다른 많은 방화벽 시스템과 마찬가지로 MikroTik 방화벽에서도 규칙의 순서가 중요하며 무작위가 아닙니다. 방화벽을 통과하는 각 패킷은 목록 아래의 첫 번째 규칙부터 시작하여 순서대로 규칙을 기준으로 검사됩니다.
패킷과 일치하는 규칙이 발견되는 즉시 해당 규칙에 지정된 작업(허용, 차단, 플래그 등)이 수행되고 패킷은 후속 규칙과 비교되지 않습니다. 이 프로세스를 "첫 번째 경기 승리" 규칙이라고 합니다.
규칙 순서의 중요성
- 보안 정책 효율성: 규칙의 순서에 따라 보안 정책의 효율성이 결정됩니다. 잘못 정렬된 규칙은 차단되어야 하는 트래픽을 허용하거나 그 반대의 결과를 초래할 수 있습니다.
- 성능 최적화: 가장 많이 사용되는 규칙이나 트래픽과 가장 일치할 가능성이 높은 규칙을 처음에 배치하면 각 패킷을 처리하는 데 필요한 시간이 줄어들어 방화벽 성능이 향상될 수 있습니다.
- 특성: 보다 구체적인 규칙이 보다 일반적인 규칙보다 먼저 와야 합니다. 예를 들어 특정 서버로의 모든 트래픽을 차단하는 규칙과 모든 곳으로의 모든 트래픽을 허용하는 규칙이 있는 경우 특정 차단 규칙이 먼저 적용되어야 합니다.
규칙의 순서에 대한 고려 사항
- 시작 시 특정 차단 규칙: 규칙 목록 상단에 원치 않는 트래픽을 차단하는 특정 규칙을 배치하세요.
- 알려진 트래픽 허용: 특별히 원치 않는 트래픽을 차단한 후 중요한 서비스에 대한 예상 트래픽과 알려진 트래픽을 허용하는 규칙을 따르세요.
- 마지막에는 광범위한 캡처 규칙: 남아 있는 모든 트래픽을 허용하거나 차단하는 일반 규칙과 같은 광범위한 캡처 규칙은 마지막에 적용되어야 합니다.
- '패스트트랙' 이용하기: FastTrack 기능(성능 향상을 위해 특정 트래픽이 방화벽 처리를 우회하도록 허용)을 사용하는 경우 잘못 구성되면 중요한 보안 규칙을 우회할 수 있으므로 해당 기능에 주의하세요.
- 등록 및 디버깅 규칙: 특정 트래픽을 로깅하기 위한 규칙은 모니터링해야 하는 트래픽에 따라 전략적 위치에 배치되는 경우가 많지만 로깅이 너무 많으면 성능에 영향을 미칠 수 있다는 점을 명심하세요.
규칙 순서 수정
WinBox, WebFig 또는 명령줄을 사용하여 MikroTik RouterOS에서 규칙 순서를 변경할 수 있습니다. WinBox 또는 WebFig에서는 간단히 눈금자를 끌어서 놓아 재정렬할 수 있습니다. 명령줄에서 다음과 같은 명령을 사용하여 규칙의 시퀀스 번호를 사용하여 규칙을 이동할 수 있습니다. move
.
결론
MikroTik 방화벽의 규칙 순서는 네트워크가 효과적으로 보호되고 방화벽이 최적으로 작동하는지 확인하는 데 필수적입니다. 안전하고 효율적인 네트워크를 유지하려면 방화벽 규칙을 신중하게 계획하고 구성하는 것이 중요합니다.
이 게시물에는 태그가 없습니다.