configurarea filtrării pachetelor:

  1. Procesați conexiuni noi (starea conexiunii = noi), decideți dacă să săriți sau să blocați traficul.
  2. Transferați întotdeauna conexiunile în starea stabilită și în conexiune, deoarece decizia de a sări peste acest trafic a fost luată în timpul procesării conexiunii noi.
  3. Blocați întotdeauna traficul pentru care starea conexiunii încă nevalid, deoarece traficul nu aparține la oricare dintre compușii și este de fapt un parazit.

Atunci când un pachet trece printr-un filtru, routerul verifică secvențial că pachetul se potrivește cu condițiile specificate, începând cu regula mai întâi. și verificând în mod constant pachetul pentru respectarea regulilor numărul doi, trei și așa mai departe, până la unul dintre cele două evenimente:

  1. Pachetul va îndeplini condiția specificată. În acest caz, va funcționa regula corespunzătoare, în care a fost stabilită această condiție, după care va fi finalizată procesarea pachetului.
  2. Toate conditiile se vor incheia si pachetul nu va fi considerat potrivit pentru nici unul dintre ele. În acest caz, în mod implicit, va fi omisă mai departe.

Plecând de la punctul 2, trebuie remarcat faptul că există două strategii pentru construirea unui filtru de pachete:

  1. În mod normal, deschideți paravanul de protecție. Acest tip de setare poate fi definit ca "Totul este permis, ceea ce nu este interzis". În acest fel, interzicem trecerea doar a anumitor tipuri de trafic. Dacă pachetul nu se potrivește cu aceste tipuri, acesta va fi omis. În mod normal, acest tip de firewall-ul este caracteristic locurilor în care nu impune cerințe ridicate privind siguranța utilizatorilor și a traficului poate fi destul de variate și nu poate fi abilități dure. Această configurație este tipică pentru operatorii de telecomunicații (ISP), punctele de acces deschise, routerele de acasă.
  2. În mod normal, firewall închis. Acest tip de setare poate fi definit ca "Toate interzise, ​​care nu sunt permise". În același timp, a permis trecerea numai anumite tipuri de trafic, iar ultima regulă în firewall-ul ar trebui să regula care interzice trecerea oricărui tip de trafic. Acest tip de configurare a firewallului este tipic pentru utilizarea corporativă, unde există cerințe stricte de securitate.

Nu pot spune că una dintre strategii este corectă, dar unele greșite. Ambele strategii au dreptul la viață, dar fiecare este în anumite condiții.

Acum, în detaliu, vom scrie toate variantele condițiilor pe baza cărora putem lua o decizie cu privire la acțiune.







Pagina anterioară

Pagina următoare

Trimiteți-le prietenilor: