Việc định cấu hình chính xác tường lửa trên bộ định tuyến MikroTik là điều cần thiết để bảo vệ mạng của bạn khỏi bị truy cập trái phép và các loại mối đe dọa bảo mật khác. Mặc dù các quy tắc cụ thể có thể khác nhau tùy theo nhu cầu và cấu hình của từng mạng nhưng có một số quy tắc và nguyên tắc chung nhất định được khuyến nghị cho hầu hết các môi trường.
Dưới đây là một số quy tắc và phương pháp hay nhất cho bộ lọc tường lửa, NAT và các phần cấu hình có liên quan khác trong MikroTik RouterOS.
Bộ lọc tường lửa
Mục đích của bộ lọc tường lửa là kiểm soát lưu lượng truy cập đi qua bộ định tuyến, cho phép bạn chặn hoặc cho phép lưu lượng truy cập dựa trên các tiêu chí nhất định.
- Chặn truy cập trái phép vào bộ định tuyến:
Đảm bảo hạn chế quyền truy cập vào bộ định tuyến từ bên ngoài mạng cục bộ của bạn. Điều này thường được thực hiện bằng cách chặn các cổng quản lý, chẳng hạn như 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS) và 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Bảo vệ chống lại các cuộc tấn công thông thường:
Triển khai các quy tắc để bảo vệ mạng của bạn khỏi các cuộc tấn công thông thường, chẳng hạn như lũ SYN, lũ ICMP và quét cổng.
Tấn công lũ SYN
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
Tấn công lũ ICMP
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Cho phép lưu lượng truy cập cần thiết:
Định cấu hình quy tắc để cho phép lưu lượng truy cập hợp pháp cần thiết cho mạng của bạn. Điều này bao gồm lưu lượng truy cập nội bộ và lưu lượng truy cập đến và từ Internet dựa trên nhu cầu cụ thể của bạn.
Giả sử bạn chỉ muốn cho phép truy cập SSH từ mạng cục bộ của mình:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Bỏ mọi thứ khác:
Như một biện pháp bảo mật, mọi lưu lượng truy cập chưa được cho phép rõ ràng trước đó sẽ bị chặn. Điều này thường được thực hiện ở cuối quy tắc lọc tường lửa của bạn với quy tắc từ chối hoặc loại bỏ tất cả lưu lượng truy cập khác.
Quy tắc này phải được đặt ở cuối quy tắc lọc của bạn để hoạt động như chính sách từ chối mặc định.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (Dịch địa chỉ mạng)
NAT thường được sử dụng để dịch các địa chỉ IP riêng tư trên mạng cục bộ của bạn sang địa chỉ IP công cộng để truy cập Internet.
- Giả trang:
- Sử dụng hành động
masquerade
trong chuỗisrcnat
để cho phép nhiều thiết bị trên mạng cục bộ của bạn chia sẻ địa chỉ IP công cộng để truy cập Internet. Điều này rất cần thiết cho các mạng truy cập Internet thông qua kết nối băng thông rộng với một IP công cộng duy nhất.
- Sử dụng hành động
- DNAT cho dịch vụ nội bộ:
- Nếu bạn cần truy cập các dịch vụ nội bộ từ bên ngoài mạng của mình, bạn có thể sử dụng Destination NAT (DNAT) để chuyển hướng lưu lượng truy cập đến các IP riêng tương ứng. Đảm bảo rằng bạn chỉ thực hiện việc này đối với các dịch vụ cần thiết và xem xét các tác động bảo mật.
Những cân nhắc về an toàn khác
- Nâng cấp phần mềm:
- Luôn cập nhật bộ định tuyến MikroTik của bạn với phiên bản RouterOS và chương trình cơ sở mới nhất để bảo vệ khỏi các lỗ hổng đã biết.
- Bảo mật lớp 7:
- Đối với lưu lượng dành riêng cho ứng dụng, bạn có thể định cấu hình quy tắc Lớp 7 để chặn hoặc cho phép lưu lượng truy cập dựa trên các mẫu trong gói dữ liệu.
- Giới hạn phạm vi địa chỉ IP:
- Hạn chế quyền truy cập vào một số dịch vụ bộ định tuyến chỉ trong phạm vi địa chỉ IP cụ thể, do đó giảm nguy cơ truy cập trái phép.
Hãy nhớ rằng đây chỉ là những hướng dẫn chung. Cấu hình tường lửa cụ thể của bạn phải dựa trên đánh giá chi tiết về nhu cầu bảo mật, chính sách mạng và cân nhắc về hiệu suất của bạn. Ngoài ra, nên thực hiện kiểm tra an ninh mạng thường xuyên để xác định và giảm thiểu các lỗ hổng tiềm ẩn.
Không có thẻ cho bài viết này.
2 nhận xét trên “Các quy tắc mà mọi bộ định tuyến MikroTik nên có, trong bộ lọc tường lửa, nat, v.v. là gì?”
Thông tin trong phần này rất nghèo nàn, tôi nghĩ rằng tôi sẽ nhận được thông tin rất chi tiết nhưng thực tế là không có gì để tiếp tục tìm kiếm trên internet
José, nhận xét của bạn rất chính xác nên tôi đã tiến hành mở rộng và cập nhật tài liệu.
Tôi đánh giá rất cao phản hồi của bạn và tôi hy vọng nó sẽ làm sáng tỏ những nghi ngờ của bạn.