تستخدم معظم مواقع الويب الآن https، وأصبح حظر مواقع الويب عبر https أكثر صعوبة بكثير مع إصدار MikroTik RouterOS الأقل من 6.41. ولكن بدءًا من RouterOS v6.41، يقدم MikroTik Firewall خاصية جديدة تسمى ملتقى TLS وهو قادر على مطابقة مواقع https بسهولة بالغة. 

ولذلك فإن حجب مواقع https مثل الفيسبوك واليوتيوب وغيرها. يمكن القيام بذلك بسهولة باستخدام MikroTik Router إذا كان إصدار RouterOS أعلى من 6.41. 

التصفية على أساس أسماء المضيفين

يمكنك استخدام "tls-host" في قواعد جدار الحماية لتصفية حركة المرور بناءً على أسماء المضيفين بدلاً من عناوين IP. يمكن أن يكون هذا مفيدًا إذا كانت عناوين IP الخاصة بالخوادم التي تتواصل معها عرضة للتغيير وكنت تفضل استخدام أسماء المضيفين التي تظل ثابتة.

إضافة سلسلة عامل تصفية جدار الحماية /ip = منفذ dst للأمام = بروتوكول 443 = مضيف tcp tls = إجراء example.com = قبول

في هذا المثال، ستسمح القاعدة بحركة مرور TLS الصادرة إلى المنفذ 443 الموجهة إلى "example.com".

إدارة الشهادة واسم المضيف

باستخدام خيار "tls-host"، يمكنك تسهيل إدارة شهادات SSL/TLS على شبكتك. إذا تغيرت الشهادات أو تم تجديدها وظل اسم المضيف كما هو، فلن تحتاج إلى تحديث قواعد جدار الحماية بعناوين IP جديدة.

تقليل الاعتماد على عناوين IP الثابتة

في بعض الحالات، خاصة عند التفاعل مع الخدمات المستضافة على السحابة أو مع موفري الخدمة الذين قد يغيرون عناوين IP المخصصة، يوفر استخدام "tls-host" طبقة تجريد تقلل الاعتماد على عناوين IP الثابتة.

إضافة سلسلة عامل تصفية جدار الحماية /ip = منفذ dst للأمام = بروتوكول 8443 = tcp tls-host = إجراء cloud-service.com = قبول

هنا، حركة مرور TLS الصادرة إلى المنفذ 8443 متجهة إلى "خدمة سحابية.com" سيتم السماح به بغض النظر عن عنوان IP الحالي للخدمة.

من المهم ملاحظة أنه لكي يكون خيار "tls-host" فعالاً، يجب أن تدعم الخدمة البعيدة استخدام أسماء المضيفين بدلاً من عناوين IP. لا تسمح جميع الخدمات أو التطبيقات بهذه المرونة، لذا من الضروري مراجعة الوثائق الخاصة بالخدمة المحددة التي تستخدمها.

 كيفية حظر مواقع HTTPS باستخدام TLS Host Matcher

1. انتقل إلى عنصر القائمة IP > Firewall وانقر فوق علامة التبويب Filtering Rules (قواعد التصفية) ثم انقر فوق علامة الجمع (+). تظهر نافذة قاعدة جدار الحماية الجديدة.
2. اختر للأمام من القائمة المنسدلة "سلسلة".
3. اختر TCP من القائمة المنسدلة "البروتوكول".
4. انقر فوق التوقيت الصيفي. منفذ وصندوق دخول المنفذ 443.
5. انقر فوق علامة التبويب "خيارات متقدمة" وانقر فوق مربع إدخال TLS Host ثم ضع اسم النطاق الذي تريد حظره (مثل *.facebook.com) في هذا المربع.
6. انقر فوق علامة التبويب "الإجراء" واختر إسقاط من القائمة المنسدلة "الإجراء".
7. انقر فوق "تطبيق" والزر "موافق".

حكم جدار الحماية عن طريق الأمر

إضافة سلسلة لمرشح جدار الحماية /ip = منفذ dst للأمام = بروتوكول 443 = tcp tls-host = *.facebook.com action = drop