Konfigurálása szűrés forgalom MikroTik

előzőa következő

„Hálózati biztonság magas, és hagyja, hogy.”
A kifejezés az interneten található

Megalakulása óta az internet nőtt sokszor. Szintén növelte többször hálózatok olyan tényezőket, mint a biztosított forrásokat, az információcsere, a kapcsolat sebességét, a sebesség. Azonban a növekedés az ásványi erőforrások, sokszor fokozott kockázata információk ellopása, az erőforrás visszaélés és más opasnosti.Takim minden rendszergazda arcok naponta erőforrások védelmére kiszolgált.

Jellemzői a tűzfal

Az alapvető megértése a tűzfalat úgy megismerjék a fogalmak lánc (lánc), a kapcsolat állapotát (kapcsolat állapotát), a feltételeket és műveleteket (akció).

Amikor szűri a forgalmat, attól függően, hogy a cél beleesik az egyik lánc (lánc) forgalmat feldolgozó. Az előre definiált szűrő három nagy láncok:

  • bemenet bejövő forgalmat szánt router. Például, amikor a felhasználó csatlakozik a router egy WinBox alkalmazás forgalmának egyre csak ebben a láncban.
  • A kimenő forgalom kimenet. Által generált forgalom a router maga. Például, ha futtatja a ping parancsot közvetlenül a router, a forgalom esik ebbe a láncba.
  • előremenő forgalom megy át a router. Például, ha a számítógépet a helyi hálózaton létesített kapcsolatot egy külső helyszínen, a forgalom kap az előre láncban.

Látjuk tehát, hogy szükség van az input láncon, hogy megvédje a router maga. valamint a környezetvédelem és szűrő közötti forgalmat hálózatok használata szükséges az előre lánc.

Ezen túlmenően, a rendszergazda képes létrehozni saját forgalmat feldolgozó lánc, amely elérhető a fő láncban. Ezt a lehetőséget figyelembe kell venni a jövőben.

A kapcsolat állapot (kapcsolat állapotát)

Mind a hálózati kapcsolatok MikroTik valamelyikébe tartoznak négy feltétel:

  • Új - Új kapcsolat. A csomag, amely megnyit egy új kapcsolatot, semmilyen módon nem kapcsolódik a meglévő hálózati kapcsolatok feldolgozása jelenleg folyamatban van a router.
  • Alapítva - egy meglévő kapcsolatot. Packet már létrejött kapcsolat, jelenleg folyamatban van a router.
  • Kapcsolódó - rokon vegyületek. A csomag, amely társítva van egy meglévő kapcsolatot, de nem része. Például, egy csomag, amely elindítja az adatátviteli kapcsolat FTP-munkamenet (ez lesz társítva kontroll vegyület FTP), vagy az ICMP csomag tartalmaz egy hiba, válaszként küldött egy másik vegyületté.
  • Érvénytelen - A router nem kapcsolódik a csomagot a fentiek feltételeit.

A fentiek alapján azt láthatjuk, hogy egy jó csomagszűrő konfigurációs lehetőség van a következő feltételrendszer:

  1. Feldolgozni az új csatlakozó (state = új), és úgy döntött, hogy át vagy blokk forgalmat.
  2. Mindig hiányzik a kapcsolat hozható létre az állam és az ahhoz kapcsolódó, a döntést, hogy lehetővé tegye az áthaladást a forgalom tette a feldolgozási szakaszban egy új kapcsolatot.
  3. Mindig blokkolja a forgalmat, amely a kapcsolat állapotát is érvénytelen, mert a forgalom nem tartozik sem a vegyületek és tulajdonképpen egy parazita.

Amikor áthalad a szűrő csomag, a router egymás után ellenőrzi a csomag meghatározott feltételek a szabályokat, az első található. és következetesen ellenőrizni csomagok szabályainak betartását a szám kettő, három és így tovább, amíg a következő két esemény:

  1. A csomag megfelel a megadott feltétel. Ebben a munkában a megfelelő szabályt, amelynek ebben az állapotban van állítva, akkor a csomag feldolgozása befejeződött.
  2. Ez fut az összes feltételét és a csomag megfelelőnek találták ezek közül bármelyik. Ugyanakkor ez gyárilag fogják hárítani.

Alapján 2. igénypont meg kell jegyezni, hogy két stratégiák építésére csomagszűrő:

  1. Alaphelyzetben nyitott tűzfal. Ez a fajta konfiguráció lehet meghatározni, mint „minden megengedett, ami nem tilos.” Ebben az esetben nem engedi az csak bizonyos típusú forgalmat. Ha a csomag nem felel meg ez a fajta - ez kimarad. Normális esetben ez a típusú tűzfal jellemző helyeken, ahol nem magas követelményeket támasztanak a felhasználók biztonságát, és a forgalom is igen változatos, és nem lehet kemény készségek. Ez a konfiguráció jellemző szolgáltatók (ISP), nyilvános hozzáférési pontok, otthoni routerek.
  2. Alapállapotban zárt tűzfalat. Ez a típusú konfiguráció lehet meghatározni, mint „minden tilos, ami nem megengedett.” Ugyanakkor lehetővé tette a folyosón csak bizonyos típusú forgalmat, és az utolsó szabály a tűzfal szabály tiltja az áthaladást bármilyen típusú forgalmat. Ez a fajta tűzfal konfigurációja jellemző vállalati használatra, ahol szigorú biztonsági követelményeknek.

Azt nem mondhatjuk, hogy néhány stratégia a helyes és mi a rossz. Mindkét stratégia van az élethez, de minden - bizonyos feltételek mellett.

Most kérjük, írja le részletesen minden variációját a feltételeket, amelyek alapján meg tudjuk dönteni az ügyben.

előzőa következő