Ndiyo, wakati wa kuanzisha handaki ya IPsec katika MikroTik, inashauriwa na mara nyingi ni muhimu kusanidi sheria maalum za firewall. Sheria hizi ni muhimu kwa sababu kadhaa, ikiwa ni pamoja na kulinda handaki, kuruhusu trafiki ya IPsec kupitia ngome, na kulinda mtandao wako.
Tunaelezea ni aina gani za sheria zinahitajika na kwa nini:
1. Ruhusu Trafiki ya IPsec
Ili trafiki ya IPsec itiririke kupitia kifaa chako cha MikroTik na kuanzisha handaki kwa usahihi, unahitaji kuhakikisha kuwa ngome inaruhusu itifaki na bandari zinazotumiwa na IPsec. Hii kawaida ni pamoja na:
- ESP (Inajumuisha Malipo ya Usalama): Ruhusu trafiki ya itifaki ya IP 50, inayotumiwa na ESP kutoa usiri, uthibitishaji na uadilifu.
- AH (Kichwa cha Uthibitishaji): Ruhusu trafiki ya itifaki ya IP 51, ikiwa AH inatumiwa katika usanidi wako wa IPsec kutoa uthibitishaji na uadilifu bila usiri.
- IKE (Ubadilishaji wa Ufunguo wa Mtandao): Ruhusu trafiki ya UDP kwenye bandari 500 (na ikiwezekana bandari 4500 kwa NAT-T) kwa IKE, ambayo inatumika kwa mazungumzo muhimu ya kubadilishana na usalama.
2. Linda Tunnel
Mbali na kuruhusu trafiki ya IPsec tu, unaweza kutaka kuunda sheria za kupunguza trafiki kupitia handaki hadi aina fulani za trafiki au kwa anwani fulani za IP ili kuongeza usalama. Hii inaweza kujumuisha sheria za:
- Ruhusu aina fulani tu za trafiki kupitia handaki.
- Zuia ufikiaji kupitia handaki kwa anwani fulani za IP tu au nyati ndogo.
3. Ulinzi wa Mashambulizi
Ni muhimu kuzingatia sheria za kulinda kifaa na mtandao wako dhidi ya mashambulizi ambayo yanaweza kuwezeshwa kupitia njia ya IPsec. Hii inaweza kujumuisha:
- Punguza majaribio ya kuunganisha kwenye VPN ili kuzuia mashambulizi ya nguvu ya kinyama.
- Zuia trafiki isiyo ya kawaida au isiyotakikana ambayo haipaswi kuwepo kwenye handaki.
Mfano Kanuni ya Firewall Kuruhusu IKE na ESP:
plaintextCopy code/ip firewall filter
add chain=input protocol=udp dst-port=500 action=accept comment="Allow IKE for IPsec"
add chain=input protocol=ipsec-esp action=accept comment="Allow ESP for IPsec"
Mawazo ya Mwisho:
- Utaratibu wa Kanuni: Mpangilio ambao unaweka sheria zako kwenye ngome ni muhimu. Sheria huchakatwa kutoka juu kwenda chini, kwa hivyo unapaswa kuweka sheria mahususi kabla ya sheria za jumla zaidi ili kuepusha migongano au kuzuia kusikotakikana.
- Ufuatiliaji na Matengenezo: Pindi tu handaki ya IPsec na sheria zinazolingana za ngome zinaposanidiwa, ni mazoea mazuri kufuatilia trafiki na utendakazi wa handaki, na pia kukagua mara kwa mara sheria za ngome ili kuzirekebisha inapohitajika.
Kusanidi vyema sheria za ngome kwenye kifaa chako cha MikroTik ni muhimu kwa mafanikio na usalama wa handaki yako ya IPsec.
Hakuna lebo za chapisho hili.