MikroTik은 상태 저장 규칙과 상태 비저장 규칙을 모두 포함하는 방화벽 기능을 제공합니다. 방화벽은 상태 저장(연결 추적을 통해) 및 상태 비저장 패킷 필터링을 구현하므로 라우터와의 데이터 흐름을 관리하는 데 사용되는 보안 기능을 제공합니다.
NAT(네트워크 주소 변환)와 함께 직접 연결된 네트워크 및 라우터 자체에 대한 무단 액세스를 방지하는 도구이자 나가는 트래픽에 대한 필터 역할을 합니다.
기사의 마지막 부분에서 작은 내용을 찾을 수 있습니다. test 그것은 당신을 허용합니다 평가하다 이번 독서를 통해 얻은 지식
상태 저장 방화벽
이러한 규칙은 연결 상태를 따릅니다. 즉, 방화벽은 각 연결 상태를 추적하고 연결 상태에 따라 트래픽을 허용합니다. 이는 네트워크 내에서 시작된 연결에 대한 응답 트래픽을 허용하는 데 유용합니다.
이를 통해 연결 상황에 따라 어떤 패킷을 허용하거나 차단할지에 대해 더 많은 정보를 바탕으로 결정할 수 있습니다. 예를 들어 상태 저장 방화벽은 요청 패킷 자체가 방화벽 규칙에 명시적으로 포함되지 않은 경우에도 응답 패킷이 이전에 허용된 요청 패킷을 통과하도록 허용합니다.
Stateful은 무단 액세스 시도를 효과적으로 방지하고 피싱 공격으로부터 보호할 수 있으므로 향상된 보안 이점을 제공합니다.
또한 더 나은 애플리케이션 수준 필터링 기능을 제공하므로 방화벽을 통해 통신할 수 있는 애플리케이션과 프로토콜을 제어할 수 있습니다.
무상태 방화벽
이러한 규칙은 연결 상태를 따르지 않으며 각 패킷에 독립적으로 적용됩니다. 각 패킷은 이전 연결에 관계없이 규칙에 의해 설정된 기준에 따라 필터링됩니다.
반면에 상태 비저장은 상태 테이블을 유지하지 않고 소스 및 대상 주소, 포트 및 프로토콜 헤더를 기반으로 개별 패킷만 검사합니다.
이는 패킷 필터로 작동하여 각 패킷에 포함된 정보만을 기반으로 결정을 내립니다.
상태 저장 방화벽과 상태 비저장 방화벽의 차이점
Característica | 상태 저장 방화벽 | 무상태 방화벽 |
연결 추적
| Si | 아니 |
보안
| 개선하는 | 기본 |
애플리케이션 수준 필터링
| 입상의 | 제한된 |
연기
| 보다 낮은 | 더 높은 |
자원의 소비
| 더 높은 | 마스 바조 |
적합성
| 기업 네트워크, 민감한 애플리케이션 | 홈 네트워크, 고대역폭 환경 |
상태 비저장 규칙의 예
MikroTik RouterOS에서는 연결 상태를 고려하지 않고 상태 비저장 방화벽 규칙이 생성됩니다. 즉, 이전 연결과 관계없이 적용됩니다. 다음은 특정 시나리오에서 유용할 수 있는 상태 비저장 규칙의 몇 가지 예입니다.
1. 특정 IP 주소의 트래픽을 허용합니다.
/ip 방화벽 필터 체인 추가=forward src-address=192.168.1.100 action=accept
이 규칙은 전달 체인의 IP 주소 192.168.1.100에서 들어오는 트래픽을 허용합니다.
2. 특정 서브넷의 트래픽을 허용합니다.
/ip 방화벽 필터 체인 추가=forward src-address=192.168.2.0/24 action=accept
이 규칙은 전달 체인의 192.168.2.0/24 서브넷의 트래픽을 허용합니다.
3. 특정 IP 주소로의 트래픽을 차단합니다.
/ip 방화벽 필터 add chain=forward dst-address=203.0.113.10 action=drop
이 규칙은 전달 체인의 IP 주소 203.0.113.10으로 이동하는 모든 트래픽을 차단합니다.
이는 단지 예일 뿐이며 특정 요구 사항과 네트워크 토폴로지에 따라 규칙을 조정해야 합니다. 또한 이러한 규칙은 상태 비저장이므로 이전 연결 상태를 고려하지 않는다는 점을 명심하세요.
상태 저장 규칙의 예
MikroTik RouterOS에서 상태 저장 방화벽 규칙은 연결 상태에 중점을 둡니다. 즉, 연결 상태에 따라 트래픽을 허용하거나 차단합니다. 다음은 상태 저장 규칙의 몇 가지 예입니다.
1. 모든 아웃바운드 트래픽 및 관련 응답을 허용합니다.
/ip 방화벽 필터 체인 추가=연결 상태 전달=설정, 관련 작업=수락
이 규칙은 전달 체인에서 설정되거나 관련된 연결의 일부인 트래픽을 허용합니다.
2. 외부로부터의 특정 트래픽을 허용합니다:
/ip 방화벽 필터 체인 추가=앞으로 in-interface=ether1 연결 상태=새 프로토콜=tcp dst-port=80 action=accept
이 규칙은 전달 체인의 ether80 인터페이스를 통해 외부에서 포트 1으로 향하는 TCP 트래픽을 허용합니다.
3. 원치 않는 수신 트래픽 차단:
/ip 방화벽 필터 체인 추가=입력 연결 상태=새 작업=삭제
이 규칙은 수신 체인에 설정된 연결의 일부가 아닌 모든 수신 트래픽을 차단합니다.
4. ping 요청에 대해 들어오는 ICMP 트래픽을 허용합니다.
/ip 방화벽 필터 체인 추가=입력 연결 상태=새 프로토콜=icmp 작업=수락
이 규칙은 인바운드 체인의 ping 요청에 대해 들어오는 ICMP 트래픽을 허용합니다.
5. 외부에서 특정 포트로의 트래픽을 차단합니다.
/ip 방화벽 필터 추가 체인=입력 in-interface=ether1 연결 상태=새 dst-port=22 작업=삭제
이 규칙은 수신 체인의 ether22 인터페이스를 통해 외부에서 포트 1(SSH)로 들어오는 트래픽을 차단합니다.
이는 단지 예일 뿐이며 특정 요구 사항 및 네트워크 구성에 따라 규칙을 조정해야 합니다. 필요한 트래픽을 허용하고 원하지 않는 트래픽을 차단하여 보안을 유지하려면 상태 저장 규칙이 필수적입니다.