이제 대부분의 웹사이트는 https를 사용하며 MikroTik RouterOS 버전이 6.41보다 낮을 경우 https 웹사이트를 차단하는 것이 훨씬 더 어렵습니다. 그러나 RouterOS v6.41부터 MikroTik Firewall은 다음과 같은 새로운 속성을 도입합니다. TLS 호스 t는 https 웹사이트와 매우 쉽게 일치할 수 있습니다. 

따라서 Facebook, YouTube 등 https 웹사이트를 차단합니다. RouterOS 버전이 6.41보다 높으면 MikroTik Router를 사용하여 쉽게 수행할 수 있습니다. 

호스트 이름을 기준으로 필터링

방화벽 규칙에서 "tls-host"를 사용하여 IP 주소 대신 호스트 이름을 기반으로 트래픽을 필터링할 수 있습니다. 이는 통신하는 서버의 IP 주소가 변경되기 쉽고 일정하게 유지되는 호스트 이름을 사용하려는 경우 유용할 수 있습니다.

/ip 방화벽 필터 체인 추가=forward dst-port=443 프로토콜=tcp tls-host=example.com action=accept

이 예에서 규칙은 "example.com"으로 향하는 포트 443에 대한 아웃바운드 TLS 트래픽을 허용합니다.

인증서 및 호스트 이름 관리

"tls-host" 옵션을 사용하면 네트워크에서 SSL/TLS 인증서를 더 쉽게 관리할 수 있습니다. 인증서가 변경되거나 갱신되고 호스트 이름이 동일하게 유지되는 경우 새 IP 주소로 방화벽 규칙을 업데이트할 필요가 없습니다.

고정 IP 주소에 대한 의존도 감소

경우에 따라, 특히 클라우드 호스팅 서비스나 할당된 IP 주소를 변경할 수 있는 서비스 공급자와 상호 작용할 때 "tls-host"를 사용하면 고정 IP 주소에 대한 의존도를 줄이는 추상화 계층이 제공됩니다.

/ip 방화벽 필터 체인 추가=forward dst-port=8443 프로토콜=tcp tls-host=cloud-service.com action=accept

여기서 포트 8443으로 나가는 TLS 트래픽은 'cloud-service.com”는 서비스의 현재 IP 주소와 관계없이 허용됩니다.

"tls-host" 옵션이 효과적이려면 원격 서비스가 IP 주소 대신 호스트 이름 사용을 지원해야 한다는 점에 유의하는 것이 중요합니다. 모든 서비스나 애플리케이션이 이러한 유연성을 허용하는 것은 아니므로 사용 중인 특정 서비스에 대한 설명서를 검토하는 것이 중요합니다.

 TLS 호스트 일치자로 HTTPS 웹사이트를 차단하는 방법

1. IP > 방화벽 메뉴 항목으로 이동하여 필터링 규칙 탭을 클릭한 다음 더하기 기호(+)를 클릭합니다. 새 방화벽 규칙 창이 나타납니다.
2. 문자열 드롭다운 메뉴에서 앞으로를 선택합니다.
3. 프로토콜 드롭다운 메뉴에서 TCP를 선택합니다.
4. Dst를 클릭하세요. 포트 및 포트 입력 상자 443.
5. 고급 탭을 클릭하고 TLS 호스트 입력 상자를 클릭한 후 차단하려는 도메인 이름(예: *.facebook.com)을 이 상자에 입력하세요.
6. 작업 탭을 클릭하고 작업 드롭다운 메뉴에서 드롭을 선택합니다.
7. 적용을 클릭하고 확인 버튼을 클릭하세요.

명령별 방화벽 규칙

/ip 방화벽 필터 체인 추가=forward dst-port=443 프로토콜=tcp tls-host=*.facebook.com action=drop