አውታረ መረብዎን ካልተፈቀደ መዳረሻ እና ሌሎች የደህንነት ስጋቶች ለመጠበቅ ፋየርዎልን በ MikroTik ራውተር ላይ በትክክል ማዋቀር አስፈላጊ ነው። ምንም እንኳን የተወሰኑ ህጎች እንደ እያንዳንዱ አውታረ መረብ ፍላጎቶች እና ውቅር ሊለያዩ ቢችሉም ፣ ለአብዛኛዎቹ አከባቢዎች የሚመከሩ አንዳንድ አጠቃላይ ህጎች እና መርሆዎች አሉ።

በMikroTik RouterOS ውስጥ ለፋየርዎል ማጣሪያ፣ ኤንኤቲ እና ሌሎች ተዛማጅ ውቅረት ክፍሎች አንዳንድ ደንቦች እና ምርጥ ልምዶች ከዚህ በታች አሉ።

የፋየርዎል ማጣሪያ

የፋየርዎል ማጣሪያው ዓላማ በራውተሩ ውስጥ የሚያልፈውን ትራፊክ ለመቆጣጠር ነው፣ ይህም በተወሰኑ መስፈርቶች ላይ በመመስረት ትራፊክን ለመዝጋት ወይም ለመፍቀድ ያስችላል።

1. ያልተፈቀደ የራውተር መዳረሻን አግድ፡-

ከአካባቢያዊ አውታረ መረብዎ ውጭ ወደ ራውተር መድረስን መገደብዎን ያረጋግጡ። ይህ በተለምዶ እንደ 22 (ኤስኤስኤች)፣ 23 (ቴሌኔት)፣ 80 (ኤችቲቲፒ)፣ 443 (ኤችቲቲፒኤስ) እና 8291 (Winbox) ያሉ የአስተዳደር ወደቦችን በማገድ ነው።

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. ከተለመዱ ጥቃቶች መከላከል;

የእርስዎን አውታረ መረብ ከተለመዱ ጥቃቶች እንደ SYN ጎርፍ፣ ICMP ጎርፍ እና ወደብ መቃኘትን ለመጠበቅ ህጎችን ይተግብሩ።

የSYN የጎርፍ ጥቃት

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

የ ICMP የጎርፍ ጥቃት

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. አስፈላጊ ትራፊክ ፍቀድ፡

ለአውታረ መረብዎ አስፈላጊ የሆነውን ህጋዊ ትራፊክ ለመፍቀድ ደንቦችን ያዋቅሩ። ይህ በእርስዎ ልዩ ፍላጎቶች ላይ በመመስረት ወደ በይነመረብ እና ወደ በይነመረብ የሚመጡ የውስጥ ትራፊክ እና ትራፊክን ያካትታል።

ከአካባቢያዊ አውታረ መረብዎ ብቻ የኤስኤስኤች መዳረሻን መፍቀድ ከፈለጉ፡-

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. የቀረውን ሁሉ ጣል ያድርጉ;

እንደ የደህንነት አሰራር ከዚህ ቀደም በግልፅ ያልተፈቀደ ማንኛውም ትራፊክ መታገድ አለበት። ይህ በተለምዶ የሚደረገው በፋየርዎል ማጣሪያ ህጎች መጨረሻ ላይ ሁሉንም ሌሎች ትራፊክን ውድቅ የሚያደርግ ወይም የሚጥል ህግ ነው።

ይህ ህግ እንደ ነባሪ ውድቅ ፖሊሲ ለመስራት በማጣሪያ ህጎችዎ መጨረሻ ላይ መቀመጥ አለበት።

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (የአውታረ መረብ አድራሻ ትርጉም)

NAT በተለምዶ በአከባቢዎ አውታረ መረብ ላይ ያሉ የግል አይፒ አድራሻዎችን ለበይነመረብ መዳረሻ ወደ ይፋዊ አይፒ አድራሻ ለመተርጎም ይጠቅማል።

1. እየፈለጉም:
   • እርምጃውን ተጠቀም masquerade በሰንሰለት ውስጥ srcnat በአከባቢዎ አውታረመረብ ላይ ያሉ ብዙ መሳሪያዎች ለበይነመረብ መዳረሻ ይፋዊ አይፒ አድራሻ እንዲጋሩ ለመፍቀድ። ይህ ከአንድ ይፋዊ አይፒ ጋር በብሮድባንድ ግንኙነት በይነመረብን ለሚያገኙ አውታረ መረቦች አስፈላጊ ነው።
2. ዲኤንኤቲ ለውስጣዊ አገልግሎቶች:
   • የውስጥ አገልግሎቶችን ከአውታረ መረብዎ ውጭ ማግኘት ከፈለጉ፣ ገቢ ትራፊክን ወደ ተጓዳኝ የግል አይፒዎች ለማዞር መድረሻ NAT (DNAT) መጠቀም ይችላሉ። ይህንን ለአስፈላጊ አገልግሎቶች ብቻ ማድረግዎን ያረጋግጡ እና የደህንነትን አንድምታ ግምት ውስጥ ያስገቡ።

ሌሎች የደህንነት ግምት

1. የሶፍትዌር ዝመናዎች:
   • ከሚታወቁ ተጋላጭነቶች ለመጠበቅ የእርስዎን MikroTik ራውተር በአዲሱ የ RouterOS እና firmware ስሪት ያዘምኑት።
2. ንብርብር 7 ደህንነት:
   • ለመተግበሪያ-ተኮር ትራፊክ፣ በመረጃ እሽጎች ውስጥ ባሉ ቅጦች ላይ በመመስረት ትራፊክን ለመዝጋት ወይም ለመፍቀድ የ Layer 7 ደንቦችን ማዋቀር ይችላሉ።
3. የአይፒ አድራሻ ክልል ገደብ:
   • የተወሰኑ የራውተር አገልግሎቶችን መዳረሻ ለተወሰኑ የአይፒ አድራሻ ክልሎች ብቻ ይገድባል፣ በዚህም ያልተፈቀደ የመድረስ አደጋን ይቀንሳል።

እነዚህ አጠቃላይ መመሪያዎች ብቻ መሆናቸውን አስታውስ. የእርስዎ ልዩ የፋየርዎል ውቅር በእርስዎ የደህንነት ፍላጎቶች፣ የአውታረ መረብ ፖሊሲዎች እና የአፈጻጸም ግምትዎች ዝርዝር ግምገማ ላይ የተመሰረተ መሆን አለበት። በተጨማሪም፣ ሊከሰቱ የሚችሉ ተጋላጭነቶችን ለመለየት እና ለማቃለል የኔትዎርክ ደህንነት ሙከራዎችን በመደበኛነት ማከናወን ተገቢ ነው።