آموزش تنظیم و راه‌ اندازی فایروال میکروتیک

فایروال در میکروتیک چیست و چرا اهمیت دارد؟

فایروال در روترهای میکروتیک، یکی از مهم‌ترین ابزارها برای مدیریت امنیت شبکه است. به زبان ساده، فایروال یک سیستم کنترلی است که مشخص می‌کند چه ترافیکی اجازه ورود یا خروج از شبکه را دارد. این کنترل براساس مجموعه‌ای از قوانین (Rule) انجام می‌شود که مدیر شبکه تعریف می‌کند.

در میکروتیک، فایروال مبتنی بر مفهومی به نام Packet Flow یا جریان بسته‌هاست. یعنی بسته‌های داده هنگام عبور از روتر، مراحل مختلفی را طی می‌کنند و فایروال در نقاط مشخصی از این مسیر می‌تواند دخالت کند. این سطح از کنترل، امکان پیاده‌سازی سیاست‌های امنیتی دقیق و حرفه‌ای را فراهم می‌کند.

اهمیت فایروال میکروتیک زمانی بیشتر می‌شود که بدانیم بسیاری از حملات سایبری، از طریق پورت‌های باز یا سرویس‌های ناایمن وارد شبکه می‌شوند. به کمک فایروال می‌توان دسترسی به پورت‌های حساس مانند SSH، Winbox یا API را محدود کرد، فقط به IPهای مشخص اجازه دسترسی داد، یا حملات Brute Force را شناسایی و متوقف کرد.

در شبکه‌هایی که از روتر میکروتیک به‌عنوان دروازه ورودی استفاده می‌کنند، نداشتن تنظیمات مناسب فایروال مساوی است با باز گذاشتن درب خانه برای هرکسی. بنابراین، یادگیری ساختار و قابلیت‌های فایروال در میکروتیک، نه یک گزینه انتخابی، بلکه ضرورتی جدی برای هر مدیر شبکه محسوب می‌شود.

آشنایی با مفاهیم اصلی فایروال در میکروتیک

قبل از شروع تنظیمات فایروال، لازم است با چند مفهوم کلیدی در میکروتیک آشنا شویم:

Filter Rules

بخش اصلی فایروال در میکروتیک، Filter Rules است. این بخش مسئول اجازه یا مسدود کردن ترافیک ورودی، خروجی یا عبوری از روتر است. هر Rule می‌تواند براساس معیارهایی مثل IP مبدا یا مقصد، پورت، پروتکل، اینترفیس و حتی Connection State عمل کند. برای مثال، می‌توان قانونی تعریف کرد که همه‌ی ارتباط‌های ورودی روی پورت ۲۲ (SSH) را، به جز از یک IP خاص، مسدود کند.

NAT

در حالی که NAT مستقیماً وظیفه امنیتی ندارد، اما در تنظیمات فایروال نقش مهمی دارد. اغلب از NAT برای Port Forwarding استفاده می‌شود. به عنوان مثال، اگر بخواهید پورت خاصی از یک VPS پشت NAT را در دسترس عموم قرار دهید، باید دقت کنید که هم Rule NAT و هم Rule فایروال هماهنگ باشند تا دسترسی ناخواسته ایجاد نشود.

Connection Tracking

میکروتیک از قابلیت Connection Tracking استفاده می‌کند تا وضعیت هر اتصال را بررسی کند. این یعنی روتر می‌داند که یک بسته مربوط به یک ارتباط جدید است، در حال برقراری است یا مربوط به ارتباطی مجاز و قبلاً ایجاد شده. این قابلیت به شما این امکان را می‌دهد که فقط به بسته‌های “established” یا “related” اجازه عبور دهید و سایر ارتباط‌های جدید را فیلتر کنید.

نحوه تنظیم اولیه فایروال برای حفاظت پایه‌ای

برای شروع کار با فایروال میکروتیک، پیشنهاد می‌شود یکسری قوانین پایه را برای جلوگیری از دسترسی‌های ناخواسته و حفاظت اولیه از شبکه تنظیم کنید. این قوانین، ستون فقرات امنیت شبکه هستند.

مسدود کردن ترافیک ورودی ناخواسته

اولین قدم، بستن تمام ترافیک ورودی غیرضروری است. برای این کار، می‌توانید یک Rule تعریف کنید که تمام ترافیک ورودی به روتر را (از طریق Interface اینترنت) drop کند، مگر اینکه صراحتاً مجاز شده باشد. به این ترتیب، ابتدا همه چیز بسته می‌شود، سپس دسترسی‌های مجاز را به‌صورت Ruleهای مجزا اضافه می‌کنید (مدل معروف "deny all, allow some").

/ip firewall filter

add chain=input connection-state=invalid action=drop comment="Drop invalid connections"

add chain=input connection-state=established,related action=accept comment="Allow established"

add chain=input in-interface=ether1 protocol=tcp dst-port=8291 src-address=192.168.1.100 action=accept comment="Allow Winbox from specific IP"

add chain=input action=drop comment="Drop everything else"

جلوگیری از حملات ساده مثل Ping Flood

با ایجاد محدودیت‌هایی روی ICMP (پینگ) یا تعیین حداکثر تعداد ارتباط در یک بازه زمانی، می‌توانید جلوی برخی حملات ساده ولی مؤثر را بگیرید.

/ip firewall filter

add chain=input protocol=icmp limit=5,10 action=accept comment="Limit ping"

اجازه به سرویس‌های حیاتی فقط از IPهای خاص

برای امنیت بیشتر، می‌توانید دسترسی به سرویس‌هایی مانند SSH یا Winbox را فقط از IPهای خاص (مثلاً IP مدیریت شما) مجاز کنید. این کار ریسک حملات Brute Force یا اسکن پورت را تا حد زیادی کاهش می‌دهد.

افزودن Rule برای بلاک کردن IP مشکوک یا کشور خاص

یکی از روش‌های رایج برای مقابله با حملات سایبری، مسدود کردن IPهای مشکوک یا کشورهایی‌ست که بیشترین منبع حمله را تشکیل می‌دهند. این کار به‌ویژه برای کاربرانی که نیاز به ارائه سرویس در سطح بین‌المللی ندارند، بسیار مؤثر است.

بلاک کردن IP خاص

اگر از لاگ‌ها یا گزارش‌ها متوجه شدید که IP مشخصی رفتار غیرعادی دارد (مثلاً چندین بار تلاش برای ورود ناموفق)، می‌توانید به‌راحتی آن را مسدود کنید:

/ip firewall address-list

add list=blocked-ips address=198.51.100.23 comment="مشکوک به اسکن پورت"

/ip firewall filter

add chain=input src-address-list=blocked-ips action=drop comment="Drop blocked IPs"

بلاک کردن کل یک کشور

میکروتیک به‌صورت مستقیم دیتابیس کشورها را ندارد، اما با استفاده از فایل‌های IP Range مربوط به هر کشور (مثلاً از سایت‌هایی مثل ipdeny.com) می‌توانید لیست IP آن کشور را وارد کنید و آن‌ها را در Address List قرار دهید:

فایل IPهای کشور موردنظر (مثلاً cn.zone برای چین) را دانلود کنید.

با استفاده از اسکریپت یا import دستی، IPها را به یک Address List اضافه کنید.

سپس یک Rule برای Drop کردن آن لیست ایجاد کنید:

/ip firewall filter

add chain=input src-address-list=china-ips action=drop comment="Drop traffic from China"

⚠️ توجه: استفاده از این روش باید با دقت انجام شود، چون ممکن است باعث قطع دسترسی کاربران یا سرویس‌های مجاز شود. قبل از اعمال، حتماً Rule را به‌صورت موقتی (با محدودیت زمان یا log فعال) تست کنید.

تنظیم فایروال برای پورت‌های خاص مثل SSH، Winbox و...

پورت‌هایی مانند SSH، Winbox و API جزو اصلی‌ترین درگاه‌های مدیریت روتر محسوب می‌شوند. اما همین پورت‌ها، اگر به‌درستی محافظت نشوند، می‌توانند درگاه ورود مهاجمان به سیستم باشند. بنابراین، تنظیم دقیق فایروال برای این پورت‌ها ضروری است.

محدود کردن دسترسی به IPهای مشخص

ایمن‌ترین راه، اجازه دادن دسترسی به این پورت‌ها فقط از IPهای مشخص است. برای مثال اگر فقط یک سیستم مدیریتی با IP خاص دارید:

/ip firewall filter

add chain=input protocol=tcp dst-port=22 src-address=192.168.1.100 action=accept comment="Allow SSH from admin"

add chain=input protocol=tcp dst-port=22 action=drop comment="Drop other SSH access"

برای Winbox که به‌صورت پیش‌فرض روی پورت 8291 کار می‌کند:

/ip firewall filter

add chain=input protocol=tcp dst-port=8291 src-address=192.168.1.100 action=accept comment="Allow Winbox from admin"

add chain=input protocol=tcp dst-port=8291 action=drop comment="Drop other Winbox access"

غیرفعال کردن پورت‌های بلااستفاده

اگر از SSH یا API استفاده نمی‌کنید، بهتر است این سرویس‌ها را به‌طور کامل غیرفعال کنید تا بار اضافی روی فایروال ایجاد نشود و سطح حمله (attack surface) کاهش یابد.

/ip service disable ssh

/ip service disable api

ثبت لاگ از دسترسی‌های غیرمجاز

برای شناسایی تلاش‌های دسترسی مشکوک، می‌توانید یک Rule با action = log قبل از Drop تعریف کنید:

/ip firewall filter

add chain=input protocol=tcp dst-port=22 action=log log-prefix="SSH Attempt: " comment="Log SSH attempts"

بررسی Ruleها و تست عملکرد فایروال

ترتیب Ruleها

در میکروتیک، فایروال Ruleها را از بالا به پایین بررسی می‌کند و به‌محض یافتن یک قانون مطابق، اجرای بقیه را متوقف می‌کند. بنابراین اگر یک Rule کلی برای Drop گذاشته‌اید، و Rule خاص‌تری برای Allow پایین‌تر قرار گرفته، Rule پایین‌تر دیگر هیچ‌وقت اجرا نمی‌شود.

مثال:

add chain=input action=drop comment="Drop All"

add chain=input src-address=192.168.1.100 action=accept comment="این Rule هیچ‌وقت اجرا نمی‌شود!"

🔴نکته مهم: برای جلوگیری از این خطا، همیشه قوانین Allow را قبل از قوانین Drop قرار دهید.

بررسی سریع با ابزار Log و Torch

برای اطمینان از عملکرد فایروال، می‌توانید موقتاً روی برخی Ruleها قابلیت log را فعال کنید تا ببینید چه بسته‌هایی در حال بلاک یا پذیرش هستند. همچنین ابزار Torch در میکروتیک به شما امکان بررسی لحظه‌ای ترافیک عبوری از یک Interface را می‌دهد.

add chain=input protocol=tcp dst-port=22 action=log log-prefix="SSH Attempt"

تست از خارج شبکه

اگر فایروال برای محافظت در برابر حملات خارجی طراحی شده، حتماً از خارج شبکه (مثلاً با یک اینترنت همراه یا VPS دیگر) عملکرد Ruleها را تست کنید. هیچ‌وقت صرف اتصال موفق در داخل شبکه را معیار نهایی ندانید.

تهیه Backup قبل از اعمال تغییرات سنگین

قبل از اعمال Ruleهای جدید یا حذف Ruleهای قدیمی، حتماً از تنظیمات فایروال خود Backup تهیه کنید. این کار در صورت بروز خطا، امکان بازگردانی سریع تنظیمات را فراهم می‌کند.

نکات نهایی امنیتی و توصیه‌های پایانی

🔐 به‌روزرسانی مداوم فریمور میکروتیک

حتی بهترین تنظیمات فایروال نمی‌توانند جلوی آسیب‌پذیری‌های موجود در سیستم‌عامل را بگیرند. بنابراین همواره RouterOS را به‌روز نگه دارید و حتماً changelog نسخه‌ها را بررسی کنید.

📌 استفاده از Address List برای مدیریت Ruleها

به جای تعریف ده‌ها Rule مجزا، می‌توانید IPهای مجاز یا بلاک‌شده را در یک Address List نگه دارید و فقط با تغییر این لیست‌ها، تنظیمات را کنترل کنید. این کار هم مدیریت را ساده‌تر می‌کند و هم احتمال خطا را کاهش می‌دهد.

🕓 ثبت لاگ از رفتارهای مشکوک

Ruleهایی با قابلیت Log فعال، می‌توانند به‌خوبی رفتارهای مشکوک را نشان دهند. البته حجم لاگ‌ها را کنترل کنید تا باعث پر شدن حافظه روتر نشوند.

🛑 از دسترسی عمومی به Winbox، Webfig و SSH خودداری کنید

تا حد امکان، دسترسی به پنل مدیریتی را از طریق VPN داخلی یا فقط IPهای خاص مجاز کنید. اجازه دادن دسترسی به ابزارهای مدیریتی از اینترنت عمومی، خطر جدی ایجاد می‌کند.

نتیجه‌گیری

امنیت در دنیای شبکه بیشتر از چیزی که تصور می شود اهمیت دارد. فایروال میکروتیک، اگر درست و اصولی پیکربندی شود، می‌تواند خط دفاعی مستحکمی در برابر طیف وسیعی از تهدیدات ایجاد کند؛ از اسکن پورت‌های ساده گرفته تا حملات پیچیده‌تر.

در این آموزش تلاش کردیم قدم‌به‌قدم تنظیمات مهم و پایه‌ای فایروال را مرور کنیم و با نگاهی کاربردی، نکاتی را بیان کنیم که واقعاً در محیط عملی به کار می‌آیند. از تعریف مفاهیم ابتدایی گرفته تا پیاده‌سازی Ruleهای خاص و بررسی دقیق عملکرد فایروال، هر بخش با هدف حفظ امنیت بدون ایجاد اختلال در عملکرد سیستم طراحی شده است.

یادت باشد، یک فایروال خوب همیشه در حال بازبینی، به‌روزرسانی و تطبیق با شرایط جدید است. پس این مسیر را به‌عنوان یک فرآیند مستمر در نظر بگیر، نه یک پروژه موقتی. امنیت خوب، نتیجه‌ی دقت‌های کوچک و تصمیم‌های هوشمندانه‌ی مداوم است.

برای مشاهده سرورهای مجازی میکروتیک وارد لینک زیر شوید