يعد تكوين جدار الحماية بشكل صحيح على جهاز توجيه MikroTik أمرًا ضروريًا لحماية شبكتك من الوصول غير المصرح به وأنواع التهديدات الأمنية الأخرى. على الرغم من أن القواعد المحددة قد تختلف وفقًا لاحتياجات كل شبكة وتكوينها، إلا أن هناك قواعد ومبادئ عامة معينة يوصى بها لمعظم البيئات.

فيما يلي بعض القواعد وأفضل الممارسات الخاصة بمرشح جدار الحماية وNAT وأقسام التكوين الأخرى ذات الصلة في MikroTik RouterOS.

مرشح جدار الحماية

الغرض من مرشح جدار الحماية هو التحكم في حركة المرور التي تمر عبر جهاز التوجيه، مما يسمح لك بحظر حركة المرور أو السماح بها بناءً على معايير معينة.

1. منع الوصول غير المصرح به إلى جهاز التوجيه:

تأكد من تقييد الوصول إلى جهاز التوجيه من خارج شبكتك المحلية. ويتم ذلك عادةً عن طريق حظر منافذ الإدارة، مثل 22 (SSH)، و23 (Telnet)، و80 (HTTP)، و443 (HTTPS)، و8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. الحماية من الهجمات الشائعة:

قم بتنفيذ قواعد لحماية شبكتك من الهجمات الشائعة، مثل غمر SYN وICMP وفحص المنافذ.

هجوم الفيضان SYN

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

هجوم الفيضانات ICMP

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. السماح بحركة المرور الضرورية:

قم بتكوين القواعد للسماح بحركة المرور المشروعة اللازمة لشبكتك. يتضمن ذلك حركة المرور الداخلية وحركة المرور من وإلى الإنترنت بناءً على احتياجاتك المحددة.

بافتراض أنك تريد السماح بالوصول إلى SSH فقط من شبكتك المحلية:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. أسقط كل شيء آخر:

كممارسة أمنية، يجب حظر أي حركة مرور لم يتم السماح بها صراحةً مسبقًا. يتم ذلك عادةً في نهاية قواعد تصفية جدار الحماية الخاص بك بقاعدة ترفض أو تسقط كل حركة المرور الأخرى.

يجب وضع هذه القاعدة في نهاية قواعد التصفية الخاصة بك لتكون بمثابة سياسة رفض افتراضية.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (ترجمة عنوان الشبكة)

يُستخدم NAT بشكل شائع لترجمة عناوين IP الخاصة على شبكتك المحلية إلى عنوان IP عام للوصول إلى الإنترنت.

1. حفلة تنكرية:
   • استخدم الإجراء masquerade في السلسلة srcnat للسماح لأجهزة متعددة على شبكتك المحلية بمشاركة عنوان IP عام للوصول إلى الإنترنت. يعد هذا أمرًا ضروريًا للشبكات التي تصل إلى الإنترنت من خلال اتصال واسع النطاق باستخدام عنوان IP عام واحد.
2. DNAT للخدمات الداخلية:
   • إذا كنت بحاجة إلى الوصول إلى الخدمات الداخلية من خارج شبكتك، فيمكنك استخدام Destination NAT (DNAT) لإعادة توجيه حركة المرور الواردة إلى عناوين IP الخاصة المقابلة. تأكد من أنك تفعل ذلك فقط للخدمات الضرورية وفكر في الآثار الأمنية.

اعتبارات السلامة الأخرى

1. تحديثات البرنامج:
   • حافظ على تحديث جهاز التوجيه MikroTik الخاص بك بأحدث إصدار من RouterOS والبرامج الثابتة للحماية من الثغرات الأمنية المعروفة.
2. طبقة 7 الأمن:
   • بالنسبة لحركة المرور الخاصة بالتطبيق، يمكنك تكوين قواعد الطبقة 7 لحظر حركة المرور أو السماح بها بناءً على الأنماط الموجودة في حزم البيانات.
3. حدود نطاق عنوان IP:
   • يقيد الوصول إلى بعض خدمات جهاز التوجيه إلى نطاقات عناوين IP محددة فقط، مما يقلل من خطر الوصول غير المصرح به.

تذكر أن هذه مجرد إرشادات عامة. يجب أن يعتمد تكوين جدار الحماية الخاص بك على تقييم تفصيلي لاحتياجاتك الأمنية وسياسات الشبكة واعتبارات الأداء. بالإضافة إلى ذلك، يُنصح بإجراء اختبار أمان الشبكة بانتظام لتحديد نقاط الضعف المحتملة والتخفيف منها.