آموزش فایروال میکروتیک
فایروال (Firewall) یک سخت افزار یا نرم افزار امنیتی است که برای محافظت از شبکههای کامپیوتری در برابر حملات و دسترسیهای غیرمجاز به منابع شبکه استفاده میشود. این سیستم امنیتی به عنوان یک واسط میان شبکه داخلی و سرور ها یا شبکه خارجی و اینترنت از سوی دیگر قرار می گیرد. وظیفه اصلی یک فایروال، کنترل و مدیریت ترافیک شبکه با توجه به قوانین و تنظیمات امنیتی مشخص شده است.
وظایف اصلی فایروال:
فیلترینگ ترافیک: فایروال امکان فیلتر کردن ترافیک بر اساس انواع پروتکلها، آدرسهای IP، و پورتها را داراست. این قابلیت به مدیران شبکه اجازه میدهد که تنظیمات دقیقی را برای محافظت از شبکهها و دادهها خود انجام دهند.
پیشگیری از حملات: فایروال قابلیت تشخیص و جلوگیری از حملات مخرب مانند نفوذهای ناشناخته، حملات شناخته شده، و سایر حملات شبکه را داراست. این ویژگیها باعث افزایش امنیت شبکه میشوند.
کنترل دسترسی: فایروال میتواند قوانینی برای کنترل دسترسی به منابع شبکه اعمال کند. این شامل محدود کردن دسترسی به سرویسها، منابع یا دستگاههای خاص میشود.
ردیابی لاگها: فایروال لاگهای ترافیک و وقایع امنیتی را ثبت میکند، که این اطلاعات میتوانند برای تحلیل حملات، مشکلات امنیتی و مدیریت شبکه مفید باشند.
VPN (شبکه خصوصی مجازی): بسیاری از فایروالها امکان ایجاد تانلهای امن برای اتصال به شبکهها یا دستگاههای دیگر را از طریق اینترنت فراهم میکنند.
فایروالها میتوانند به صورت سختافزاری (hardware) یا نرمافزاری (software) پیادهسازی شوند و در محیطهای مختلف از جمله شبکههای سازمانی، دیتاسنترها، یا حتی دستگاههای شخصی مورد استفاده قرار گیرند.
در میکروتیک (MikroTik)، مفهوم chain به صورت گسترده در فایروال (Firewall) استفاده میشود. میکروتیک از یک سیستم فایروال قدرتمند به نام Firewall Filter برخوردار است که از (Chains) برای مدیریت ترافیک استفاده میکند. و برای نوشتن rule های امنیتی ابتدا باید chain آن را مشخص کنیم به همین منظور در خصوص 3 مورد chain میکروتیک توضیح می دهیم.
chain در فایروال میکروتیک به دستورهای خاصی اشاره دارند که به ترتیب مورد اجرا قرار میگیرند. زنجیرهها به صورت زیر هستند:
input: این chain برای بستر ورودی به دستگاه میکروتیک (مثل بستر ورودی از طریق وایرلس یا پورت اترنت) مورد استفاده قرار میگیرد.
forward: این chain ترافیک هایی که از یک اینترفیس به اینترفیس دیگر منتقل میشود را مدیریت میکند.
output: این chain ترافیکی را که از دستگاه میکروتیک خارج میشود مدیریت میکند.
پس از Chain و مشخص کردن اینکه چه ترافیکی از سمت کجا به کجا را می خواهیم بررسی کنیم , نوبت به Action می رسد .
در فایروال MikroTik، قوانین (rules) میتوانند اقدامات مختلفی را برای ترافیک مشخص انجام دهند. این اقدامات به عنوان “action” (عمل) شناخته میشوند. در زیر، تعدادی از انواع عملیات (actions) رایج در فایروال MikroTik آورده شده است:
Accept (اجازه): این عمل به ترافیک اجازه میدهد تا از فایروال مورد نظر عبور کند و به مقصد برسد.
ip firewall filter add chain=forward action=accept
Drop (رد): این عمل از عبور ترافیک جلوگیری میکند و آن را رد میکند، به این معنا که ترافیک ناپذیرفته و دستوری برای ادامه مسیر خود ندارد.
ip firewall filter add chain=forward action=drop
Reject (رد با پیام): مشابه Drop است، اما با این تفاوت که یک پیام خطا به مبدا ارسال میشود که اطلاعات بیشتری درباره علت رد ترافیک ارائه میدهد.
ip firewall filter add chain=forward action=reject
Log (لاگ): این عمل اطلاعات مربوط به ترافیک را در لاگ ثبت میکند. این لاگها برای تحلیل و نظارت بر شبکه بسیار مفید هستند.
ip firewall filter add chain=forward action=log
Src-nat (تغییر آدرس منبع NAT): این عمل آدرس نشانی منبع (مبدا) ترافیک را تغییر میدهد، که برای ایجاد NAT (Network Address Translation) بسیار مهم است. در واقع سورس پکت را به آدرسی که ما مشخص می کنیم (192.168.1.1) ترجمه می کند
ip firewall nat add chain=srcnat action=src-nat to-addresses=192.168.1.1
Dst-nat (تغییر آدرس مقصد NAT): مشابه Src-nat است، اما بر روی آدرس مقصد تاثیر میگذارد.
ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.1.2
Jump (پرش): این عمل اجازه میدهد که به یک گروه از rule های دیگر بپرید. به عبارت دیگر، اگر شرایط یک قانون مشخص شود، به جای ادامه اجرای قوانین در زنجیره جاری، به یک زنجیره دیگر پرش میکند.
ip firewall filter add chain=forward action=jump jump-target=forward-some-other-chain
Tarpit (تارپیت): این عمل ترافیک را در یک وضعیت “تارپیت” قرار میدهد، که به معنای این است که سرعت انتقال ترافیک به عنوان پاسخ به تردد تعداد کمی از دادهها کاهش مییابد. این برای مقابله با حملات DDoS مفید است.
ip firewall filter add chain=forward action=tarpit
Mirror (آینه): این عمل ترافیک را به یک پورت آینه (Mirror Port) ارسال میکند تا بتواند توسط ابزارهای نظارتی بررسی شود. این کار به منظور تحلیل ترافیک و مشکلات شبکه انجام میشود. در سیسکو این پورت همان پورت span است که می توان از طریق آن یک کپی از تمام ترافیک های عبوری از پورت خاصی از میکروتیک را بر روی پورت span به یک تجهیز تحلیل ترافیک ارسال کنیم
ip firewall mangle add chain=forward action=mirror
Masquerade (مسکیرد): این عمل مشابه NAT (Network Address Translation) عمل میکند اما به صورت داینامیک و به منظور مخفی کردن آدرس IP منبع از آدرس IP واقعی خود استفاده میکند. همان Source Nat با حالت PAT است . آدرس IP که برای NAT در این حالت مورد استفاده قرار می گیرد , آدرس اینترفیس خروجی بسته هاست
ip firewall nat add chain=srcnat action=masquerade
Fasttrack (پرش سریع): این عملیات به ترافیکی که قبلاً Fasttrack شده است، اجازه میدهد تا از بخشهای بعدی فیلترینگ عبور کند و به سرعت در شبکه منتقل شود.
ip firewall filter add chain=forward action=fasttrack-connection
Connection Mark (نشانهگذاری اتصال): این عمل Connection ها را با یک نشانه (mark) خاص علامتگذاری میکند. این نشانهها برای مدیریت و تعیین اولویت ترافیک استفاده میشوند.
ip firewall mangle add chain=forward action=connection-mark connection-mark=my-connection-mark
Packet Mark (نشانهگذاری بسته): این عمل بستهها را با یک نشانه خاص علامتگذاری میکند. این نشانهها برای کنترل جریان ترافیک و اعمال سیاستهای خاص مورد استفاده قرار میگیرند.
ip firewall mangle add chain=forward action=packet-mark packet-mark=my-packet-mark
Limit (محدودیت): این عمل میزان ترافیک مجاز را برای یک سرویس خاص یا یک آدرس IP مشخص محدود میکند.
ip firewall filter add chain=forward action=limit connection-limit=10,32 protocol=tcp dst-port=80,443
Connection Tracking (ردیابی اتصال): این عمل امکان ردیابی کانکشن ها برای مدیریت وضعیت اتصالات شبکه را فراهم میکند.
ip firewall connection tracking add chain=forward action=dst-nat to-addresses=192.168.1.2
Set (تنظیم): این عمل به مدیران امکان تنظیم و تعیین مقدار برخی پارامترها را از ترافیک مشخص میکند.
ip firewall mangle add chain=forward action=set-priority new-priority=1
آموزش فایروال میکروتیک - پارت 1
دانلود (160.1 مگابایت)آموزش فایروال میکروتیک - پارت 2
دانلود (86.8 مگابایت)