MikroTik cung cấp chức năng tường lửa bao gồm cả quy tắc Stateful và Stateless. Tường lửa triển khai trạng thái (thông qua theo dõi kết nối) và lọc gói không trạng thái, do đó cung cấp các chức năng bảo mật được sử dụng để quản lý luồng dữ liệu đến, đi và qua bộ định tuyến.
Cùng với tính năng dịch địa chỉ mạng (NAT), nó đóng vai trò như một công cụ ngăn chặn truy cập trái phép vào các mạng được kết nối trực tiếp và vào chính bộ định tuyến, cũng như bộ lọc lưu lượng đi.
Ở cuối bài viết, bạn sẽ tìm thấy một phần nhỏ thử nghiệm điều đó sẽ cho phép bạn đánh giá kiến thức thu được trong bài đọc này
Tường lửa trạng thái
Các quy tắc này tuân theo trạng thái kết nối, nghĩa là tường lửa theo dõi trạng thái của từng kết nối và cho phép lưu lượng truy cập dựa trên trạng thái kết nối. Điều này hữu ích khi cho phép lưu lượng phản hồi trên các kết nối được khởi tạo từ bên trong mạng.
Điều này cho phép họ đưa ra quyết định sáng suốt hơn về việc cho phép hoặc chặn gói nào, tùy thuộc vào bối cảnh kết nối. Ví dụ: tường lửa có trạng thái sẽ cho phép gói phản hồi đi qua gói yêu cầu được phép trước đó, ngay cả khi bản thân gói yêu cầu đó không được bao gồm rõ ràng trong các quy tắc tường lửa.
Stateful cung cấp các lợi ích bảo mật nâng cao vì nó có thể ngăn chặn hiệu quả các nỗ lực truy cập trái phép và bảo vệ khỏi các cuộc tấn công lừa đảo.
Chúng cũng cung cấp khả năng lọc cấp ứng dụng tốt hơn, cho phép bạn kiểm soát những ứng dụng và giao thức nào có thể giao tiếp qua tường lửa.
Tường lửa không trạng thái
Các quy tắc này không tuân theo trạng thái kết nối và được áp dụng độc lập cho từng gói. Mỗi gói được lọc theo tiêu chí được thiết lập bởi quy tắc, bất kể các kết nối trước đó.
Mặt khác, không trạng thái, không duy trì bảng trạng thái và chỉ kiểm tra các gói riêng lẻ dựa trên địa chỉ nguồn và đích, cổng và tiêu đề giao thức của chúng.
Chúng hoạt động như bộ lọc gói, đưa ra quyết định chỉ dựa trên thông tin có trong mỗi gói.
Sự khác biệt giữa Tường lửa có trạng thái và không trạng thái
Característica | tường lửa trạng thái | Tường lửa không trạng thái |
Theo dõi kết nối
| Si | Không |
An ninh
| Cải thiện | Cơ bản |
Lọc cấp độ ứng dụng
| Granular | Có hạn |
Hiệu suất
| Thấp hơn | Cao hơn |
Tiêu thụ tài nguyên
| Cao hơn | Thấp hơn |
Sự phù hợp
| Mạng doanh nghiệp, ứng dụng nhạy cảm | Mạng gia đình, môi trường băng thông cao |
Ví dụ về các quy tắc không quốc tịch
Trong MikroTik RouterOS, các quy tắc tường lửa không trạng thái được tạo mà không tính đến trạng thái của các kết nối, nghĩa là chúng được áp dụng bất kể các kết nối trước đó. Dưới đây là một số ví dụ về các quy tắc không trạng thái có thể hữu ích trong một số trường hợp nhất định:
1. Cho phép lưu lượng truy cập từ một địa chỉ IP cụ thể:
/bộ lọc tường lửa ip thêm chuỗi=forward src-address=192.168.1.100 action=accept
Quy tắc này cho phép lưu lượng truy cập đến từ địa chỉ IP 192.168.1.100 trong chuỗi chuyển tiếp.
2. Cho phép lưu lượng truy cập từ một mạng con cụ thể:
/bộ lọc tường lửa ip thêm chuỗi=forward src-address=192.168.2.0/24 action=accept
Quy tắc này cho phép lưu lượng truy cập từ mạng con 192.168.2.0/24 trong chuỗi chuyển tiếp.
3. Chặn lưu lượng truy cập đến một địa chỉ IP cụ thể:
/bộ lọc tường lửa ip thêm chuỗi=forward dst-address=203.0.113.10 action=drop
Quy tắc này chặn tất cả lưu lượng truy cập đến địa chỉ IP 203.0.113.10 trong chuỗi chuyển tiếp.
Đây chỉ là những ví dụ và bạn nên điều chỉnh các quy tắc dựa trên nhu cầu cụ thể và cấu trúc liên kết mạng của mình. Ngoài ra, hãy nhớ rằng các quy tắc này không có trạng thái, vì vậy chúng không tính đến trạng thái của các kết nối trước đó.
Ví dụ về các quy tắc Stateful
Trong MikroTik RouterOS, các quy tắc tường lửa có trạng thái tập trung vào trạng thái kết nối, nghĩa là chúng cho phép hoặc chặn lưu lượng truy cập dựa trên trạng thái kết nối. Dưới đây là một số ví dụ về các quy tắc trạng thái:
1. Cho phép tất cả lưu lượng truy cập đi và các phản hồi liên quan:
/bộ lọc tường lửa ip thêm chuỗi=chuyển tiếp kết nối-trạng thái=đã thiết lập,hành động liên quan=chấp nhận
Quy tắc này cho phép lưu lượng truy cập là một phần của kết nối được thiết lập hoặc có liên quan trong chuỗi chuyển tiếp.
2. Cho phép lưu lượng truy cập cụ thể từ bên ngoài:
/bộ lọc tường lửa ip thêm chain=forward in-interface=ether1 Connection-state=new Protocol=tcp dst-port=80 action=accept
Quy tắc này cho phép lưu lượng TCP được gửi đến cổng 80 từ bên ngoài thông qua giao diện ether1 trong chuỗi chuyển tiếp.
3. Chặn lưu lượng truy cập đến không mong muốn:
/bộ lọc tường lửa ip thêm chuỗi=input Connection-state=new action=drop
Quy tắc này chặn tất cả lưu lượng truy cập đến không phải là một phần của kết nối được thiết lập trong chuỗi đến.
4. Cho phép lưu lượng ICMP đến cho các yêu cầu ping:
/bộ lọc tường lửa ip thêm chuỗi=input Connection-state=new Protocol=icmp action=accept
Quy tắc này cho phép lưu lượng ICMP đến cho các yêu cầu ping trong chuỗi gửi đến.
5. Chặn lưu lượng đến một cổng cụ thể từ bên ngoài:
/bộ lọc tường lửa ip thêm chain=input in-interface=ether1 Connection-state=new dst-port=22 action=drop
Quy tắc này chặn lưu lượng truy cập đến cổng 22 (SSH) từ bên ngoài thông qua giao diện ether1 trong chuỗi gửi đến.
Đây chỉ là ví dụ và bạn nên điều chỉnh các quy tắc dựa trên yêu cầu cụ thể và cấu hình mạng của mình. Các quy tắc trạng thái là cần thiết để cho phép lưu lượng truy cập cần thiết và duy trì bảo mật bằng cách chặn lưu lượng không mong muốn.
Bài kiểm tra kiến thức tóm tắt
Bạn nghĩ gì về bài viết này?
Bạn có dám đánh giá kiến thức đã học của mình không?
Cuốn sách được đề xuất cho bài viết này
Sách kiểm soát lưu lượng nâng cao, RouterOS v7
Tài liệu học Khóa học Chứng chỉ MTCTCE, cập nhật lên RouterOS v7