مقالات, میکروتیک

Firewall در میکروتیک

Firewall در میکروتیک
۰۷ اردیبهشت

Firewall در میکروتیک

حتما برای شما هم پیش آمده که در مباحث پیکربندی و یا آموزش میکروتیک به کلمه firewall برخورد کنید. شاید از خودتان پرسیده باشید که فایروال چه زمانی کاربرد دارد؟ و یا چه لزومی برای استفاده از آن وجود دارد؟. در این مطلب قصد داریم با مبحث فایروال آشنا شویم و به نحوه ایجاد آن در میکروتیک بپردازیم پس تا پایان این مطلب با ما همراه باشید.

فایروال (Firewall) چیست؟

به طور کلی فایروال را می‌توان نرم افزار یا سخت افزارهایی نامید که ترافیک ورودی و خروجی به یک کامپیوتر یا یک شبکه را کنترل می‌کنند. فایروال یا دیواره آتش در واقع یک ابزار برای حفظ امنیت دستگاه و یا شبکه است.  شما می‌توانید برای هر فایروال مجموعه‌ای از قوانین را تعریف کنید تا بر اساس آن قواعد از ورود ترافیک‌های خاص به دستگاه یا شبکه جلوگیری کنند.

برای مشاهده تمامی قسمت های آموزش پایه ای میکروتیک کلیک کنید

فایروال در میکروتیک چگونه عمل می‌کند؟

فایروال میکروتیک به عنوان یک ابزار امنیتی شبکه برای جلوگیری از دسترسی غیرمجاز به شبکه‌ها عمل کرده و همین طور امکان ترجمه آدرس شبکه را نیز فراهم می‌کند.

بنابراین در شبکه ای که از روتر میکروتیک در شبکه خود استفاده می‌کند، نمی‌تواند یک روز بدون فایروال میکروتیک سپری کند.

در واقع وظیفه اصلی یک مدیر میکروتیک این است که پس از تکمیل تنظیمات اولیه روتر میکروتیک، فایروال را به همراه مدیریت پهنای باند به درستی حفظ کند. بنابراین یک مدیر میکروتیک باید دانش کافی درباره MikroTik Firewall داشته باشد. این مقاله به شما کمک می‌کند تا در رابطه با مفهوم اولیه فایروال روتر میکروتیک آشنایی لازم را بدست آورید.

فایروال میکروتیک قالبا ترافیک بد را فیلتر می کند و طبق تعریف فایروال باید ترافک خوب را بپذیرد و ترافیک بد را نادیده گرفته و قبول نکند. این ترافیک خوب و بد در حال انجام یک رویداد از سه رویداد زیر در میکروتیک اتفاق می افتد:

  1. یا ترافیک وارد روتر میکروتیک می شود
  2. یا ترافیک از روتر میکروتیک خارج می شود
  3. و یا ترافیک از روتر میکروتیک عبور میکند

جلوگیری از ترافیک نامناسب در میکروتیک

مدیران میکروتیک هیشه انتظار دارند تا ترافیک مناسب و خوبی برای ورود و عبور از روتر میکروتیک ما کسب کنند. اما واقعیت همیشه به این سادگی نیست. ما همیشه باید با ترافیک بد مبارزه کنیم. زمانی که یک شبکه محلی به شبکه‌های عمومی متصل است ، همیشه این تهدید وجود دارد که فردی از خارج از شبکه محلی به شبکه شما نفوذ کند. این شکست امنیتی ممکن است باعث دزدیده شدن و توزیع داده های خصوصی ، تغییر یا ازبین بردن داده های ارزشمند و همچنین پاک شدن کل هارد دیسک شود.

فایروال میکروتیک برای به حداقل رساندن و جلوگیری از این نوع خطرات در این شرایط به کار می رود. فایروال میکروتیک دارای بسیاری از همین ویزگی ها و همینطور قابلیت پنهان سازی است که به پنهان کردن شبکه خصوصی شما از ورود ترافیک بد خارجی کمک می‌کند. ویژگی‌های کلیدی فایروال میکروتیک قادر به بازرسی بسته‌های شبکه ، شناسایی پروتکل Layer7 و فیلتر کردن پروتکل های نظیر به نظیر است

حتما بخوانید >> آموزش فایروال در میکروتیک (قسمت اول)

فایروال میکروتیک همچنین قادر است ترافیک شبکه را بر اساس آدرس MAC منبع ، آدرس IP ، پورت یا محدوده پورت ، پروتکل های IP ، رابط بسته ارسالی یا خروجی ، محتوای بسته ، اندازه بسته ، زمان رسیدن بسته و موارد دیگر طبقه بندی کند.

به طور پیش فرض mikrotik firewall به تمام ترافیک هایی که وارد روتر شما می‌شوند یا از روتر شما عبور می‌کنند ، اجازه می‌دهد.به این منظور که روتر میکروتیک به عنوان یک فایروال باز عمل می‌کند که در آن هیچ مانعی وجود ندارد و همه ترافیک‌ها به عنوان ترافیک خوب در نظر گرفته می‌شود. با این حال اگر احساس می کنید ترافیک بدی وجود دارد  باید آن را مسدود کنید میتوانید از قانون فایروال میکروتیک استفاده کنید.

قانون فایروال میکروتیک چیست؟

قانون فایروال میکروتیک چیزی نیست به جز یک عبارت معنادار که برای اجازه دادن بخ ترافیک خوب یا مسدود کردن ترافیک بد بکار می رود. در حقیقت فایروال میکروتیک بر اساس قانون دیواره آتش کار می کند. در این قانون دو بخش وجود دارد:

  • تطبیق یا بخش شرطی جریان ترافیک را در برابر هر شرایط داده شده بررسی می کند.
  • بخش اقدام تصمیم میگیرد تا هر فعالیتی را با شرایط مطابقت انجام دهد.

حتما بخوانید >> آموزش فایروال در میکروتیک (قسمت دوم)

شرایط موجود در قانون فایروال میکروتیک

بخش شرطی یک قانون فایروال مقادیر مختلفی را می‌گیرد که برای اعمال هر قانون فایروال مطابقت دارند. اگر با نرم افزار winbox  به دنبال دستورالعمل IP> Firewall > Filter Rules بروید و بر روی علامت (+) کلیک کنید تا یک قانون فایروال جدید ایجاد کنید ، زبانه های General، Advanced و Extra را خواهید دید که ترکیبی از شرایط فایروال را ایجاد می‌کنند. بسیاری از گزینه ها یا پارامترهای ویژگی در بخش شرطی فایروال میکروتیک در دسترس هستند. بسیاری از گزینه‌های دارایی خود به خود تعریف می‌شوند، اما در این میان پارامتر زنجیره پیچیدگی های بسیاری را برای یک مدیر میکروتیک جدید ایجاد می‌کند.

دارایی‌های زنجیره‌ای:

در قانون فایروال میکروتیک سه زنجیره از پیش تعریف شده وجود دارد. این سه زنجیره به شرح زیر است.

ورودی:

بسته‌هایی را که وارد روتر میکروتیک شما می‌شوند پردازش می‌کند. این بسته ها ممکن است از طریق هر رابط روتر شما وارد شوند. بنابراین هر بسته ای که با روتر میکروتیک شما می آید و حاوی آدرس IP رابط میکروتیک به عنوان آدرس IP مقصد است . توسط زنجیره ورودی پردازش می شود. به طور خلاصه هنگامی که روتر میکروتیک مقصد است ، به عنوان فعالیت زنجیره ورودی پردازش می‌شود.

مثال

برای مثال اگر شما یا هرکسی بخواهد با SSH یا Winbox به روتر میکروتیک متصل شود یا بخواهید محتوای HTTP را مرور کنید ، آدرس IP مقصد، آدرس های IP میکروتیک خواهد بود. بنابراین ، این یک فعالیت زنجیره ورودی است و اگر می خواهید پروتکل SSH یا HTTP را مسدود کنید ، باید زنجیره ورودی را در قانون فایروال رعایت کنید.

خروجی

بسته‌هایی را پردازش می‌کند که از روتر میکروتیک شما منشا گرفته است و آن را از طریق یکی از رابط‌های میکروتیک ترک می‌کند. بنابراین ، بسته ای که از روتر شما خارج می‌شود و حاوی آدرس IP رابط به عنوان آدرس IP منبع است توسط زنجیره خروجی پردازش می شود. به طور خلاصه وقتی آدرس روتر میکروتیک آدرس منبع بسته باشد ، به عنوان فعالیت زنجیره خروجی در نظر گرفته می شود.

مثال

برای مثال : اگر هر سرور راه دور را از کنسول میکروتیک خود Ping کند، آدرس  IP منبع آدرس IP میکروتیک شماست. بنابراین این یک فعالیت زنجیره خروجی است.

Forward

فوروارد آن بسته‌هایی را که از روتر میکروتیک شما عبور می‌کند پردازش می‌کند. در این مورد روتر میکروتیک نه منبع است نه مقصد. به طور خلاصه هنگامی که بسته از طریق روتر میکروتیک عبور می‌کند، به عنوان فعالیت زنجیره ای فوروارد در نظر گرفته می‌شود.

مثال

برای مثال هنگامی که کاربر LAN شما هر وبسایتی را مرور می کند، در واقع از روتر میکروتیک شما عبور می کند. در اینجا مقصد وب سرور و منبع آن کاربر LAN شماست. بنابراین، این یک فعالیت زنجیره‌ای فوروارد است. اگر می‌خواهید هر کاربری را که به هیچ وب سروری دسترسی ندارد مسدود کنید ، باید ویژگی فوروارد چین را در قانون فایروال انتخاب کنید.

نمودار زیر نحوه پردازش بسته‌ها در روتر MikroTik شما را نشان می‌دهد که شامل ورودی، خروجی و زنجیره پیشروی می‌شود.

در ادامه مطالب زیر را نیز مطالعه کنید

اقدام در قانون فایروال میکروتیک

بخش اکشن قانون فایروال میکروتیک تعریف می‌کند که با شرایط منطبق چه باید کرد. ویژگی اکشن در برگه Action قرار دارد. که مقادیر زیادی از ویژگی‌های عملکرد خود تعریف شده دارد. به عنوان مثال ، برای رها کردن هر بسته ای ، می‌توانید drop را انتخاب کنید یا برای اجازه دادن به بسته‌ها ، شما همچنین می‌توانید زمانی که در قسمت condition مطابقت دارد ، پذیرش را انتخاب کنید.

حتما بخوانید >> آموزش فیلتر کردن سایت در میکروتیک

معرفی رابط کاربری گرافیکی Mikrotik Firewall

حالا می خواهیم به معرفی رابط کاربری گرافیکی فایروال میکروتیک در نرم افزار Winbox بپردازیم. اگر منوی IP > Firewall را باز کنید هفت تب را در پنجره Firewall window خواهید دید.

  • تب Filter rules حاوی قوانین فایروال است که ترافیک میکروتیک را مسدود یا مجاز می‌کند. Filter rules یک به یک بررسی می‌شوند و اگر قوانینی با هر شرطی مطابقت داشته باشد، قوانین زیر برای آن شرط اعمال نمی‌شود.
مثال

برای مثال : اگر یوتیوب را برای همه کاربران مسدود کردید اما قصد دارید به یک کاربر خاص اجازه دهید، قانون مجوز باید قبل از قانون مسدود شدن قرار بگیرد. در غیر این صورت کاربر مجاز تحت قانون مسدود شدن قرار می‌گیرد.

  • صفحه NAT حاوی قوانینی است که مربوط  به ترجمه آدرس مبدا یا آدرس مقصد و همچنین ارسال پورت می‌شود.
مثال

به عنوان مثال فرض کنید که یک وب سرور در LAN خود دارید و می خواهید از خارج شبکه محلی خود به این سرور دسترسی داشته باشید. سپس باید یک قانون NAT مقصد ایجاد کنید تا از خارج شبکه محلی به وب سرور خود دسترسی داشته باشید. هنگام ایجاد قانون masquerade در پیکربندی اولیه روتر میکروتیک تب NAT نیز برای شما آشنا خواهد بود.

  • صفحه Mangle شامل قوانینی است که برای علامت گذاری هر بسته برای استفاده بیشتر مانند تصمیم‌گیری ، مسیریابی مختلف، مسدود کردن صفحات خاص و یا موارد دیگر استفاده می‌شود.
  • تب Address Lists شامل گروهی از لیست های آدرس است که در زمان ایجاد قوانین فایروال مانند قانون فیلتر یا قانون NAT استفاده می‌شود.
  • صفحه پروتکل های Layer7 شامل لیستی از عبارات منظم Layer7 است که برای مسدود کردن یا اجازه دادن به سرویس Layer7 به قانون فایروال استفاده می‌شود.
خدمات و تجهیزات شبکه

از آنجایی که امروزه اکثر کسب و کارها آنلاین است. اینترنت پرسرعت نیز به یکی از نیازهای اساسی بشر تبدیل شده و بخش جدایی ناپذیری از زندگی روزمره همه ما است. از خرید آنلاین گرفته تا انجام کارهای بانکی و اداری ، پرداخت قبوض، سفارش غذا و غیره همه و همه نیاز به یک اینترنت پرقدرت و بی وقفه دارد. شبکه دیده بان ارائه کننده انواع خدمات شبکه اعم از فروش تجهیزات شبکه ، تعمیرات و نصب و کانفیگ با بیش از 10 سال سابقه می‌باشد.

تلفن تماس : 20  21  9100 – 021

سایت های شبکه دیده بان :
برچسب ها:
, ,
جدیدتر چرا قابلیت دید در شب EXIR از IR بهتر است؟
بازگشت به لیست
قدیمی تر آموزش پیکربندی Bridge در میکروتیک

مطالب مرتبط

    دیدگاهتان را بنویسید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *