Tường lửa MikroTik hoạt động như một công cụ bảo mật mạng để ngăn chặn truy cập trái phép vào mạng cũng như cung cấp chức năng Dịch địa chỉ mạng. Vì vậy, một quản trị viên mạng đang sử dụng Bộ định tuyến MikroTik trong mạng của mình không thể đi một ngày mà không có Tường lửa MikroTik. Trên thực tế, nhiệm vụ chính của quản trị viên MikroTik là duy trì Tường lửa đúng cách cùng với quản lý Băng thông sau khi hoàn thành cấu hình cơ bản Bộ định tuyến MikroTik . Vì vậy, một quản trị viên MikroTik cần có đủ kiến thức về Tường lửa MikroTik và vì vậy bài viết này được thiết kế để thảo luận về khái niệm cơ bản về Tường lửa Bộ định tuyến MikroTik.
Tường lửa MikroTik
Tường lửa MikroTik chủ yếu lọc lưu lượng tốt hoặc lưu lượng xấu và theo định nghĩa của tường lửa, nó sẽ cho phép lưu lượng tốt và từ chối lưu lượng xấu. Lưu lượng tốt và xấu này đang thực hiện một sự kiện trong số ba sự kiện sau trong Bộ định tuyến MikroTik.
- Lưu lượng truy cập đang đi vào Bộ định tuyến MikroTik,
- Lưu lượng đang rời khỏi Bộ định tuyến MikroTik hoặc
- Lưu lượng đang đi qua Bộ định tuyến MikroTik.
Các quản trị viên MikroTik như bạn và tôi luôn mong đợi có được lưu lượng truy cập tốt vào và đi từ Bộ định tuyến MikroTik của chúng tôi. Nhưng thực tế không phải lúc nào cũng như vậy. Chúng ta phải luôn luôn chiến đấu chống lại buôn bán xấu. Khi một mạng cục bộ được kết nối với các mạng công cộng, luôn có mối đe dọa rằng ai đó từ bên ngoài mạng cục bộ của bạn sẽ đột nhập vào mạng cục bộ của bạn. Lỗi bảo mật này có thể khiến dữ liệu riêng tư bị đánh cắp và phân tán, dữ liệu có giá trị bị thay đổi hoặc hủy hoặc toàn bộ ổ đĩa cứng bị xóa. Tường lửa MikroTik được sử dụng để ngăn chặn hoặc giảm thiểu các loại rủi ro bảo mật này. MikroTik Firewall có rất nhiều tính năng tường lửa cũng như khả năng giả mạo giúp ẩn mạng riêng của bạn khỏi lưu lượng truy cập xấu từ bên ngoài.
Các tính năng chính của Tường lửa MikroTik là có thể kiểm tra gói mạng, phát hiện giao thức Lớp 7 và lọc giao thức ngang hàng. Tường lửa MikroTik cũng có khả năng phân loại lưu lượng mạng theo địa chỉ MAC nguồn, địa chỉ IP, cổng hoặc phạm vi cổng, giao thức IP, giao diện gói đến hoặc đi qua, nội dung gói, kích thước gói, thời gian gói đến, v.v.
Theo mặc định, Tường lửa MikroTik cho phép tất cả lưu lượng truy cập vào bộ định tuyến của bạn, rời khỏi bộ định tuyến hoặc đi qua bộ định tuyến của bạn. Điều đó có nghĩa là, ban đầu MikroTik Router hoạt động như một tường lửa mở, nơi không có rào cản và tất cả các lưu lượng được coi là lưu lượng tốt. Vì vậy, nếu bạn cảm thấy bất kỳ lưu lượng truy cập nào là xấu và cần chặn nó, bạn phải áp dụng Quy tắc tường lửa MikroTik.
Quy tắc tường lửa MikroTik là gì?
Quy tắc tường lửa MikroTik không có gì khác ngoài một tuyên bố có ý nghĩa được sử dụng để cho phép lưu lượng truy cập tốt hoặc chặn lưu lượng truy cập xấu. Trên thực tế, MikroTik Firewall hoạt động dựa trên quy tắc tường lửa. Sau đó, quy tắc tường lửa là gì? Có hai phần trong quy tắc Tường lửa.
- Bộ đối sánh hoặc phần có điều kiện kiểm tra luồng lưu lượng dựa trên bất kỳ điều kiện nhất định nào và
- Phần hành động đưa ra quyết định thực hiện bất kỳ hoạt động nào với điều kiện phù hợp.
Điều kiện trong Quy tắc tường lửa MikroTik
Phần có điều kiện của quy tắc tường lửa nhận các giá trị thuộc tính khác nhau sẽ được khớp để áp dụng bất kỳ quy tắc tường lửa nào. Nếu bạn truy cập Tường lửa MikroTik bằng phần mềm winbox theo hướng dẫn IP > Tường lửa > Quy tắc bộ lọc và nhấp vào KÝ CỘNG (+) để tạo quy tắc tường lửa mới, bạn sẽ tìm thấy các tab Chung , Nâng cao và Bổ sung kết hợp tạo điều kiện tường lửa. Rất nhiều tùy chọn thuộc tính hoặc tham số có sẵn trong phần điều kiện của Tường lửa MikroTik. Hầu hết các tùy chọn thuộc tính đều được tự xác định nhưng trong số này, tham số chuỗi gây nhiều phức tạp cho quản trị viên MikroTik mới. Nhưng nó không quá phức tạp nếu bạn cố gắng hiểu sâu.
Thuộc tính chuỗi
Có ba chuỗi được xác định trước trong quy tắc Tường lửa MikroTik.
- Đầu vào xử lý các gói đang đi vào Bộ định tuyến MikroTik của bạn. Các gói này có thể đi qua bất kỳ giao diện nào của bộ định tuyến của bạn. Vì vậy, bất kỳ gói nào đến Bộ định tuyến MikroTik của bạn và chứa địa chỉ IP giao diện MikroTik làm địa chỉ IP đích đều được xử lý theo chuỗi đầu vào. Nói tóm lại, khi MikroTik Router là đích đến thì nó được coi là hoạt động của chuỗi đầu vào. Ví dụ: nếu bạn hoặc bất kỳ ai muốn kết nối với Bộ định tuyến MikroTik bằng SSH hoặc Winbox hoặc muốn duyệt nội dung HTTP, địa chỉ IP đích sẽ là địa chỉ IP MikroTik. Vì vậy, đây là một hoạt động chuỗi đầu vào và nếu bạn muốn chặn giao thức SSH hoặc HTTP, bạn phải chọn chuỗi đầu vào trong quy tắc tường lửa.
- Đầu ra xử lý các gói có nguồn gốc từ Bộ định tuyến MikroTik của bạn và để nó qua một trong các giao diện MikroTik. Vì vậy, gói rời khỏi bộ định tuyến của bạn chứa bất kỳ địa chỉ IP giao diện nào làm địa chỉ IP nguồn được xử lý theo chuỗi đầu ra. Nói tóm lại, khi địa chỉ Bộ định tuyến MikroTik là địa chỉ nguồn gói thì nó được coi là hoạt động của chuỗi đầu ra. Ví dụ: nếu bạn ping bất kỳ máy chủ từ xa nào từ bảng điều khiển MikroTik, thì địa chỉ IP nguồn chính là địa chỉ IP MikroTik của bạn. Vì vậy, đây là một hoạt động chuỗi đầu ra.
- Chuyển tiếp xử lý các gói đang đi qua Bộ định tuyến MikroTik của bạn. Trong trường hợp này, Bộ định tuyến MikroTik không phải là nguồn cũng không phải là đích. Nói tóm lại, khi gói đi qua Bộ định tuyến MikroTik thì nó được coi là hoạt động chuỗi chuyển tiếp. Ví dụ: khi người dùng mạng LAN của bạn duyệt bất kỳ trang web nào, họ sẽ đi qua bộ định tuyến MikroTik của bạn. Ở đây, đích là máy chủ web và nguồn là người dùng mạng LAN của bạn. Vì vậy, đây là một hoạt động chuỗi chuyển tiếp. Nếu bạn muốn chặn bất kỳ người dùng nào không có quyền truy cập vào bất kỳ máy chủ web nào, bạn phải chọn thuộc tính chuỗi chuyển tiếp trong quy tắc tường lửa.
Sơ đồ sau đây sẽ cho thấy cách các gói được xử lý trong Bộ định tuyến MikroTik của bạn bao gồm đầu vào, đầu ra và chuỗi chuyển tiếp.
Hành động trong Quy tắc tường lửa MikroTik
Phần hành động của Quy tắc tường lửa MikroTik xác định phải làm gì với điều kiện phù hợp. Thuộc tính hành động nằm trong tab Hành động có nhiều giá trị thuộc tính hành động tự xác định. Ví dụ: để loại bỏ bất kỳ gói nào, bạn có thể chọn loại bỏ hoặc để cho phép các gói, bạn có thể chọn chấp nhận khi điều kiện phù hợp trong phần điều kiện.
Giới thiệu về GUI tường lửa MikroTik
Bây giờ chúng tôi sẽ giới thiệu với MikroTik Firewall GUI trong phần mềm winbox. Nếu bạn mở menu IP > Firewall , bạn sẽ tìm thấy bảy tab trong cửa sổ Winbox Firewall. Trong số các tab này, các tab sau được sử dụng để tạo các quy tắc tường lửa khác nhau.
- Tab Quy tắc bộ lọc chứa các quy tắc Tường lửa chặn hoặc cho phép lưu lượng truy cập MikroTik. Quy tắc lọc được kiểm tra từng quy tắc một và nếu bất kỳ quy tắc nào phù hợp với bất kỳ điều kiện nào thì các quy tắc bên dưới sẽ không được áp dụng cho điều kiện đó. Ví dụ: nếu bạn chặn YouTube đối với tất cả người dùng nhưng muốn cho phép một người dùng đặc biệt, quy tắc được phép phải được đặt trước quy tắc bị chặn. Nếu không, người dùng được phép sẽ tuân theo quy tắc bị chặn.
- Tab NAT (Dịch địa chỉ mạng) chứa các quy tắc liên quan đến dịch địa chỉ nguồn hoặc địa chỉ đích cũng như chuyển tiếp cổng. Ví dụ: giả sử bạn có một máy chủ web trong mạng LAN của mình và muốn truy cập máy chủ này từ bên ngoài mạng LAN của bạn. Sau đó, bạn phải tạo quy tắc NAT đích để truy cập máy chủ web của mình từ bên ngoài mạng LAN. NAT tab cũng rất quen thuộc với các bạn khi tạo masquerade rule trong cấu hình cơ bản của MikroTik Router.
- Tab Mangle chứa các quy tắc được sử dụng để đánh dấu bất kỳ gói nào để sử dụng tiếp, chẳng hạn như đưa ra quyết định định tuyến khác, chặn bất kỳ gói đặc biệt nào, v.v.
- Tab Danh sách địa chỉ chứa một nhóm danh sách địa chỉ được sử dụng tại thời điểm tạo quy tắc tường lửa, chẳng hạn như trong quy tắc bộ lọc hoặc quy tắc NAT.
- Tab Giao thức Layer7 chứa danh sách các Biểu thức chính quy Layer7 khác nhau được sử dụng để chặn hoặc cho phép bất kỳ dịch vụ Layer7 nào có quy tắc Tường lửa.
Cửa sổ MikroTik Firewall trong phần mềm winbox đã được nói sơ qua ở phần trên. Trong vài bài viết tiếp theo, tôi sẽ giải thích cách tạo các quy tắc lọc khác nhau bằng ví dụ thực tế. Hy vọng bạn sẽ giữ với tôi.
Khái niệm cơ bản về Tường lửa MikroTik đã được thảo luận trong bài viết này. Tôi hy vọng bạn đã nắm được những kiến thức cơ bản về Tường lửa MikroTik. Tuy nhiên, nếu bạn gặp phải bất kỳ vấn đề nào để hiểu bất kỳ điều khoản nào, vui lòng thảo luận trong nhận xét hoặc liên hệ với tôi từ trang Liên hệ