הגדרה נכונה של חומת האש בנתב MikroTik חיונית כדי להגן על הרשת שלך מפני גישה לא מורשית וסוגים אחרים של איומי אבטחה. למרות שהכללים הספציפיים עשויים להשתנות בהתאם לצרכים ולתצורה של כל רשת, ישנם כללים ועקרונות כלליים מסוימים המומלצים לרוב הסביבות.

להלן חלק מהכללים והשיטות המומלצות עבור מסנן חומת האש, NAT ושאר סעיפי התצורה הרלוונטיים ב-MikroTik RouterOS.

FirewallFilter

מטרת מסנן חומת האש היא לשלוט בתעבורה שעוברת דרך הנתב, ולאפשר לך לחסום או לאפשר תעבורה על סמך קריטריונים מסוימים.

1. חסום גישה לא מורשית לנתב:

הקפד להגביל את הגישה לנתב מחוץ לרשת המקומית שלך. זה נעשה בדרך כלל על ידי חסימת יציאות ניהול, כגון 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) ו-8291 (Winbox).

/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"

2. הגנה מפני התקפות נפוצות:

הטמע כללים כדי להגן על הרשת שלך מפני התקפות נפוצות, כגון SYN Flood, ICMP Flood וסריקת יציאות.

מתקפת הצפה של SYN

/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"

מתקפת הצפה של ICMP

/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"

3. אפשר תנועה נחוצה:

הגדר כללים כדי לאפשר תעבורה לגיטימית הדרושה לרשת שלך. זה כולל תעבורה פנימית ותעבורה אל ומאינטרנט בהתבסס על הצרכים הספציפיים שלך.

בהנחה שאתה רוצה לאפשר גישת SSH רק מהרשת המקומית שלך:

/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"

4. עזוב את כל השאר:

כנוהג אבטחה, יש לחסום כל תעבורה שלא הותרה במפורש בעבר. זה נעשה בדרך כלל בסוף כללי מסנן חומת האש שלך עם כלל שדוחה או מפיל את כל התעבורה האחרת.

כלל זה צריך להיות ממוקם בסוף כללי הסינון שלך כדי לפעול כמדיניות דחיית ברירת מחדל.

/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"

NAT (תרגום כתובת רשת)

NAT משמש בדרך כלל לתרגום כתובות IP פרטיות ברשת המקומית שלך לכתובת IP ציבורית לגישה לאינטרנט.

1. נֶשֶׁף מַסֵכוֹת:
   • השתמש בפעולה masquerade בשרשרת srcnat כדי לאפשר למספר מכשירים ברשת המקומית שלך לשתף כתובת IP ציבורית לגישה לאינטרנט. זה חיוני לרשתות הניגשות לאינטרנט דרך חיבור פס רחב עם IP ציבורי יחיד.
2. DNAT לשירותים פנימיים:
   • אם אתה צריך לגשת לשירותים פנימיים מחוץ לרשת שלך, אתה יכול להשתמש ב-Destination NAT (DNAT) כדי להפנות תעבורה נכנסת לכתובות ה-IP הפרטיות המתאימות. ודא שאתה עושה זאת רק עבור השירותים הדרושים ושקול את השלכות האבטחה.

שיקולי בטיחות נוספים

1. עדכוני תוכנה:
   • שמור את הנתב MikroTik שלך מעודכן בגרסה העדכנית ביותר של RouterOS וקושחה כדי להגן מפני נקודות תורפה ידועות.
2. שכבה 7 אבטחה:
   • עבור תעבורה ספציפית לאפליקציה, תוכל להגדיר כללי שכבה 7 כדי לחסום או לאפשר תעבורה על סמך דפוסים בחבילות נתונים.
3. הגבלת טווח כתובות IP:
   • מגביל את הגישה לשירותי נתב מסוימים לטווחי כתובות IP ספציפיים בלבד, ובכך מפחית את הסיכון לגישה לא מורשית.

זכור כי אלו רק הנחיות כלליות. תצורת חומת האש הספציפית שלך צריכה להתבסס על הערכה מפורטת של צרכי האבטחה, מדיניות הרשת ושיקולי הביצועים שלך. בנוסף, מומלץ לבצע בדיקות אבטחת רשת באופן קבוע כדי לזהות ולצמצם פגיעויות פוטנציאליות.