MikroTik מספקת פונקציונליות של חומת אש הכוללת גם חוקי Stateful וגם חוקי Stateless. חומת האש מיישמת סינון מנות מצביות (באמצעות מעקב חיבור) וחסר מצב ולכן מספקת פונקציות אבטחה המשמשות לניהול זרימת הנתונים אל הנתב, ממנו ודרכו.
יחד עם תרגום כתובות רשת (NAT), הוא משמש ככלי למניעת גישה בלתי מורשית לרשתות מחוברות ישירות ולנתב עצמו, כמו גם מסנן לתעבורה יוצאת.
בסוף המאמר תמצא קטן מבחן שיאפשר לך להעריך הידע שנרכש בקריאה זו
חומת אש מדינתית
כללים אלו עוקבים אחר מצב החיבורים, כלומר חומת האש עוקבת אחר מצב כל חיבור ומאפשרת תעבורה על סמך מצב החיבור. זה שימושי כדי לאפשר תעבורת תגובה על חיבורים שבוצעו מתוך הרשת.
זה מאפשר להם לקבל החלטות מושכלות יותר לגבי המנות לאפשר או לחסום, בהתאם להקשר של החיבור. לדוגמה, חומת אש מצב תאפשר לחבילת תגובה לעבור דרך חבילת בקשה שהותרה בעבר, גם אם חבילת הבקשה עצמה אינה כלולה במפורש בכללי חומת האש.
Stateful מציעה יתרונות אבטחה משופרים שכן היא יכולה למנוע ביעילות ניסיונות גישה לא מורשית ולהגן מפני התקפות דיוג.
הם גם מספקים יכולות סינון טובות יותר ברמת היישום, ומאפשרות לך לשלוט באילו יישומים ופרוטוקולים יכולים לתקשר דרך חומת האש.
חומת אש חסרת מדינה
כללים אלה אינם פועלים לפי מצב החיבורים והם מיושמים באופן עצמאי על כל מנה. כל מנה מסוננת לפי הקריטריונים שנקבעו על ידי הכלל, ללא קשר לחיבורים קודמים.
לעומת זאת, חסרי מדינה, אל תשמור על טבלת מצבים ותבדוק רק מנות בודדות על סמך כתובות המקור והיעד, היציאות וכותרות הפרוטוקול שלהן.
הם פועלים כמסנני מנות, ומקבלים החלטות על סמך המידע הכלול בכל מנה בלבד.
ההבדל בין חומת אש Stateful ל-Stateless
Característica | חומת אש ממלכתית | חומת אש חסרת מדינה |
מעקב אחר חיבורים
| Si | לא |
בטחון
| משופר | Basico |
סינון ברמת האפליקציה
| גרעיני | מוגבל |
משחק
| נמוך יותר | גבוה יותר |
צריכת משאבים
| גבוה יותר | נמוך יותר |
התאמה
| רשתות ארגוניות, יישומים רגישים | רשתות ביתיות, סביבות רוחב פס גבוה |
דוגמאות לחוקי חסרי מדינה
ב-MikroTik RouterOS נוצרים חוקי חומת אש ללא מצב מבלי לקחת בחשבון את מצב החיבורים, כלומר, הם מיושמים ללא קשר לחיבורים קודמים. הנה כמה דוגמאות לכללים חסרי מדינה שיכולים להיות שימושיים בתרחישים מסוימים:
1. אפשר תנועה מכתובת IP ספציפית:
/ip חומת אש filter add chain=forward src-address=192.168.1.100 action=accept
כלל זה מאפשר תעבורה המגיעה מכתובת ה-IP 192.168.1.100 בשרשרת ההעברה.
2. אפשר תעבורה מרשת משנה ספציפית:
/ip חומת אש filter add chain=forward src-address=192.168.2.0/24 action=accept
כלל זה מאפשר תעבורה מרשת המשנה 192.168.2.0/24 בשרשרת ההעברה.
3. חסום תנועה לכתובת IP ספציפית:
/ip חומת אש filter add chain=forward dst-address=203.0.113.10 action=drop
כלל זה חוסם את כל התעבורה העוברת לכתובת ה-IP 203.0.113.10 בשרשרת ההעברה.
אלו הן רק דוגמאות וכדאי להתאים את הכללים בהתאם לצרכים הספציפיים שלך ולטופולוגיית הרשת שלך. כמו כן, זכור שהכללים הללו הם חסרי מדינה, ולכן הם אינם לוקחים בחשבון את מצב החיבורים הקודמים.
דוגמאות לכללים ממלכתיים
ב-MikroTik RouterOS, כללי חומת אש מתמקדים במצב החיבורים, כלומר הם מאפשרים או חוסמים תעבורה על סמך מצב החיבור. להלן כמה דוגמאות לכללים ממלכתיים:
1. אפשר את כל התנועה היוצאת ותגובות קשורות:
/ip חומת אש מסנן הוסף שרשרת=העבר חיבור-מצב=הוקם,פעולה קשורה=קבל
כלל זה מאפשר תעבורה שהיא חלק מחיבור שנוצר או קשור בשרשרת ההעברה.
2. אפשר תנועה ספציפית מבחוץ:
/מסנן חומת אש ip add chain=forward in-interface=ether1 connection-state=new protocol=tcp dst-port=80 action=accept
כלל זה מאפשר תעבורת TCP המיועדת ליציאה 80 מבחוץ דרך ממשק ether1 בשרשרת ההעברה.
3. חסום תנועה נכנסת לא רצויה:
/ip חומת אש filter add chain=input connection-state=new action=drop
כלל זה חוסם את כל התעבורה הנכנסת שאינה חלק מחיבור שנוצר בשרשרת הנכנסת.
4. אפשר תעבורת ICMP נכנסת עבור בקשות פינג:
/ip חומת אש filter add chain=input connection-state=new protocol=icmp action=accept
כלל זה מאפשר תעבורת ICMP נכנסת עבור בקשות פינג בשרשרת הנכנסת.
5. חסום תעבורה ליציאה ספציפית מבחוץ:
/מסנן חומת אש ip add chain=קלט בממשק=ether1 connection-state=new dst-port=22 action=drop
כלל זה חוסם תעבורה נכנסת ליציאה 22 (SSH) מבחוץ דרך ממשק ether1 בשרשרת הכניסה.
אלו הן רק דוגמאות וכדאי להתאים את הכללים על סמך הדרישות הספציפיות שלך ותצורת הרשת שלך. כללים ממלכתיים חיוניים כדי לאפשר תעבורה הכרחית ולשמור על האבטחה על ידי חסימת תעבורה לא רצויה.
חידון ידע קצר
מה דעתך על המאמר הזה?
האם אתה מעז להעריך את הידע הנלמד שלך?
ספר מומלץ למאמר זה
ספר בקרת תנועה מתקדם, RouterOS v7
חומר לימוד לקורס הסמכה MTCTCE, מעודכן ל-RouterOS v7