Bezstanowa zapora ogniowa

Reguły te nie kierują się stanem połączeń i są stosowane niezależnie do każdego pakietu. Każdy pakiet jest filtrowany według kryteriów ustalonych przez regułę, niezależnie od poprzednich połączeń.

Z drugiej strony, bezstanowe nie przechowują tabeli stanów i sprawdzają jedynie pojedyncze pakiety na podstawie ich adresów źródłowych i docelowych, portów i nagłówków protokołów.

Działają jak filtry pakietów, podejmując decyzje wyłącznie na podstawie informacji zawartych w każdym pakiecie.

Różnica między zaporą stanową i bezstanową

Przykłady przepisów dotyczących bezpaństwowców

W MikroTik RouterOS bezstanowe reguły firewalla tworzone są bez uwzględnienia stanu połączeń, czyli są stosowane niezależnie od poprzednich połączeń. Oto kilka przykładów reguł dotyczących bezpaństwowców, które mogą być przydatne w niektórych scenariuszach:

1. Zezwól na ruch z określonego adresu IP:

   /ip filtr zapory sieciowej dodaj łańcuch=przekaż adres-src=192.168.1.100 akcja=zaakceptuj

Ta reguła pozwala na ruch przychodzący z adresu IP 192.168.1.100 w łańcuchu przekazywania.

2. Zezwól na ruch z określonej podsieci:

   /ip filtr zapory sieciowej dodaj łańcuch=przekaż adres-src=192.168.2.0/24 akcja=zaakceptuj

Ta reguła zezwala na ruch z podsieci 192.168.2.0/24 w łańcuchu przekazywania.

3. Zablokuj ruch na konkretny adres IP:

   /ip filtr zapory sieciowej dodaj łańcuch=przekaż adres-dst=203.0.113.10 akcja=upuść

Ta reguła blokuje cały ruch kierowany do adresu IP 203.0.113.10 w łańcuchu przekazywania.

To tylko przykłady. Reguły należy dostosować do swoich konkretnych potrzeb i topologii sieci. Należy również pamiętać, że reguły te są bezstanowe, więc nie uwzględniają stanu poprzednich połączeń.

Przykłady reguł stanowych

W MikroTik RouterOS stanowe reguły zapory sieciowej skupiają się na stanie połączeń, co oznacza, że ​​zezwalają lub blokują ruch w oparciu o stan połączenia. Oto kilka przykładów reguł stanowych:

1. Zezwól na cały ruch wychodzący i powiązane odpowiedzi:

   /ip filtr zapory sieciowej dodaj łańcuch=przekazuj stan połączenia=ustanowiono, powiązaną akcję=zaakceptuj

Ta reguła zezwala na ruch będący częścią ustanowionego lub powiązanego połączenia w łańcuchu przekazywania.

2. Zezwól na określony ruch z zewnątrz:

   /ip filtr zapory sieciowej dodaj łańcuch=przekaż w interfejsie=ether1 stan połączenia=nowy protokół=tcp dst-port=80 akcja=zaakceptuj

Ta reguła pozwala na ruch TCP przeznaczony dla portu 80 z zewnątrz przez interfejs ether1 w łańcuchu przekazywania.

3. Blokuj niechciany ruch przychodzący:

   /ip filtr zapory sieciowej dodaj łańcuch=wejście stan połączenia=nowa akcja=upuszczenie

Ta reguła blokuje cały ruch przychodzący, który nie jest częścią nawiązanego połączenia w łańcuchu przychodzącym.

4. Zezwól na przychodzący ruch ICMP dla żądań ping:

   /ip filtr zapory sieciowej dodaj łańcuch=wprowadź stan połączenia=nowy protokół=akcja icmp=zaakceptuj

Ta reguła zezwala na przychodzący ruch ICMP dla żądań ping w łańcuchu przychodzącym.

5. Zablokuj ruch do określonego portu z zewnątrz:

   /ip filtr zapory sieciowej dodaj łańcuch=wejście w interfejsie=ether1 stan połączenia=nowy port-dst=22 akcja=upuść

Ta reguła blokuje ruch przychodzący do portu 22 (SSH) z zewnątrz poprzez interfejs ether1 w łańcuchu przychodzącym.

To tylko przykłady i powinieneś dostosować reguły w oparciu o swoje specyficzne wymagania i konfigurację sieci. Reguły stanowe są niezbędne, aby umożliwić niezbędny ruch i utrzymać bezpieczeństwo poprzez blokowanie niechcianego ruchu.