Tường lửa không trạng thái

Các quy tắc này không tuân theo trạng thái kết nối và được áp dụng độc lập cho từng gói. Mỗi gói được lọc theo tiêu chí được thiết lập bởi quy tắc, bất kể các kết nối trước đó.

Mặt khác, không trạng thái, không duy trì bảng trạng thái và chỉ kiểm tra các gói riêng lẻ dựa trên địa chỉ nguồn và đích, cổng và tiêu đề giao thức của chúng.

Chúng hoạt động như bộ lọc gói, đưa ra quyết định chỉ dựa trên thông tin có trong mỗi gói.

Sự khác biệt giữa Tường lửa có trạng thái và không trạng thái

Ví dụ về các quy tắc không quốc tịch

Trong MikroTik RouterOS, các quy tắc tường lửa không trạng thái được tạo mà không tính đến trạng thái của các kết nối, nghĩa là chúng được áp dụng bất kể các kết nối trước đó. Dưới đây là một số ví dụ về các quy tắc không trạng thái có thể hữu ích trong một số trường hợp nhất định:

1. Cho phép lưu lượng truy cập từ một địa chỉ IP cụ thể:

   /bộ lọc tường lửa ip thêm chuỗi=forward src-address=192.168.1.100 action=accept

Quy tắc này cho phép lưu lượng truy cập đến từ địa chỉ IP 192.168.1.100 trong chuỗi chuyển tiếp.

2. Cho phép lưu lượng truy cập từ một mạng con cụ thể:

   /bộ lọc tường lửa ip thêm chuỗi=forward src-address=192.168.2.0/24 action=accept

Quy tắc này cho phép lưu lượng truy cập từ mạng con 192.168.2.0/24 trong chuỗi chuyển tiếp.

3. Chặn lưu lượng truy cập đến một địa chỉ IP cụ thể:

   /bộ lọc tường lửa ip thêm chuỗi=forward dst-address=203.0.113.10 action=drop

Quy tắc này chặn tất cả lưu lượng truy cập đến địa chỉ IP 203.0.113.10 trong chuỗi chuyển tiếp.

Đây chỉ là những ví dụ và bạn nên điều chỉnh các quy tắc dựa trên nhu cầu cụ thể và cấu trúc liên kết mạng của mình. Ngoài ra, hãy nhớ rằng các quy tắc này không có trạng thái, vì vậy chúng không tính đến trạng thái của các kết nối trước đó.

Ví dụ về các quy tắc Stateful

Trong MikroTik RouterOS, các quy tắc tường lửa có trạng thái tập trung vào trạng thái kết nối, nghĩa là chúng cho phép hoặc chặn lưu lượng truy cập dựa trên trạng thái kết nối. Dưới đây là một số ví dụ về các quy tắc trạng thái:

1. Cho phép tất cả lưu lượng truy cập đi và các phản hồi liên quan:

   /bộ lọc tường lửa ip thêm chuỗi=chuyển tiếp kết nối-trạng thái=đã thiết lập,hành động liên quan=chấp nhận

Quy tắc này cho phép lưu lượng truy cập là một phần của kết nối được thiết lập hoặc có liên quan trong chuỗi chuyển tiếp.

2. Cho phép lưu lượng truy cập cụ thể từ bên ngoài:

   /bộ lọc tường lửa ip thêm chain=forward in-interface=ether1 Connection-state=new Protocol=tcp dst-port=80 action=accept

Quy tắc này cho phép lưu lượng TCP được gửi đến cổng 80 từ bên ngoài thông qua giao diện ether1 trong chuỗi chuyển tiếp.

3. Chặn lưu lượng truy cập đến không mong muốn:

   /bộ lọc tường lửa ip thêm chuỗi=input Connection-state=new action=drop

Quy tắc này chặn tất cả lưu lượng truy cập đến không phải là một phần của kết nối được thiết lập trong chuỗi đến.

4. Cho phép lưu lượng ICMP đến cho các yêu cầu ping:

   /bộ lọc tường lửa ip thêm chuỗi=input Connection-state=new Protocol=icmp action=accept

Quy tắc này cho phép lưu lượng ICMP đến cho các yêu cầu ping trong chuỗi gửi đến.

5. Chặn lưu lượng đến một cổng cụ thể từ bên ngoài:

   /bộ lọc tường lửa ip thêm chain=input in-interface=ether1 Connection-state=new dst-port=22 action=drop

Quy tắc này chặn lưu lượng truy cập đến cổng 22 (SSH) từ bên ngoài thông qua giao diện ether1 trong chuỗi gửi đến.

Đây chỉ là ví dụ và bạn nên điều chỉnh các quy tắc dựa trên yêu cầu cụ thể và cấu hình mạng của mình. Các quy tắc trạng thái là cần thiết để cho phép lưu lượng truy cập cần thiết và duy trì bảo mật bằng cách chặn lưu lượng không mong muốn.