Muundo: minyororo na vitendo
- Mlolongo: ni mkusanyiko wa kanuni kulingana na vigezo sawa. Kuna minyororo mitatu ya chaguo-msingi kulingana na vigezo vilivyoainishwa awali.
- pembejeo: Trafiki kwenda kwenye kipanga njia
- mbele: Trafiki inayopitia kipanga njia
- pato: Trafiki inayokuja kutoka kwa kipanga njia
- Kwa mfano, unaweza kutekeleza mlolongo uliopitishwa:
- Kulingana na vigezo: trafiki yote ya icmp.
- Kulingana na trafiki inayotoka kwenye bandari za Ethaneti, kwa mfano: Ether2 kuelekea mtandao wa LAN wa mbali au mtandao wa daraja.
- Watumiaji hufafanua minyororo, na hizi zinaundwa kulingana na vigezo vinavyoweza kulinganishwa, na ikiwa wanataka wanaweza kufanya "kuruka" ili mara tu mechi itakapothibitishwa, kuruka kutafanywa kwa sheria nyingine kwenye firewall, Hii inafafanuliwa katika "lengo la kuruka"
- Kitendo huelekeza kile kichujio au sheria itafanya wakati pakiti zinatimiza masharti yote ya kuchujwa.
- Pakiti hukaguliwa kwa kufuatana dhidi ya sheria zilizopo kwenye msururu wa ngome ya sasa hadi mechi itakapotokea. (Unapokuwa na # inamaanisha kuwa itaheshimu agizo: kwanza ikiwa zinalingana, hatua inatumika, na kutoka hapo itaenda kwa inayofuata ikiwa chaguo hilo limewezeshwa, vinginevyo uchambuzi utaishia hapo)
Kichujio cha ukuta-mtanda kikiwa kazini
Unaweza kuchukua faida ya usalama wa firewall kwa njia tofauti kama vile:
- Tumaini usalama wa LAN yetu, kwani kinachotoka kwa WAN si salama.
- Tunazuia kila mtu na kuruhusu tu kile tunachokubaliana.
- Tutaruhusu kila kitu na kuzuia tu kile kinachosababisha matatizo.
Vidokezo vya Msingi na Mbinu
- Kabla ya kufanya mabadiliko kwenye firewall, hebu tuingie "mode salama"
- Baada ya kufanya usanidi na mabadiliko ya sheria za ngome, inashauriwa kupima udhaifu: zana inayopendekezwa: ShieldsUP
- Kabla ya kuanza, inashauriwa kuandika kwa maandishi wazi au kwenye karatasi maelezo rahisi ya sera unazotaka kutumia.
- Mara baada ya kuwaelewa na kukubaliana nao, unaendelea kuingia kwenye router.
- Ongeza sheria zifuatazo hatua kwa hatua, mara tu unaporidhika na sheria za msingi zilizoingia.
- Ikiwa wewe ni mpya kwa eneo la usalama, ni vyema usiingie sheria zinazoelekeza pande zote, ni vya kutosha kufanya mambo ya msingi, lakini unapaswa kufanya vizuri.
- Ni wazo nzuri kumaliza minyororo yako na sheria za kukamata zote na uone kile ambacho huenda umekosa.
- Utahitaji sheria mbili za kukamata zote, logi moja na tone moja kwa trafiki yote ambayo haijawahi kutokea. Zote mbili zinapaswa kutegemea vigezo vilivyolinganishwa ili iwe na manufaa kwako.
- Mara tu unapoona kinachofanya iwe kwenye sheria za kukamata-yote, unaweza kuongeza sheria mpya kulingana na tabia inayotakikana na ngome.
Kuchuja kwa Vigezo (Vitendo vya Kichujio)
Kabla ya kuamua kuchukua hatua kwenye firewall, lazima kwanza utambue. Tuna vigezo vingi ambavyo tunaweza kulinganisha.
Mara tu mechi imefanywa na vigezo vyote vya sheria, na vinalingana, basi hatua itafanywa. Firewall ya MikroTik ina vitendo 10 vifuatavyo:
- kukubali: Kubali kifurushi. Pakiti haitapitishwa tena kwa sheria inayofuata ya ngome.
- ongeza-dst-to-orodha-ya-anwani: anwani ya marudio, baada ya kufanana na pakiti huenda kwa sheria inayofuata.
- ongeza-src-kwa-orodha-ya-anwani: anwani ya chanzo. Baada ya kufanana na pakiti huenda kwa utawala unaofuata.
- kuacha: pakiti inatupwa. Baada ya kufanana na pakiti huenda kwa utawala unaofuata.
- kuruka: kuruka kunafafanuliwa na mtumiaji na hutumiwa kuruka kwa sheria maalum, iliyofafanuliwa na lengo la kuruka. Baada ya kulinganisha pakiti huenda kwa sheria inayofuata iliyofafanuliwa katika lengo la kuruka.
- logi: Huongeza ujumbe kwenye kumbukumbu na taarifa ifuatayo: in-interface, out-interface, src-mac, itifaki, src-ip:port->dst-ip:port na urefu wa pakiti. Baada ya kufanana na pakiti huenda kwa utawala unaofuata.
- kupitisha- Ikiwa chaguo hili litaangaliwa, itawezesha chaguo la kupuuza sheria ya kutoa na kuhamia inayofuata (ni muhimu sana kwa takwimu za mtandao).
- kukataa- Hutupa pakiti za icmp na kutuma ujumbe uliofafanuliwa na mtumiaji ambao pakiti haijapitishwa kwa sheria inayofuata.
- kurudi- Hupitisha udhibiti wa kichujio tena, ambapo kichujio cha awali kilianzia. Baada ya kufanana na pakiti huenda kwa kanuni inayofuata (tu ikiwa sheria ya awali haifanyi pakiti kuachwa na kuacha mechi).
- turubai- Inanasa na kubakisha pakiti za TCP (nakili zilizo na SYN/ACK kwa pakiti zinazoingia za TCP SYN). Baada ya kufanana na pakiti huenda kwa kanuni inayofuata.
Kulinda kipanga njia chako (ingizo)
- El mlolongo=pembejeo inachambua trafiki yote inayoingia kwenye kipanga njia.
- Wakati wa kutumia kanuni chain=pembejeo, kuingia kwa habari kwenye router kunadhibitiwa
MikroTik inatoa mapendekezo yafuatayo kwa Ingizo
Kwa kuchukulia kuwa kiolesura cha ether1 kimeunganishwa kwa WAN isiyo salama.
- Kubali trafiki kutoka kwa icmp-echo-reply (ikiwa unataka kuwa na nakala ya ping kwenye mtandao, hii ni muhimu tunapodhibiti seva)
- Tupa trafiki yote ya ombi la icmp-echo (Wakati hatutaki kifaa kingine kitupigize. Kwa hili tunaepuka kulengwa na mashambulizi kama vile mashambulizi ya ghafla au mengine)
- Kubali trafiki yote iliyoanzishwa na inayohusiana nayo.
- Ondoa trafiki yote batili.
- Ingia trafiki nyingine zote
- Tupa trafiki nyingine zote.
Kulinda wateja wote (mbele)
Trafiki ya mbele ni trafiki inayopita kupitia kipanga njia.
MikroTik inatoa mapendekezo yafuatayo kwa Msambazaji
Kwa kuchukulia kuwa kiolesura cha ether1 kimeunganishwa kwa WAN isiyo salama.
- Kubali trafiki yote ya mbele iliyoanzishwa na inayohusiana.
- Ondoa trafiki yote batili.
- Ingia trafiki nyingine zote (ili kuthibitisha ikiwa pakiti zozote muhimu zimezuiwa)
- Tupa trafiki nyingine zote.