การกำหนดค่าไฟร์วอลล์อย่างถูกต้องบนเราเตอร์ MikroTik ถือเป็นสิ่งสำคัญในการปกป้องเครือข่ายของคุณจากการเข้าถึงโดยไม่ได้รับอนุญาตและภัยคุกคามความปลอดภัยประเภทอื่นๆ แม้ว่ากฎเฉพาะอาจแตกต่างกันไปตามความต้องการและการกำหนดค่าของแต่ละเครือข่าย แต่ก็มีกฎและหลักการทั่วไปบางประการที่แนะนำสำหรับสภาพแวดล้อมส่วนใหญ่
ด้านล่างนี้คือกฎและแนวปฏิบัติที่ดีที่สุดบางส่วนสำหรับตัวกรองไฟร์วอลล์, NAT และส่วนการกำหนดค่าอื่นๆ ที่เกี่ยวข้องใน MikroTik RouterOS
ไฟร์วอลล์ฟิลเตอร์
วัตถุประสงค์ของตัวกรองไฟร์วอลล์คือเพื่อควบคุมการรับส่งข้อมูลที่ผ่านเราเตอร์ ทำให้คุณสามารถบล็อกหรืออนุญาตการรับส่งข้อมูลตามเกณฑ์ที่กำหนด
- บล็อกการเข้าถึงเราเตอร์โดยไม่ได้รับอนุญาต:
อย่าลืมจำกัดการเข้าถึงเราเตอร์จากภายนอกเครือข่ายท้องถิ่นของคุณ โดยทั่วไปจะทำได้โดยการบล็อกพอร์ตการจัดการ เช่น 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) และ 8291 (Winbox)
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. ป้องกันการโจมตีทั่วไป:
ใช้กฎเพื่อปกป้องเครือข่ายของคุณจากการโจมตีทั่วไป เช่น SYN Flood, ICMP Flood และการสแกนพอร์ต
การโจมตีน้ำท่วม SYN
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
การโจมตีน้ำท่วม ICMP
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. อนุญาตการรับส่งข้อมูลที่จำเป็น:
กำหนดค่ากฎเพื่ออนุญาตการรับส่งข้อมูลที่ถูกต้องซึ่งจำเป็นสำหรับเครือข่ายของคุณ ซึ่งรวมถึงการรับส่งข้อมูลภายในและการรับส่งข้อมูลเข้าและออกจากอินเทอร์เน็ตตามความต้องการเฉพาะของคุณ
สมมติว่าคุณต้องการอนุญาตให้เข้าถึง SSH จากเครือข่ายท้องถิ่นของคุณเท่านั้น:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. วางสิ่งอื่นทั้งหมด:
ตามหลักปฏิบัติด้านความปลอดภัย การรับส่งข้อมูลใดๆ ที่ไม่ได้รับอนุญาตอย่างชัดเจนก่อนหน้านี้ควรถูกบล็อก โดยทั่วไปจะทำในตอนท้ายของกฎตัวกรองไฟร์วอลล์ของคุณ โดยมีกฎที่ปฏิเสธหรือตัดการรับส่งข้อมูลอื่นๆ ทั้งหมด
ควรวางกฎนี้ไว้ที่ส่วนท้ายของกฎตัวกรองเพื่อทำหน้าที่เป็นนโยบายการปฏิเสธเริ่มต้น
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (การแปลที่อยู่เครือข่าย)
โดยทั่วไป NAT ใช้เพื่อแปลที่อยู่ IP ส่วนตัวบนเครือข่ายท้องถิ่นของคุณเป็นที่อยู่ IP สาธารณะสำหรับการเข้าถึงอินเทอร์เน็ต
- สวมหน้ากาก:
- ใช้การกระทำ
masquerade
ในห่วงโซ่srcnat
เพื่ออนุญาตให้อุปกรณ์หลายเครื่องบนเครือข่ายท้องถิ่นของคุณแบ่งปันที่อยู่ IP สาธารณะสำหรับการเข้าถึงอินเทอร์เน็ต นี่เป็นสิ่งจำเป็นสำหรับเครือข่ายที่เข้าถึงอินเทอร์เน็ตผ่านการเชื่อมต่อบรอดแบนด์ด้วย IP สาธารณะเดียว
- ใช้การกระทำ
- DNAT สำหรับบริการภายใน:
- หากคุณต้องการเข้าถึงบริการภายในจากภายนอกเครือข่ายของคุณ คุณสามารถใช้ Destination NAT (DNAT) เพื่อเปลี่ยนเส้นทางการรับส่งข้อมูลขาเข้าไปยัง IP ส่วนตัวที่เกี่ยวข้อง ตรวจสอบให้แน่ใจว่าคุณทำเช่นนี้สำหรับบริการที่จำเป็นเท่านั้น และพิจารณาผลกระทบด้านความปลอดภัย
ข้อควรพิจารณาด้านความปลอดภัยอื่นๆ
- การอัปเดตซอฟต์แวร์:
- อัปเดตเราเตอร์ MikroTik ของคุณด้วย RouterOS และเฟิร์มแวร์เวอร์ชันล่าสุดอยู่เสมอ เพื่อป้องกันช่องโหว่ที่ทราบ
- ความปลอดภัยชั้นที่ 7:
- สำหรับการรับส่งข้อมูลเฉพาะแอปพลิเคชัน คุณสามารถกำหนดค่ากฎเลเยอร์ 7 เพื่อบล็อกหรืออนุญาตการรับส่งข้อมูลตามรูปแบบในแพ็กเก็ตข้อมูล
- ข้อจำกัดช่วงที่อยู่ IP:
- จำกัดการเข้าถึงบริการเราเตอร์บางอย่างเฉพาะช่วงที่อยู่ IP ที่ระบุเท่านั้น ซึ่งจะช่วยลดความเสี่ยงของการเข้าถึงโดยไม่ได้รับอนุญาต
โปรดจำไว้ว่านี่เป็นเพียงแนวทางทั่วไปเท่านั้น การกำหนดค่าไฟร์วอลล์เฉพาะของคุณควรอิงตามการประเมินความต้องการด้านความปลอดภัย นโยบายเครือข่าย และข้อพิจารณาด้านประสิทธิภาพโดยละเอียด นอกจากนี้ ขอแนะนำให้ทำการทดสอบความปลอดภัยของเครือข่ายเป็นประจำเพื่อระบุและบรรเทาช่องโหว่ที่อาจเกิดขึ้น
ไม่มีแท็กสำหรับโพสต์นี้
2 ความคิดเห็นเกี่ยวกับ “กฎเกณฑ์ที่เราเตอร์ MikroTik ทุกตัวควรมีในตัวกรองไฟร์วอลล์, nat ฯลฯ คืออะไร”
ข้อมูลในส่วนนี้ห่วยมาก คิดว่าคงได้ข้อมูลละเอียดมาก แต่จริงๆ แล้วแทบไม่มีอะไรให้ค้นหาในอินเทอร์เน็ตต่อเลย
โฮเซ่ ความคิดเห็นของคุณถูกต้องมาก ดังนั้นฉันจึงได้ขยายและปรับปรุงเอกสารประกอบต่อไป
ฉันซาบซึ้งกับความคิดเห็นของคุณเป็นอย่างมาก และหวังว่าตอนนี้คงจะคลายข้อสงสัยของคุณได้แล้ว