MikroTik hutoa utendakazi wa ngome inayojumuisha sheria za Serikali na sheria zisizo na utaifa. Ngome hutekelezea hali (kupitia ufuatiliaji wa muunganisho) na uchujaji wa pakiti zisizo na uraia na kwa hivyo hutoa vitendaji vya usalama vinavyotumika kudhibiti mtiririko wa data kwenda, kutoka, na kupitia kipanga njia.
Pamoja na Tafsiri ya Anwani ya Mtandao (NAT), hutumika kama zana ya kuzuia ufikiaji usioidhinishwa wa mitandao iliyounganishwa moja kwa moja na kipanga njia yenyewe, pamoja na kichujio cha trafiki inayotoka.
Mwishoni mwa makala utapata ndogo mtihani hiyo itakuruhusu tathmini maarifa yaliyopatikana katika usomaji huu
Firewall ya Serikali
Sheria hizi hufuata hali ya miunganisho, ikimaanisha kuwa firewall hufuatilia hali ya kila muunganisho na inaruhusu trafiki kulingana na hali ya unganisho. Hii ni muhimu kwa kuruhusu trafiki ya majibu kwenye miunganisho iliyoanzishwa kutoka ndani ya mtandao.
Hii inawaruhusu kufanya maamuzi sahihi zaidi kuhusu pakiti za kuruhusu au kuzuia, kulingana na muktadha wa muunganisho. Kwa mfano, ngome ya hali ya juu itaruhusu pakiti ya majibu kupita kwenye pakiti ya ombi iliyoruhusiwa hapo awali, hata kama pakiti ya ombi yenyewe haijajumuishwa kwa uwazi katika sheria za ngome.
Stateful inatoa manufaa ya usalama yaliyoimarishwa kwa vile inaweza kuzuia kwa ufanisi majaribio ya ufikiaji ambayo hayajaidhinishwa na kulinda dhidi ya mashambulizi ya hadaa.
Pia hutoa uwezo bora wa kuchuja wa kiwango cha programu, hukuruhusu kudhibiti ni programu na itifaki gani zinaweza kuwasiliana kupitia ngome.
Firewall isiyo na uraia
Sheria hizi hazifuati hali ya viunganisho na hutumiwa kwa kujitegemea kwa kila pakiti. Kila pakiti huchujwa kulingana na vigezo vilivyowekwa na sheria, bila kujali viunganisho vya awali.
Bila uraia kwa upande mwingine, usidumishe jedwali la serikali na ukague tu pakiti za kibinafsi kulingana na chanzo na anwani zao, bandari na vichwa vya itifaki.
Hufanya kazi kama vichujio vya pakiti, na kufanya maamuzi kulingana na habari iliyo katika kila pakiti.
Tofauti kati ya Firewall Stateful na Stateless
Característica | firewall ya serikali | Firewall isiyo na uraia |
Ufuatiliaji wa muunganisho
| Si | Hapana |
usalama
| Imeboreshwa | Básico |
Uchujaji wa kiwango cha programu
| Punjepunje | Imepunguzwa |
Kaimu
| Chini | Juu zaidi |
Matumizi ya rasilimali
| Juu zaidi | Chini |
Uwezo
| Mitandao ya biashara, programu nyeti | Mitandao ya nyumbani, mazingira ya bandwidth ya juu |
Mifano ya sheria zisizo na uraia
Katika MikroTik RouterOS, sheria za firewall zisizo na sheria zinaundwa bila kuzingatia hali ya viunganisho, yaani, hutumiwa bila kujali viunganisho vya awali. Hapa kuna mifano ya sheria zisizo na sheria ambazo zinaweza kuwa muhimu katika hali fulani:
1. Ruhusu trafiki kutoka kwa anwani mahususi ya IP:
/ip kichujio cha ngome ongeza mnyororo=mbele src-anwani=192.168.1.100 action=kubali
Sheria hii inaruhusu trafiki kutoka kwa anwani ya IP 192.168.1.100 katika mnyororo wa usambazaji.
2. Ruhusu trafiki kutoka kwa subnet maalum:
/ip kichujio cha ngome ongeza chain=forward src-address=192.168.2.0/24 action=kubali
Sheria hii inaruhusu trafiki kutoka kwa subnet ya 192.168.2.0/24 katika mlolongo wa usambazaji.
3. Zuia trafiki kwa anwani mahususi ya IP:
/ip kichujio cha ngome ongeza chain=forward dst-address=203.0.113.10 action=drop
Sheria hii inazuia trafiki yote kwenda kwa anwani ya IP 203.0.113.10 katika mlolongo wa usambazaji.
Hii ni mifano tu na unapaswa kurekebisha sheria kulingana na mahitaji yako maalum na topolojia ya mtandao wako. Pia, kumbuka kwamba sheria hizi hazina uraia, kwa hiyo hazizingatii hali ya viunganisho vya awali.
Mifano ya Sheria za Serikali
Katika MikroTik RouterOS, sheria kuu za ngome huzingatia hali ya miunganisho, kumaanisha kuwa zinaruhusu au kuzuia trafiki kulingana na hali ya muunganisho. Hapa kuna mifano kadhaa ya sheria kuu:
1. Ruhusu trafiki yote inayotoka nje na majibu yanayohusiana:
/ip kichujio cha ngome ongeza mnyororo=hali ya muunganisho wa mbele=imeanzishwa,kitendo kinachohusiana=kubali
Sheria hii inaruhusu trafiki ambayo ni sehemu ya muunganisho ulioanzishwa au unaohusiana katika mnyororo wa usambazaji.
2. Ruhusu trafiki mahususi kutoka nje:
/ip kichujio cha ngome ongeza mnyororo=mbele in-interface=ether1 connection-state=itifaki mpya=tcp dst-port=80 action=kubali
Sheria hii inaruhusu trafiki ya TCP inayolengwa kwa bandari 80 kutoka nje kupitia kiolesura cha ether1 katika msururu wa usambazaji.
3. Zuia Trafiki Inayoingia Isiyoombwa:
/ip kichujio cha ngome ongeza chain=input connection-state=new action=drop
Sheria hii inazuia trafiki yote inayoingia ambayo si sehemu ya muunganisho uliowekwa katika msururu unaoingia.
4. Ruhusu trafiki inayoingia ya ICMP kwa maombi ya ping:
/ip kichujio cha ngome ongeza mnyororo=input connection-state=itifaki mpya=icmp action=kubali
Sheria hii inaruhusu trafiki inayoingia ya ICMP kwa maombi ya ping katika mlolongo wa kuingia.
5. Zuia trafiki kwa lango mahususi kutoka nje:
/ip kichujio cha ngome ongeza chain=input in-interface=ether1 connection-state=new dst-port=22 action=drop
Sheria hii huzuia trafiki inayoingia kwenye mlango wa 22 (SSH) kutoka nje kupitia kiolesura cha ether1 katika msururu wa kuingia.
Hii ni mifano tu na unapaswa kurekebisha sheria kulingana na mahitaji yako maalum na usanidi wa mtandao. Sheria za serikali ni muhimu ili kuruhusu trafiki muhimu na kudumisha usalama kwa kuzuia trafiki zisizohitajika.
Jaribio fupi la maarifa
Una maoni gani kuhusu makala hii?
Je, unathubutu kutathmini ujuzi wako uliojifunza?
Kitabu kinachopendekezwa kwa makala haya
Kitabu cha Juu cha Udhibiti wa Trafiki, RouterOS v7
Nyenzo za masomo kwa Kozi ya Udhibitishaji wa MTCTCE, iliyosasishwa hadi RouterOS v7
Machapisho yanayohusiana
- MikroTik IPSec: Chagua kati ya Njia ya Tunnel na Njia ya Usafiri ya VPN
- Kichujio cha ICMP kwenye Firewall ya MikroTik
- Jinsi ya Kuzuia Tovuti za HTTPS kwa Ufanisi kwa MikroTik TLS Host
- Kuchunguza Njia za ARP katika MikroTik RouterOS
- MikroTik na Uthibitishaji Bila Waya: Kuelewa 'Ruhusu Ufunguo Ulioshirikiwa'