Η υλοποίηση του Layer 7 (L7) στο MikroTik RouterOS σάς επιτρέπει να προσδιορίζετε και να ταξινομείτε την κυκλοφορία δικτύου με βάση το πραγματικό περιεχόμενο των πακέτων και όχι μόνο τη διεύθυνση IP ή τη θύρα.

Αυτό είναι χρήσιμο για το φιλτράρισμα, την ιεράρχηση ή τον περιορισμό συγκεκριμένης επισκεψιμότητας, όπως ο αποκλεισμός συγκεκριμένων ιστότοπων, η ιεράρχηση της κυκλοφορίας VoIP ή ο περιορισμός του εύρους ζώνης για εφαρμογές ροής. Δείτε πώς μπορείτε να ρυθμίσετε τους κανόνες του επιπέδου 7 στο MikroTik RouterOS:

1. Καθορίστε ένα μοτίβο επιπέδου 7

Αρχικά, πρέπει να δημιουργήσετε ένα μοτίβο επιπέδου 7 που θα χρησιμοποιήσει το RouterOS για να προσδιορίσει συγκεκριμένη κίνηση. Αυτό γίνεται στο μενού «IP» → «Τείχος προστασίας» και μετά στην καρτέλα «Πρωτόκολλα Layer7». Εδώ μπορείτε να ορίσετε ένα νέο μοτίβο L7.

/ip firewall layer7-protocol
add name="nombre_protocolo_L7" regexp="expresión_regular"

Για παράδειγμα, για να προσδιορίσετε την επισκεψιμότητα HTTP που περιέχει τη λέξη "facebook" στην κεφαλίδα του πακέτου, θα μπορούσατε να χρησιμοποιήσετε μια τυπική έκφραση όπως αυτή:

add name="facebook" regexp="facebook.com"

2. Δημιουργήστε έναν κανόνα τείχους προστασίας χρησιμοποιώντας το μοτίβο L7

Αφού ορίσετε το μοτίβο L7, μπορείτε να το χρησιμοποιήσετε σε έναν κανόνα τείχους προστασίας για να φιλτράρετε ή να ιεραρχήσετε την κυκλοφορία. Αυτό γίνεται στο μενού "IP" → "Firewall" και στη συνέχεια στην καρτέλα "Filter Rules" ή "Mangle" ανάλογα με το τι θέλετε να επιτύχετε.

• Για να μπλοκάρει την κυκλοφορία:

/ip firewall filter
add action=drop chain=forward layer7-protocol=nombre_protocolo_L7

• Για να επισημάνετε την κυκλοφορία και, στη συνέχεια, να εφαρμόσετε συγκεκριμένες πολιτικές (όπως περιορισμός ποσοστών ή ιεράρχηση):

/ip firewall mangle
add action=mark-packet chain=forward layer7-protocol=nombre_protocolo_L7 new-packet-mark=marcado_paquete

Σημαντικές εκτιμήσεις

• Επίδοση: Η έντονη χρήση των κανόνων L7 μπορεί να αυξήσει σημαντικά το φορτίο στη CPU της συσκευής, καθώς απαιτεί επιθεώρηση του περιεχομένου των πακέτων. Είναι σημαντικό να παρακολουθείτε την απόδοση του δρομολογητή μετά την εφαρμογή αυτών των κανόνων, ειδικά σε δίκτυα υψηλής επισκεψιμότητας.
• Exactitud: Οι τυπικές εκφράσεις πρέπει να γράφονται προσεκτικά για να διασφαλίζεται ότι καταγράφεται μόνο η επιθυμητή κίνηση. Μια κακώς καθορισμένη κανονική έκφραση μπορεί να οδηγήσει σε ψευδώς θετικά ή αρνητικά.
• Κρυπτογράφηση: Σήμερα, μεγάλο μέρος της κίνησης στο Διαδίκτυο χρησιμοποιεί κρυπτογράφηση (όπως το HTTPS), η οποία μπορεί να περιορίσει την αποτελεσματικότητα των κανόνων που βασίζονται στο Επίπεδο 7 στον προσδιορισμό του συγκεκριμένου περιεχομένου της κυκλοφορίας. Για κρυπτογραφημένη κίνηση, εξετάστε εναλλακτικές μεθόδους αναγνώρισης και ελέγχου, όπως αποκλεισμό ή ιεράρχηση με βάση διευθύνσεις IP, θύρες ή συνδέσεις SNI TLS.

Η διαμόρφωση επιπέδου 7 στο MikroTik RouterOS είναι ένα ισχυρό εργαλείο για προηγμένη διαχείριση της κυκλοφορίας, που επιτρέπει στους διαχειριστές του δικτύου να εφαρμόζουν εξελιγμένες πολιτικές δικτύου με βάση το πραγματικό περιεχόμενο των πακέτων δεδομένων.