fbpx
Facebook-f טויטר Linkedin YouTube אינסטגרם` WhatsApp

בין מצב וחסר מדינה: שליטה בחומת האש של MikroTik

  • שתף את המאמר הזה
פייסבוק
טויטר
לינקדין
וואטסאפ
מברק

MikroTik מספקת פונקציונליות של חומת אש הכוללת גם חוקי Stateful וגם חוקי Stateless. חומת האש מיישמת סינון מנות מצביות (באמצעות מעקב חיבור) וחסר מצב ולכן מספקת פונקציות אבטחה המשמשות לניהול זרימת הנתונים אל הנתב, ממנו ודרכו. 

יחד עם תרגום כתובות רשת (NAT), הוא משמש ככלי למניעת גישה בלתי מורשית לרשתות מחוברות ישירות ולנתב עצמו, כמו גם מסנן לתעבורה יוצאת.

בסוף המאמר תמצא קטן מבחן שיאפשר לך להעריך הידע שנרכש בקריאה זו

עבור אל מבחן

חומת אש מדינתית

כללים אלו עוקבים אחר מצב החיבורים, כלומר חומת האש עוקבת אחר מצב כל חיבור ומאפשרת תעבורה על סמך מצב החיבור. זה שימושי כדי לאפשר תעבורת תגובה על חיבורים שבוצעו מתוך הרשת.

זה מאפשר להם לקבל החלטות מושכלות יותר לגבי המנות לאפשר או לחסום, בהתאם להקשר של החיבור. לדוגמה, חומת אש מצב תאפשר לחבילת תגובה לעבור דרך חבילת בקשה שהותרה בעבר, גם אם חבילת הבקשה עצמה אינה כלולה במפורש בכללי חומת האש.

Stateful מציעה יתרונות אבטחה משופרים שכן היא יכולה למנוע ביעילות ניסיונות גישה לא מורשית ולהגן מפני התקפות דיוג.

הם גם מספקים יכולות סינון טובות יותר ברמת היישום, ומאפשרות לך לשלוט באילו יישומים ופרוטוקולים יכולים לתקשר דרך חומת האש.

בין מצב וחסר מדינה: שליטה בחומת האש של MikroTik

חומת אש חסרת מדינה

כללים אלה אינם פועלים לפי מצב החיבורים והם מיושמים באופן עצמאי על כל מנה. כל מנה מסוננת לפי הקריטריונים שנקבעו על ידי הכלל, ללא קשר לחיבורים קודמים.

לעומת זאת, חסרי מדינה, אל תשמור על טבלת מצבים ותבדוק רק מנות בודדות על סמך כתובות המקור והיעד, היציאות וכותרות הפרוטוקול שלהן.

הם פועלים כמסנני מנות, ומקבלים החלטות על סמך המידע הכלול בכל מנה בלבד.

ההבדל בין חומת אש Stateful ל-Stateless

Característica

חומת אש ממלכתית

חומת אש חסרת מדינה

מעקב אחר חיבורים

 

Si

לא

בטחון

 

משופר

Basico

סינון ברמת האפליקציה

 

גרעיני

מוגבל

משחק

 

נמוך יותר

גבוה יותר

צריכת משאבים

 

גבוה יותר

נמוך יותר

התאמה

 

רשתות ארגוניות, יישומים רגישים

רשתות ביתיות, סביבות רוחב פס גבוה

 

דוגמאות לחוקי חסרי מדינה

ב-MikroTik RouterOS נוצרים חוקי חומת אש ללא מצב מבלי לקחת בחשבון את מצב החיבורים, כלומר, הם מיושמים ללא קשר לחיבורים קודמים. הנה כמה דוגמאות לכללים חסרי מדינה שיכולים להיות שימושיים בתרחישים מסוימים:

1. אפשר תנועה מכתובת IP ספציפית:

   /ip חומת אש filter add chain=forward src-address=192.168.1.100 action=accept

כלל זה מאפשר תעבורה המגיעה מכתובת ה-IP 192.168.1.100 בשרשרת ההעברה.

2. אפשר תעבורה מרשת משנה ספציפית:

   /ip חומת אש filter add chain=forward src-address=192.168.2.0/24 action=accept

כלל זה מאפשר תעבורה מרשת המשנה 192.168.2.0/24 בשרשרת ההעברה.

3. חסום תנועה לכתובת IP ספציפית:

   /ip חומת אש filter add chain=forward dst-address=203.0.113.10 action=drop

כלל זה חוסם את כל התעבורה העוברת לכתובת ה-IP 203.0.113.10 בשרשרת ההעברה.

אלו הן רק דוגמאות וכדאי להתאים את הכללים בהתאם לצרכים הספציפיים שלך ולטופולוגיית הרשת שלך. כמו כן, זכור שהכללים הללו הם חסרי מדינה, ולכן הם אינם לוקחים בחשבון את מצב החיבורים הקודמים.

דוגמאות לכללים ממלכתיים

ב-MikroTik RouterOS, כללי חומת אש מתמקדים במצב החיבורים, כלומר הם מאפשרים או חוסמים תעבורה על סמך מצב החיבור. להלן כמה דוגמאות לכללים ממלכתיים:

1. אפשר את כל התנועה היוצאת ותגובות קשורות:

   /ip חומת אש מסנן הוסף שרשרת=העבר חיבור-מצב=הוקם,פעולה קשורה=קבל

כלל זה מאפשר תעבורה שהיא חלק מחיבור שנוצר או קשור בשרשרת ההעברה.

2. אפשר תנועה ספציפית מבחוץ:

   /מסנן חומת אש ip add chain=forward in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=accept

כלל זה מאפשר תעבורת TCP המיועדת ליציאה 80 מבחוץ דרך ממשק ether1 בשרשרת ההעברה.

3. חסום תנועה נכנסת לא רצויה:

   /ip חומת אש filter add chain=input connection-state=new action=drop

כלל זה חוסם את כל התעבורה הנכנסת שאינה חלק מחיבור שנוצר בשרשרת הנכנסת.

4. אפשר תעבורת ICMP נכנסת עבור בקשות פינג:

   /ip חומת אש filter add chain=input connection-state=new protocol=icmp action=accept

כלל זה מאפשר תעבורת ICMP נכנסת עבור בקשות פינג בשרשרת הנכנסת.

5. חסום תעבורה ליציאה ספציפית מבחוץ:

   /מסנן חומת אש ip add chain=קלט בממשק=ether1 connection-state=new dst-port=22 action=drop

כלל זה חוסם תעבורה נכנסת ליציאה 22 (SSH) מבחוץ דרך ממשק ether1 בשרשרת הכניסה.

 

אלו הן רק דוגמאות וכדאי להתאים את הכללים על סמך הדרישות הספציפיות שלך ותצורת הרשת שלך. כללים ממלכתיים חיוניים כדי לאפשר תעבורה הכרחית ולשמור על האבטחה על ידי חסימת תעבורה לא רצויה.

חידון ידע קצר

מה דעתך על המאמר הזה?
האם אתה מעז להעריך את הידע הנלמד שלך?

QUIZ - בין Stateful ו-Stateless: שליטה בחומת האש של MikroTik

ספר מומלץ למאמר זה

תגיות: אבטחה Cybersecurity, סינון מנות, חומת אש ממלכתית, חומת אש חסרת מדינה, ניהול חיבורים, כללי חומת האש של MikroTik, MikroTik RouterOS, מניעת גישה לא מורשית, רשתות ונתבים, אבטחת רשת

Artaculos Relacionados

Artaculos Relacionados

Microlabs

נושאים נוספים שעשויים לעניין אותך

האם אתה רוצה להציע נושא?

בכל שבוע אנו מפרסמים תוכן חדש. אתה רוצה שנדבר על משהו ספציפי?
נושא לבלוג הבא

קורסים מקוונים בקרוב

ספרי מיקרוטיק (ספרדית)

השאירו תגובה

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

לוגו צבעוני של ABC Xperts

עקוב אחרינו

Facebook-f טויטר Linkedin YouTube אינסטגרם`

עלינו

בית מטריקס

Av. Juan T. Marengo and J. Orrantia

בניין מרכז מקצועי, אופיס 507

גואיאקיל. אקוודור

CP 090505

קשר

הירשם

לניוזלטרים השבועיים שלנו

ניוזלטר

ספרי מיקרוטיק

קורסי הסמכה

סדרת NAS

מומחה לניהול רשתות

סדרת UAS

מומחה לניהול ציוד של Ubiquiti

סדרת MAS

מומחה מינהל של MikroTik

סדרת NAE

מהנדס ניהול רשתות

סדרת MAE

מהנדס אדמיניסטרציה של מיקרוטיק

אישורי MikroTik

בטחון

אבטחה Cybersecurity
אבטחת מידע
  • SIN-NSI
    תקנות אבטחת מידע כיצד ליישם? (בקרוב)

מדע נתונים

פיתון

זכויות יוצרים © 2024 abcxperts.com - כל הזכויות שמורות

פותח על ידי Network Xperts SA

קוד הנחה

AN24-LIB

חל על ספרים וחבילות של MikroTik

הירשם לקורס מבוא לניתוב מתקדם OSPF BGP MPLS

לחץ כאן אם אתה רוצה
ראה מידע נוסף

ימים
שעות
דקות
סגונדוס

מבוא ל
OSPF - BGP - MPLS

הירשמו לזה קורס חינם

MAE-RAV-ROS-240118
(MAS-ROS) מבוא חינם לקורס MikroTik RouterOS גרסה 7

לחץ כאן אם אתה רוצה
ראה מידע נוסף

ימים
שעות
דקות
סגונדוס

הירשמו לזה קורס חינם

MAS-ROS-240111

מבצע ליום שלושת המלכים!

REYES24

15%

כל המוצרים

קורסי מיקרוטיק
קורסי אקדמיה
ספרי מיקרוטיק

נצלו את קוד ההנחה של יום שלושת המלכים!

*המבצע בתוקף עד יום ראשון ה-7 בינואר 2024
** הקוד (KINGS24) חל על עגלת קניות
*** קנה את הקורס שלך עכשיו ולמד אותו עד 31 במרץ 2024

קידום ראש השנה!

NY24

20%

כל המוצרים

קורסי מיקרוטיק
קורסי אקדמיה
ספרי מיקרוטיק

נצלו את קוד ההנחה לסילבסטר!

*המבצע בתוקף עד יום שני, 1 בינואר 2024
** הקוד (NY24) חל על עגלת קניות
*** קנה את הקורס שלך עכשיו ולמד אותו עד 31 במרץ 2024

הנחות לחג המולד!

XMAS23

30%

כל המוצרים

קורסי מיקרוטיק
קורסי אקדמיה
ספרי מיקרוטיק

נצלו את קוד ההנחה לחג המולד!!!

**קודים מיושמים בעגלת הקניות
המבצע תקף עד יום שני ה-25 בדצמבר 2023

הנחות של שבוע הסייבר

CW23-MK

17%

כל קורסי MikroTik OnLine

CW23-AX

30%

כל קורסי האקדמיה

CW23-LIB

25%

כל הספרים וחבילות הספרים של MikroTik

נצלו את קודי ההנחה לשבוע הסייבר!!!

**קודים מיושמים בעגלת הקניות
המבצע תקף עד יום ראשון 3 בדצמבר 2023

הנחות BLACK FRIDAY

BF23-MX

22%

כל קורסי MikroTik OnLine

BF23-AX

35%

כל קורסי האקדמיה

BF23-LIB

30%

כל הספרים וחבילות הספרים של MikroTik

נצלו את קודי ההנחה לבלאק פריידי!!!

**קודים מיושמים בעגלת הקניות

קודים מיושמים בעגלת הקניות
תקף עד יום ראשון 26 בנובמבר 2023

סמינר מקוון VPN של MikroTik עם ZeroTier

לחץ כאן אם אתה רוצה
ראה מידע נוסף

ימים
שעות
דקות
סגונדוס

הירשמו לזה קורס חינם

MAE-VPN-SET-231115

פרומו ליל כל הקדושים

נצל את קודי ההנחה לליל כל הקדושים.

קודים מיושמים בעגלת הקניות

HW23-MK

11% הנחה על כל קורסי MikroTik OnLine

11%

HW23-AX

30% הנחה על כל קורסי האקדמיה

30%

HW23-LIB

25% הנחה על כל הספרים וחבילות הספרים של MikroTik

25%

סגור סמל תפריט

הירשם והשתתף בקורס החינמי מבוא לניתוב מתקדם עם MikroTik (MAE-RAV-ROS)

היום (רביעי) 11 באוקטובר 2023
7:11 עד XNUMX:XNUMX (קולומביה, אקוודור, פרו)

MAE-RAV-ROS-231011