Ṣiṣe atunto ogiriina ni deede lori olulana MikroTik jẹ pataki lati daabobo nẹtiwọọki rẹ lati iraye si laigba aṣẹ ati awọn iru awọn irokeke aabo miiran. Botilẹjẹpe awọn ofin kan pato le yatọ si da lori awọn iwulo ati iṣeto ti nẹtiwọọki kọọkan, awọn ofin gbogbogbo ati awọn ipilẹ wa ti a ṣeduro fun ọpọlọpọ awọn agbegbe.
Ni isalẹ wa diẹ ninu awọn ofin ati awọn iṣe ti o dara julọ fun àlẹmọ ogiriina, NAT, ati awọn apakan iṣeto ni ibamu miiran ni MikroTik RouterOS.
FirewallFilter
Idi ti àlẹmọ ogiriina ni lati ṣakoso ijabọ ti o kọja nipasẹ olulana, gbigba ọ laaye lati dina tabi gba laaye ijabọ ti o da lori awọn ibeere kan.
- Dina wiwọle laigba aṣẹ si olulana:
Rii daju lati ni ihamọ wiwọle si olulana lati ita nẹtiwọki agbegbe rẹ. Eyi jẹ deede nipasẹ didi awọn ibudo iṣakoso, bii 22 (SSH), 23 (Telnet), 80 (HTTP), 443 (HTTPS), ati 8291 (Winbox).
/ip firewall filter
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=22 comment="Bloquear acceso SSH externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=23 comment="Bloquear acceso Telnet externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=80 comment="Bloquear acceso HTTP externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=443 comment="Bloquear acceso HTTPS externo"
add action=drop chain=input in-interface=ether1 protocol=tcp dst-port=8291 comment="Bloquear acceso Winbox externo"
2. Dabobo lodi si awọn ikọlu ti o wọpọ:
Ṣiṣe awọn ofin lati daabobo nẹtiwọki rẹ lọwọ awọn ikọlu ti o wọpọ, gẹgẹbi iṣan omi SYN, iṣan omi ICMP, ati wíwo ibudo.
SYN Ìkún Kọlu
/ip firewall filter
add action=add-src-to-address-list address-list="syn_flooders" address-list-timeout=1d chain=input connection-state=new dst-limit=30,60,src-address/1m protocol=tcp tcp-flags=syn comment="Detectar SYN flood"
add action=drop chain=input src-address-list="syn_flooders" comment="Bloquear SYN flooders"
ICMP Ìkún Kọlu
/ip firewall filter
add action=add-src-to-address-list address-list="icmp_flooders" address-list-timeout=1d chain=input protocol=icmp limit=10,20 comment="Detectar ICMP flood"
add action=drop chain=input protocol=icmp src-address-list="icmp_flooders" comment="Bloquear ICMP flooders"
3. Gba laaye ijabọ pataki:
Ṣe atunto awọn ofin lati gba ijabọ abẹfẹlẹ pataki fun nẹtiwọọki rẹ. Eyi pẹlu ijabọ inu ati ijabọ si ati lati Intanẹẹti ti o da lori awọn iwulo pato rẹ.
A ro pe o fẹ gba wiwọle SSH nikan lati nẹtiwọki agbegbe rẹ:
/ip firewall filter
add action=accept chain=input protocol=tcp dst-port=22 src-address=192.168.1.0/24 comment="Permitir acceso SSH interno"
4. Fi ohun gbogbo silẹ:
Gẹgẹbi iṣe aabo, eyikeyi ijabọ ti ko gba laaye ni gbangba tẹlẹ yẹ ki o dina. Eyi ni igbagbogbo ṣe ni ipari awọn ofin àlẹmọ ogiriina rẹ pẹlu ofin ti o kọ tabi ju gbogbo awọn ijabọ miiran silẹ.
Ofin yii yẹ ki o gbe ni opin awọn ofin àlẹmọ rẹ lati ṣe bi eto imulo sẹ aiyipada.
/ip firewall filter
add action=drop chain=input comment="Descartar el resto de tráfico no permitido"
NAT (Itumọ Adirẹsi Nẹtiwọọki)
NAT jẹ lilo nigbagbogbo lati tumọ awọn adirẹsi IP ikọkọ lori nẹtiwọọki agbegbe rẹ si adiresi IP ti gbogbo eniyan fun iraye si Intanẹẹti.
- Paja:
- Lo igbese naa
masquerade
ninu pqsrcnat
lati gba awọn ẹrọ pupọ laaye lori nẹtiwọọki agbegbe rẹ lati pin adiresi IP ti gbogbo eniyan fun iraye si Intanẹẹti. Eyi ṣe pataki fun awọn nẹtiwọọki ti o wọle si Intanẹẹti nipasẹ ọna asopọ gbohungbohun pẹlu IP ti gbogbo eniyan kan.
- Lo igbese naa
- DNAT fun awọn iṣẹ inu:
- Ti o ba nilo lati wọle si awọn iṣẹ inu lati ita nẹtiwọki rẹ, o le lo Nla NAT (DNAT) lati ṣe atunṣe ijabọ ti nwọle si awọn IPs ikọkọ ti o baamu. Rii daju pe o ṣe eyi nikan fun awọn iṣẹ to ṣe pataki ki o gbero awọn ilolu aabo.
Awọn imọran Aabo miiran
- Awọn imudojuiwọn sọfitiwia:
- Jeki olulana MikroTik rẹ ni imudojuiwọn pẹlu ẹya tuntun ti RouterOS ati famuwia lati daabobo lodi si awọn ailagbara ti a mọ.
- Layer 7 Aabo:
- Fun ijabọ-pato ohun elo, o le tunto awọn ofin Layer 7 lati dènà tabi gba awọn ijabọ ti o da lori awọn ilana ni awọn apo data.
- Idiwọn IP Adirẹsi Range:
- Ṣe ihamọ iraye si awọn iṣẹ olulana kan si awọn sakani adiresi IP kan pato, nitorinaa idinku eewu wiwọle laigba aṣẹ.
Ranti pe iwọnyi jẹ awọn itọnisọna gbogbogbo nikan. Iṣeto ogiriina kan pato yẹ ki o da lori igbelewọn alaye ti awọn iwulo aabo rẹ, awọn ilana nẹtiwọọki, ati awọn ero ṣiṣe. Ni afikun, o ni imọran lati ṣe idanwo aabo nẹtiwọki nigbagbogbo lati ṣe idanimọ ati dinku awọn ailagbara ti o pọju.
Ko si awọn afi fun ifiweranṣẹ yii.
Awọn asọye 2 lori “Kini awọn ofin ti gbogbo olulana MikroTik yẹ ki o ni, ni àlẹmọ ogiriina, nat, ati bẹbẹ lọ?”
Alaye ti o wa ni apakan yii ko dara pupọ, Mo ro pe Emi yoo gba alaye alaye pupọ ṣugbọn daradara ko si nkankan lati tẹsiwaju wiwa lori intanẹẹti
José, asọye rẹ jẹ deede, nitorinaa Mo ti tẹsiwaju lati faagun ati ṣe imudojuiwọn awọn iwe.
Mo dupẹ lọwọ esi rẹ pupọ ati pe Mo nireti pe o sọ awọn iyemeji rẹ kuro ni bayi.