Τείχος προστασίας χωρίς ιθαγένεια

Αυτοί οι κανόνες δεν ακολουθούν την κατάσταση των συνδέσεων και εφαρμόζονται ανεξάρτητα σε κάθε πακέτο. Κάθε πακέτο φιλτράρεται σύμφωνα με τα κριτήρια που ορίζει ο κανόνας, ανεξάρτητα από προηγούμενες συνδέσεις.

Ανιθαγενής από την άλλη, μην διατηρείτε πίνακα καταστάσεων και επιθεωρείτε μόνο μεμονωμένα πακέτα με βάση τις διευθύνσεις προέλευσης και προορισμού, τις θύρες και τις κεφαλίδες πρωτοκόλλου.

Λειτουργούν ως φίλτρα πακέτων, παίρνοντας αποφάσεις βασισμένες αποκλειστικά στις πληροφορίες που περιέχονται σε κάθε πακέτο.

Διαφορά μεταξύ Stateful και Stateless Firewall

Παραδείγματα κανόνων για τους ανιθαγενείς

Στο MikroTik RouterOS, δημιουργούνται κανόνες τείχους προστασίας χωρίς κατάσταση χωρίς να λαμβάνεται υπόψη η κατάσταση των συνδέσεων, δηλαδή εφαρμόζονται ανεξάρτητα από προηγούμενες συνδέσεις. Ακολουθούν ορισμένα παραδείγματα κανόνων ανιθαγενείας που θα μπορούσαν να είναι χρήσιμοι σε ορισμένα σενάρια:

1. Να επιτρέπεται η κυκλοφορία από μια συγκεκριμένη διεύθυνση IP:

   /φίλτρο τείχους προστασίας ip add chain=forward src-address=192.168.1.100 action=accept

Αυτός ο κανόνας επιτρέπει την κυκλοφορία που προέρχεται από τη διεύθυνση IP 192.168.1.100 στην αλυσίδα προώθησης.

2. Να επιτρέπεται η κυκλοφορία από ένα συγκεκριμένο υποδίκτυο:

   /φίλτρο τείχους προστασίας /ip add chain=forward src-address=192.168.2.0/24 action=accept

Αυτός ο κανόνας επιτρέπει την κυκλοφορία από το υποδίκτυο 192.168.2.0/24 στην αλυσίδα προώθησης.

3. Αποκλεισμός της κυκλοφορίας σε μια συγκεκριμένη διεύθυνση IP:

   /φίλτρο τείχους προστασίας ip add chain=forward dst-address=203.0.113.10 action=drop

Αυτός ο κανόνας αποκλείει όλη την κίνηση που πηγαίνει στη διεύθυνση IP 203.0.113.10 στην αλυσίδα προώθησης.

Αυτά είναι απλώς παραδείγματα και θα πρέπει να προσαρμόσετε τους κανόνες με βάση τις συγκεκριμένες ανάγκες σας και την τοπολογία του δικτύου σας. Επίσης, λάβετε υπόψη ότι αυτοί οι κανόνες είναι ανιθαγενείς, επομένως δεν λαμβάνουν υπόψη την κατάσταση των προηγούμενων συνδέσεων.

Παραδείγματα κρατικών κανόνων

Στο MikroTik RouterOS, οι κανόνες του τείχους προστασίας κατάστασης επικεντρώνονται στην κατάσταση των συνδέσεων, που σημαίνει ότι επιτρέπουν ή αποκλείουν την κυκλοφορία με βάση την κατάσταση σύνδεσης. Ακολουθούν μερικά παραδείγματα κρατικών κανόνων:

1. Να επιτρέπεται όλη η εξερχόμενη κυκλοφορία και οι σχετικές απαντήσεις:

   /ip φίλτρο τείχους προστασίας add chain=forward connection-state=stablished,related action=accept

Αυτός ο κανόνας επιτρέπει την κυκλοφορία που αποτελεί μέρος μιας εγκατεστημένης ή σχετικής σύνδεσης στην αλυσίδα προώθησης.

2. Επιτρέψτε συγκεκριμένη κίνηση από έξω:

   /ip φίλτρο τείχους προστασίας προσθήκη chain=forward in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=accept

Αυτός ο κανόνας επιτρέπει την κυκλοφορία TCP που προορίζεται για τη θύρα 80 από το εξωτερικό μέσω της διεπαφής ether1 στην αλυσίδα προώθησης.

3. Αποκλεισμός της μη ζητηθείσας εισερχόμενης κίνησης:

   /ip φίλτρο τείχους προστασίας προσθήκη chain=input connection-state=new action=drop

Αυτός ο κανόνας αποκλείει όλη την εισερχόμενη κίνηση που δεν αποτελεί μέρος μιας εγκατεστημένης σύνδεσης στην εισερχόμενη αλυσίδα.

4. Να επιτρέπεται η εισερχόμενη κίνηση ICMP για αιτήματα ping:

   /ip φίλτρο τείχους προστασίας προσθήκη chain=input connection-state=new protocol=icmp action=accept

Αυτός ο κανόνας επιτρέπει την εισερχόμενη κίνηση ICMP για αιτήματα ping στην εισερχόμενη αλυσίδα.

5. Αποκλεισμός της κυκλοφορίας προς ένα συγκεκριμένο λιμάνι από έξω:

   /φίλτρο τείχους προστασίας ip add chain=input in-interface=ether1 connection-state=new dst-port=22 action=drop

Αυτός ο κανόνας αποκλείει την εισερχόμενη κίνηση στη θύρα 22 (SSH) από το εξωτερικό μέσω της διεπαφής ether1 στην αλυσίδα εισόδου.

Αυτά είναι απλώς παραδείγματα και θα πρέπει να προσαρμόσετε τους κανόνες με βάση τις συγκεκριμένες απαιτήσεις και τη διαμόρφωση του δικτύου σας. Οι κρατικοί κανόνες είναι απαραίτητοι για να επιτρέπεται η απαραίτητη κυκλοφορία και να διατηρηθεί η ασφάλεια εμποδίζοντας την ανεπιθύμητη κυκλοφορία.