MikroTik-RouterOS防火墻與過濾詳解

MikroTikRouterOS防火墻與過濾詳解轉(zhuǎn)載請(qǐng)注明：Amen'sBlog：HttP://Www.AmEn86.CoMMikroTikRouterOS能對(duì)包狀態(tài)過濾；P2P協(xié)議過濾；源和目標(biāo)NAT；對(duì)源MAC、IP地址、端口、IP協(xié)議、協(xié)議（ICMP、TCP、MSS等）、接口、對(duì)內(nèi)部的數(shù)據(jù)包和連接作標(biāo)記、ToS字節(jié)、內(nèi)容過濾、順序優(yōu)先與數(shù)據(jù)頻繁和時(shí)間控制、包長(zhǎng)度控制...下面是RouterOS對(duì)IP流的處理流程：

RouterOS防火墻類型MikroTikRouterOS具備強(qiáng)大的防火墻，根據(jù)不同的環(huán)境和類別我們可以把RouterOS的分未如下幾個(gè)類型：從網(wǎng)絡(luò)層上分類：分為二層過濾防火墻和三層與三層以上過濾防火墻，他們分別在bridgefilter和ipfirewallfilter下進(jìn)行操作，能對(duì)各層的數(shù)據(jù)進(jìn)行處理。

從數(shù)據(jù)傳輸上分類：分為input、foreward和output三種鏈表（chain）過濾，不管是二層或者三層過濾上都包含這三個(gè)鏈表。

同時(shí)RouterOS還支持自定義防火墻鏈表。如下面的virus病毒鏈表。我們可以通過jump命令將數(shù)據(jù)跳轉(zhuǎn)到指定的鏈表。

上面的圖片是顯示了幾個(gè)自定義鏈表，除了我們?cè)谟疑辖牵吕藛慰吹降膇nput、forward、output基本鏈表外（all、dynamic、static是系統(tǒng)狀態(tài)鏈表），可以看到自定義的Robotdog、ICMP、virus這三個(gè)鏈表。RouterOSIPfirewallfilter工作原理下面是三條預(yù)先設(shè)置好了的chains，他們是不被能刪除的：input–用于處理進(jìn)入路由器的數(shù)據(jù)包，即數(shù)據(jù)包目標(biāo)IP地址是到達(dá)路由器一個(gè)接口的IP地址，經(jīng)過路由器的數(shù)據(jù)包不會(huì)在input-chains處理。

forward–用于處理通過路由器的數(shù)據(jù)包

output–用于處理源于路由器并從其中一個(gè)接口出去的數(shù)據(jù)包。

當(dāng)處理一個(gè)chain（數(shù)據(jù)鏈），策略是從chain列表的頂部從上而下執(zhí)行的。即先進(jìn)先出法（FirstInFirstOut）如圖：

我們通過先進(jìn)先出法可以理解到，過濾數(shù)據(jù)時(shí)我們可以通過以下的兩種原則“先丟棄后接受和先接受后丟棄”：

現(xiàn)在我來看事例中的防火墻規(guī)則，我先從input鏈表開始，這里是對(duì)所有訪問路由的數(shù)據(jù)進(jìn)行過濾和處理：

從input鏈表中可以看到，我們對(duì)進(jìn)入路由器的數(shù)據(jù)采用先拒絕非法的數(shù)據(jù)和連接，并將ICMP數(shù)據(jù)跳轉(zhuǎn)到自定義的ICMP的鏈表中過濾。下面是forward鏈表一個(gè)應(yīng)用防火墻事例：

forward鏈表，我們首先拒絕大多數(shù)機(jī)器狗訪問的目標(biāo)地址，然后跳轉(zhuǎn)到機(jī)器狗鏈表中對(duì)相應(yīng)的域名和IP進(jìn)行過濾，接下來是對(duì)非法數(shù)據(jù)包、TCP連接數(shù)、非單播數(shù)據(jù)、ICMP協(xié)議和常見的病毒等進(jìn)行過濾。事例：下面是禁止任何地址通過TCP/135端口訪問到本地路由器，因?yàn)槭窃L問本地路由器的數(shù)據(jù)，這里進(jìn)入input鏈表進(jìn)行操作：

禁止內(nèi)網(wǎng)00的電腦上網(wǎng)，我們通過forward鏈表進(jìn)行控制：

我們來看看Jump操作在forward鏈表中的工作過程：

在forward中數(shù)據(jù)遇到j(luò)ump規(guī)則，會(huì)判斷數(shù)據(jù)是否符合定義jump規(guī)則，如果滿足條件將跳轉(zhuǎn)到指定的鏈表，如上圖的ICMP和virus鏈表，當(dāng)在數(shù)據(jù)進(jìn)入這些鏈表執(zhí)行完后，會(huì)返回jump規(guī)則所在的forward鏈表中。IPFirewall協(xié)議深入解析TCP/IP協(xié)議和構(gòu)架我們首先理解一下，TCP/IP體系結(jié)構(gòu):

（1）網(wǎng)絡(luò)接口層

網(wǎng)絡(luò)接口層，也被稱為網(wǎng)絡(luò)訪問層，包括了能使用TCP/IP與物理網(wǎng)絡(luò)進(jìn)行通信的協(xié)議，它對(duì)應(yīng)OSI的物理層和數(shù)據(jù)鏈路層。TCP/IP標(biāo)準(zhǔn)并沒有定義具體的網(wǎng)絡(luò)接口協(xié)議。具體的網(wǎng)絡(luò)接口協(xié)議在實(shí)際應(yīng)用的網(wǎng)絡(luò)如Ethernet、ATM、FDDI、X.25、PPP、Token-Ring等中定義。

（2）網(wǎng)絡(luò)層

網(wǎng)絡(luò)層是在TCP/IP標(biāo)準(zhǔn)中正式定義的第一層。網(wǎng)絡(luò)層所執(zhí)行的主要功能是處理來自傳輸層的分組，將分組形成數(shù)據(jù)包（IP數(shù)據(jù)包），并為該數(shù)據(jù)包進(jìn)行路徑選擇，最終將數(shù)據(jù)包從源主機(jī)發(fā)送到目的主機(jī)，在網(wǎng)絡(luò)層中，最常用是網(wǎng)絡(luò)協(xié)議IP，其他一些協(xié)議用來協(xié)助IP的操作。

網(wǎng)絡(luò)層的協(xié)議有：IP、ARP、RARP、ICMP、IGMP

（3）傳輸層

TCP/IP的傳輸層也被稱為主機(jī)至主機(jī)層，與OSI的傳輸層類似，主要負(fù)責(zé)主機(jī)到主機(jī)之間的端對(duì)端通信，該層使用了兩種協(xié)議來支持兩種數(shù)據(jù)的傳送方法，即TCP協(xié)議和UDP協(xié)議。

（4）應(yīng)用層

在TCP/IP模型中，應(yīng)用程序接口是最高層，它與OSI模型中的高三層的任務(wù)相同，用于提供網(wǎng)絡(luò)服務(wù)，比如文件傳輸、遠(yuǎn)程登錄、域名服務(wù)和簡(jiǎn)單網(wǎng)絡(luò)管理等。我們的RouterOS中，ipfirewallfilter主要負(fù)責(zé)的是網(wǎng)絡(luò)層、傳輸層和應(yīng)用層，網(wǎng)絡(luò)接口層則由bridgefilter負(fù)責(zé)處理。

我們從上面的圖看到，在RouterOS的filter規(guī)則中，可以找到Protocol（協(xié)議）的選項(xiàng)，我們可以根據(jù)情況，選擇自己需要的協(xié)議。TCP/IP協(xié)議是一族協(xié)議，包括上百個(gè)互為關(guān)聯(lián)的協(xié)議，不同功能的協(xié)議分布在不同的協(xié)議層，下面是幾個(gè)常用協(xié)議：

一、網(wǎng)際層協(xié)議

IP：網(wǎng)際協(xié)議

ARP：地址解析協(xié)議

RARP：反向地址解析協(xié)議

ICMP/ICMPv6：Internet消息控制協(xié)議

IPCPandIPv6CP：IP控制協(xié)議和IPV6控制協(xié)議

IGMP：Internet組管理協(xié)議

二、傳輸層協(xié)議

TCP：傳輸控制協(xié)議

UDP：用戶數(shù)據(jù)報(bào)協(xié)議

RDP：可靠數(shù)據(jù)協(xié)議，RDP是一種面向連接的傳輸協(xié)議，其主要設(shè)計(jì)來為主機(jī)監(jiān)控應(yīng)用程序如下載/上傳以及遠(yuǎn)程調(diào)試進(jìn)行有效的大批數(shù)據(jù)傳輸。

RUDP：可靠用戶數(shù)據(jù)報(bào)協(xié)議，RUDP用于傳輸IP網(wǎng)絡(luò)間的電話信號(hào)。

三、應(yīng)用層協(xié)議應(yīng)用層協(xié)議

HTTP：超文本傳輸協(xié)議，用于Internet中的客戶機(jī)與WWW服務(wù)器之間的數(shù)據(jù)傳輸

DHCP：動(dòng)態(tài)主機(jī)配置協(xié)議，實(shí)現(xiàn)對(duì)主機(jī)的地址分配和配置工作

DNS：域名系統(tǒng)（服務(wù)）系統(tǒng)，用于實(shí)現(xiàn)主機(jī)名與IP地址之間的映射

FTP：文件傳輸協(xié)議，實(shí)現(xiàn)主機(jī)之間的文件傳送

TFTP：簡(jiǎn)單文件傳輸協(xié)議

TELNET：TCP/IP終端仿真協(xié)議（又稱遠(yuǎn)程登錄協(xié)議），本地主機(jī)作為仿真終端，登錄到遠(yuǎn)程主機(jī)上運(yùn)行應(yīng)用程序

SMTP：簡(jiǎn)單郵件傳輸協(xié)議，實(shí)現(xiàn)主機(jī)之間電子郵件的傳送；

IMAP4：因特網(wǎng)信息訪問協(xié)議，用于訪問存儲(chǔ)在郵件服務(wù)器系統(tǒng)內(nèi)的電子郵件和電子公告板信息。

POP（POP3）：郵局協(xié)議，用于用戶與服務(wù)器之間進(jìn)行郵件的收發(fā)。

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)的管理

NNTP：網(wǎng)絡(luò)新聞傳輸協(xié)議

UUCP：Unix到Unix的拷貝程序

BOOTP：引導(dǎo)協(xié)議，用于無盤主機(jī)或工作站的啟動(dòng)

NFS：網(wǎng)絡(luò)文件系統(tǒng)，實(shí)現(xiàn)主機(jī)之間的文件系統(tǒng)的共享

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換

IRCP/IRC：因特網(wǎng)在線聊天協(xié)議

LDAP：輕量級(jí)目錄訪問協(xié)議

NTP：網(wǎng)絡(luò)時(shí)間協(xié)議

RLOGIN：遠(yuǎn)程登錄命令，僅支持Unix到Unix的連接。

RMON：遠(yuǎn)程監(jiān)控

RWhois：遠(yuǎn)程目錄訪問協(xié)議

SLP：服務(wù)定位協(xié)議

SNTP：簡(jiǎn)單網(wǎng)絡(luò)時(shí)間協(xié)議

Finger：用戶信息協(xié)議IP源地址和目標(biāo)地址概念如何判斷源地址和目標(biāo)地址，與他們?cè)趇pfirewallfilter的鏈表，我們先看看下面的圖：

我們從該圖上可以看到，內(nèi)網(wǎng)主機(jī)8與路由器通信的情況，內(nèi)網(wǎng)主機(jī)8向路由和外網(wǎng)的web服務(wù)器時(shí)，不同情況下源目標(biāo)IP地址的轉(zhuǎn)變和使用的chain鏈表情況。注：在這里要記住任何通信是雙向的，而不僅只有源到目標(biāo)一條鏈路。在RouterOS中兩個(gè)選擇涉及到源和目標(biāo)地址，General標(biāo)簽中的src-address、dst-address和Advanced的src-address-list、dst-address-list如下圖：

Src-address和dst-address可以支持子網(wǎng)格式，同樣支持一段連續(xù)的地址如：“0-00”試驗(yàn)：1、

允許和5能訪問外網(wǎng)，禁止其他地址訪問外網(wǎng)數(shù)據(jù)2、

路由器有兩段內(nèi)網(wǎng)IP地址/24和/24，禁止這兩個(gè)地址段互訪，但允許訪問的主機(jī)病毒和應(yīng)用程序過濾在RouterOS中能做到內(nèi)容過濾，即content，對(duì)一些明文傳輸?shù)淖址M(jìn)行過濾，特別是web中的內(nèi)容

上面是一個(gè)過濾的域名過濾至于最新的機(jī)器狗病毒我們可以通過導(dǎo)入機(jī)器狗的存在的病毒地址和域名進(jìn)行過濾，我們?cè)趯?duì)機(jī)器狗目標(biāo)地址過濾時(shí)調(diào)用了address-list的地址列表。

我們?cè)谙聢D中，我們看到對(duì)機(jī)器狗的目標(biāo)地址控制我們?cè)O(shè)置了dst-address-list選擇Robotdog，而Robotdog定義則是在ipfirewalladdress-list中定義：

在address-list常用于某一組相同類型或?qū)傩缘腎P地址，但這些又不連續(xù)，則可以通過address-list來定義。以上的防火墻規(guī)則，可以在/down.asp下載到。在RouterOS3.0中增加了Layer7協(xié)議過濾功能，即對(duì)應(yīng)用程序的代碼進(jìn)行過濾，這些代碼我們通過Regexp的腳本進(jìn)行編輯，也可以通過我們預(yù)先編輯好的RouterOS腳本導(dǎo)入Layer7協(xié)議應(yīng)用列表（下載/down.asp）

我們可以同在i