49 10 94 44 021
82 09876 0912
روزهای شنبه الی چهارشنبه از ساعت ۱۰ الی ۲۰

مرکز آموزش میکروتیک

مجری برگزاری دوره ها و آزمون های بین المللی میکروتیک
۱۹ آبان ۱۳۹۲

نمایندگی رسمی میکروتیک

نمایندگی رسمی میکروتیک

نماینده آموزشی میکروتیک

مرکز آموزش میکروتیک

دوره آموزش میکروتیک

مدرس میکروتیک رضا مقدم

 

نمایندگی رسمی میکروتیک جهت فعال سازی فایروال از مسیر ذیل استفاده می کنیم.

IP/Firewall/Filter/Rule Firewallنمایندگی رسمی میکروتیک
نمایندگی رسمی میکروتیک برای انجام Filtering با روش های دیگر نظیر NAT یا Mangle نیز می توان ترافیک ها فیلتر کرد. Mangle در مواردی که بخواهیم یکسری از ترافیک ها را Mark کنیم و یا مقادیری از آنها را تغییر دهیم به عنوان مثال تغییر TTL را انجام دهیم می توانیم از این گزینه نیز استفاده نماییم.

مفهومService Port

نمایندگی رسمی میکروتیک تعدادی از پروتکل ها هستند که وقتی آنها را NAT می کنیم در ارتباطات آنها مشکلاتی به وجود می آید به عنوان مثال پروتکل CIP که ارتباط آن یک طرفه می شود لذا میکروتیک قابلیت Service Port را به وجود آورده تا مشکلاتی از این دست را برطرف نماید. این امکان تمامی پروتکل هایی که پشت NAT قرار می گیرند و درست کار نمی کنند در داخل Service Port قرار می دهد.

مفهومConnections
فایروال های شرکت میکروتیک خاصیت State Full دارند و داخل جدولی به نام Connection Tracking قرار می گیرند.

 Layer 7 Protocol

یکسری از پروتکل ها وجود دارند که ما نمی توانیم آنها را بر حسب Port یا Protocol فیلتر نماییم که از آن جمله می توان به Yahoo Messenger اشاره نمود لذا برای فیلتر نمودن این نوع از پروتکل ها باید Filtering را در لایه Application انجام دهیم برای این منظور یا باید Signature درست کنیم یا از روش Regular Expression استفاده کنیم.

به عنوان مثال برای فیلتر کردن Yahoo Messenger یک Rule از نوع Regular Expression در نظر می گیریم چون این نرم افزار هر زمان که می خواهد با شبکه ارتباط برقرار نماید از یکی از کاراکترها مانند I/*/+/-/? و یا به صورت ysg/yah/yah[a…z]/yah0/yah*i/msg/ymg استفاده می نمایند با روش ذکر شده برای فیلتر کردن ابتدا یک اسم قرار می دهیم تا در Filtering از آن استفاده کنیم و مفهوم ان این است که هر آدرسی که یکی از این کاراکتر ها در آن بود فیلتر شود.

فیلتر کردن پروتکل های P2P (Point to Point)

باری فیلتر نمودن پروتکل های P2P مثلاً Bitorat از مسیر ذیل استفاده می کنیم.
Filter Rules/Add/P2P
همچنین برای فیلتر نمودن VPN نیز از مسر ذکر شده GRE+ را انتخاب می کنیم. دقت شود هر چه قدر اطلاعات مربوط به جدول filtering کامل تر باشد مقدار CVPU Usage سیستم کاهش می یابد و عملکرد ان بهتر خواهد بود.
نکته: Rule ها به صورت پیش فرض در حالت AND منطقی کار می کنند چنانچه در مواردی نیاز داشتیم که Rule ها به صورت OR منطقی عمل نمایند لازم است چند Rule بنویسیم و همچنین اگر بخواهیم مفهوم یک Rule به صورت NOT باشد تیک گزینه SRC Add را فعال نموده و سپس IP مورد نظر را وارد می کنیم. مفهوم NOT این است که Rule نوشته برای همه IP ها در حالت True باشد غیر از Admin دستگاه که در حال انجام Config دستگاه است.

مفهوم Port Nocking

همانطور که می دانیم هکر ها با استفاده از نرم افزار های مختلف اقدام به بدست آوردن IP روتر ها می نمایند به عنوان مثال استفاده از نرم افزار IP Scanner لذا برای افزایش امنیت RB ها از قابلیت Port Nocking استفاده می نماییم. با فعال نمودن Port nocking به صورت پیش فرض تمامی سرویس ها از هر جای شبکه و با هرIP که به RB می رسند ابتدا پردازش شوند و در صورتی که با یک اولویت بندی خاص بودند اجازه دارند  تا RB را Config نمایند. به عنوان مثال ابتدا یک بسته از نوع ICMP ماتتد Ping و سپس درخواست Telnet و در نهایت درخواست صفحه WEB روتر ارسال شده باشد می تواند به RB دسترسی پیدا نماید.
نکته: دانلود مقاله ای با همین موضوع جهت توضیحات تکمیلی تر که توسط مهندس مقدم نوشته شده است.
جدول Connection tracking
اطلاعات مربوط به همه connection ها در این جدول ذخیره می شود لذا برای اینکه Rule های نوشته (NAT/Mangle/Firewall/Filter) درست کار کنند باید این جدول همیشه فعال باشند. این جدول همچنین موجب افزایش CPU Usage سیستم نیز می شود. این جدول دارای حالت های ذیل می باشد.
Auto
Disable
Firewall
P2P

مفهوم Connection Tracking State

یک ارتباط به طور کلی دارای ۴ وضعیت به شرح ذیل می باشد.
New(Packet Is Opening a New Connection)ارسال یک پکت جدید
Established (Packet Belongs to Already Known Connection)
بروزرسانی شد‌!