引言：为什么中幼企业更必要专业防火墙配置

在数字化转型加快的今天
，网络安全已不再是大型企业的专属课题。中幼企业同样面对着日益复杂的网络威胁——勒索软件、DDoS攻击、数据泄露层出不穷。然而
，很多中幼企业由于预算有限
，往往忽视了防火墙的专业配置
，仅依赖默认规定运行
，这无异于在互联网的汪洋中裸泳。

MikroTik RouterOS 作为一款性价比极高的路由操作系统
，凭借其壮大的防火墙职能和矫捷的规定引擎
，成为中幼企业网络安全的梦想选择。本文将从实战角度启程
，系统解说 MikroTik RouterOS 防火墙的深度配置步骤
，援手网络治理员构建坚不成摧的企业级安全防线。

一、MikroTik 防火墙架构全解析

MikroTik RouterOS 的防火墙基于 Linux 内核的 Netfilter 框架
，但其设计越发结构化和易用。理解其架构是做好配置的前提。

1.1 三大处置链（Chain）

MikroTik 防火墙的主题概想是”链”（Chain）
，数据包在流经路由器时会经过分歧的链进行处置：

• Input 链：处置主张地为路由器自身的数据包。所有试图接见路由器治理界面、SSH、API等服务的流量都经过此链。
• Output 链：处置从路由器自身发出的数据包。路由器自动提议的衔接（如DNS查问、NTP同步）经过此链。
• Forward 链：处置穿越路由器的转发数据包。这是企业网络中最关键的链——所有内网与表网之间的通讯都经过此链。

1.2 衔接状态机造

MikroTik 防火墙支持齐全的衔接跟踪（Connection Tracking）机造
，这是实近况态检测防火墙的基。

• new：新衔接的第一个数据包
• established：已成立衔接的后续数据包
• related：与已有衔接有关联的数据包（如FTP数据衔接、ICMP谬误新闻）
• invalid：无法鉴别或不属于任何已知衔接的数据包

理解衔接状态对于编写高效且安全的防火墙规定至关沉要。一个常见的安全失误是只关注端口过滤而忽视了状态检测
，导致攻击者能够通过伪造数据包绕过规定。

二、基础安全配置：成立第一路防线

2.1 默认回绝战术

安全的第一准则是”默认回绝”——除非明确允许
，不然一律不容。在 MikroTik 中
，我们通过在每条链的末尾增长 drop-all 规定来实现：

/ip firewall filter
add chain=input action=drop comment="Drop all input"
add chain=forward action=drop comment="Drop all forward"

沉要提醒：在增长默认回绝规定之前
，务必先放行必要的服务
，不然你将被锁在路由器之表！

2.2 ；ぢ酚善髯陨戆踩↖nput 链）

路由器是网络的主题
，；て浒猜浅林兄。以下是 Input 链的推荐配置：

/ip firewall filter

# 放行已成立和有干系接
add chain=input action=accept connection-state=established,related comment="Accept established,related"

# 抛弃无效衔接
add chain=input action=drop connection-state=invalid comment="Drop invalid"

# 放行ICMP（限速）
add chain=input action=accept protocol=icmp limit=5,10:packet comment="Accept ICMP with rate limit"

# 仅允许内网接见路由器治理服务
add chain=input action=accept src-address=192.168.0.0/16 protocol=tcp dst-port=22,80,443,8291 comment="Accept management from LAN"

# 放行内网DNS要求
add chain=input action=accept src-address=192.168.0.0/16 protocol=udp dst-port=53 comment="Accept DNS from LAN"

# 默认回绝
add chain=input action=drop comment="Drop all other input"

这个配置确保了：只有来自内网的治理要求被接受
，表部无法直接接见路由器的治理界面。8291是Winbox的默认端口
，若是你的治理工具分歧
，请相应调整。

2.3 内网转发安全（Forward 链）

Forward 链节造着内网与表网之间的所有通讯。正确配置 Forward 链不仅能防御表部攻击
，还能预防内网被攻下后的横向扩散：

/ip firewall filter

# 放行已成立和有干系接
add chain=forward action=accept connection-state=established,related comment="Accept established,related"

# 抛弃无效衔接
add chain=forward action=drop connection-state=invalid comment="Drop invalid"

# 放行内网出站流量
add chain=forward action=accept in-interface=bridge-lan out-interface=pppoe-wan comment="Accept LAN to WAN"

# 放行DNAT（端口转发）回程流量
add chain=forward action=accept connection-nat-state=dstnat comment="Accept DNAT"

# 默认回绝
add chain=forward action=drop comment="Drop all other forward"

三、进阶安全战术：构建企业级防护

3.1 地址列表（Address List）动态治理

MikroTik 的地址列表职能是其防火墙的一大亮点
，能够实现动态的是非名单治理。结合按时剧本
，能够自动化威胁谍报的更新：

/ip firewall address-list
add address=10.0.0.0/8 list=BOGON comment="RFC1918"
add address=172.16.0.0/12 list=BOGON comment="RFC1918"
add address=192.168.0.0/16 list=BOGON comment="RFC1918"
add address=0.0.0.0/8 list=BOGON comment="Invalid"

/ip firewall filter
add chain=forward action=drop src-address-list=BOGON in-interface=pppoe-wan comment="Drop bogon from WAN"
add chain=forward action=drop dst-address-list=BOGON out-interface=pppoe-wan comment="Drop bogon to WAN"

这段配置阻止了来自表网的伪造源地址攻击（IP Spoofing）
，这是很多DDoS攻击的基础伎俩。

3.2 端口扫描防御

攻击者在提议攻击前通；峤卸丝谏
，探测指标盛开的端口和服务。MikroTik 能够通过检测扫描行为并自动关闭源地址：

/ip firewall filter

# 检测并纪录端口扫描
add chain=input action=add-src-to-address-list psd=21,3s,3,1 address-list=port-scanners address-list-timeout=2w comment="Detect port scanners"

# 关闭已识此外扫描器
add chain=input action=drop src-address-list=port-scanners comment="Drop port scanners"

PSD（Port Scan Detection）参数诠释：21=权沉阈值
，3s=延长阈值
，3=低权沉端口数
，1=高权沉端口数。当一个源在短功夫内对多个端口提议衔接时
，将被判定为扫描行为并自动参与黑名单2周。

3.3 SYN Flood 防御

SYN Flood 是最常见的DDoS攻击大局之一。攻击者发送大量SYN包但不实现三次握手
，耗尽服务器的衔接资源：

/ip firewall filter

# 限度新SYN衔接速度
add chain=forward action=accept tcp-flags=syn connection-state=new limit=50,10:packet comment="Limit new TCP connections"

# 超出速度的SYN包抛弃
add chain=forward action=drop tcp-flags=syn connection-state=new comment="Drop excess SYN"

3.4 Layer 7 和谈过滤

MikroTik 支持 Layer 7 和谈匹配
，能够基于利用层特点过滤流量。这在企业环境中对于管控非工作有关的利用极度实用：

/ip firewall layer7-protocol
add name=facebook regexp="^.+(facebook.com).*\$"
add name=youtube regexp="^.+(youtube.com).*\$"

/ip firewall filter
add chain=forward action=drop layer7-protocol=facebook comment="Block Facebook"
add chain=forward action=drop layer7-protocol=youtube comment="Block YouTube"

把稳：Layer 7 过滤对路由器CPU开销较大
，建议在流量较大的网络中审慎使用
，或仅针对特定网段启用。

四、NAT 与端口转发的安全实际

4.1 安全的端口转发配置

端口转发（DNAT）是中幼企业最常使用的职能之一
，用于将表部接见映射到内网服务器。然而
，不当的端口转发配置往往是安全缝隙的本原：

/ip firewall nat

# 安全的端口转发示例：仅允许特定源IP接见
add chain=dstnat action=dst-nat to-addresses=192.168.1.100 to-ports=443 \
  protocol=tcp dst-port=443 src-address-list=trusted-ips comment="Secure DNAT for web server"

关键安全重点：

• 始终不要将RDP（3389）、SSH（22）等治理端口直接露出到公网
• 使用非尺度表部端口映射到尺度内部端口
• 共同 src-address-list 限度接见起源
• 为每个DNAT规定增长具体的注解注明用处

4.2 NAT 回环（Hairpin NAT）

当内网用户必要通过公网IP接见内网服务时
，必要配置 Hairpin NAT：

/ip firewall nat
add chain=srcnat action=masquerade src-address=192.168.1.0/24 \
  dst-address=192.168.1.100 out-interface=bridge-lan comment="Hairpin NAT"

短缺 Hairpin NAT 配置是中幼企业网络中最常见的问题之一
，会导致内网用户无法通过域名或公网IP接见自己的服务。

五、日志与监控：安全运营的基石

5.1 防火墙日志配置

没有日志的防火墙配置是不齐全的。合理的日志纪录不仅能援手排查问题
，更是安全事务追忆的关键证据：

/ip firewall filter

# 纪录被回绝的衔接
add chain=input action=log log-prefix="INPUT-DROP" action=drop comment="Log dropped input"
add chain=forward action=log log-prefix="FORWARD-DROP" action=drop comment="Log dropped forward"

# 纪录可疑活动
add chain=input action=log log-prefix="PORT-SCAN" src-address-list=port-scanners comment="Log port scan activity"

5.2 远程日志服务器

将日志发送到远程服务器是最佳实际
，由于攻击者获得路由器接见权后通；岫系鬃拥厝罩荆

/system logging action
add name=remote target=remote remote=192.168.1.200 remote-port=514

/system logging
add action=remote topics=firewall
add action=remote topics=system,error
add action=remote topics=system,warning

5.3 流量监控与告警

利用 MikroTik 的 Traffic Flow 职能
，能够将流量统计发送到分析系统进行异常检测：

/ip traffic-flow
set enabled=yes cache-entries=4k
set active-flow-timeout=30m inactive-flow-timeout=15s

/ip traffic-flow ipfix
set src-address=0.0.0.0 dst-address=192.168.1.200 dst-port=2055

六、自动化运维：让安全战术自我进化

6.1 自动关闭暴力破解

SSH暴力破解是针对路由器最常见的攻击之一。以下配置能够自动鉴别并关闭暴力破解尝试：

/ip firewall filter

# 第一阶段：纪录失败尝试
add chain=input action=add-src-to-address-list protocol=tcp dst-port=22 \
  src-address-list=ssh-stage1 address-list=ssh-stage2 address-list-timeout=30s \
  connection-state=new comment="SSH brute force stage 2"

add chain=input action=add-src-to-address-list protocol=tcp dst-port=22 \
  src-address-list=ssh-stage2 address-list=ssh-blacklist address-list-timeout=7d \
  connection-state=new comment="SSH brute force blacklist"

# 第一阶段纪录
add chain=input action=add-src-to-address-list protocol=tcp dst-port=22 \
  address-list=ssh-stage1 address-list-timeout=30s connection-state=new \
  comment="SSH brute force stage 1"

# 关闭黑名单
add chain=input action=drop src-address-list=ssh-blacklist comment="Drop SSH brute forcers"

这个三层检测机造的道理是：第一次SSH衔接尝试时参与 stage1 列表（30秒超时）
，30秒内第二次尝试进入 stage2
，再尝试则参与黑名单封禁7天。合法用户偶然输错密码不会被误封
，而暴力破解工具的高速尝试则会被迅速关闭。

6.2 按时安全剧本

结合 Scheduler 职能
，能够实现定期安全查抄和战术更新：

/system scheduler
add name=daily-security-check interval=24h on-event="/system script run security-check" \
  start-time=03:00:00

/system script
add name=security-check source={
  :log info "Running daily security check..."
  /ip firewall address-list remove [find list=port-scanners timeout-active=no]
  :log info "Cleaned expired address list entries"
}

七、pp电子力得：您的IT运维全能同伴

对于中幼企业而言
，网络安全的复杂性往往超出了内部IT团队的能力领域。礼聘专职网络安全工程师成本高昂
，而忽视安全则价值更大。pp电子力得（pp电子）推出的”IT全家桶”三合一整包运维服务
，正是为解决这一矛盾而生。

pp电子服务涵盖三大主题领域：

• 互联网接入：提供不变靠得住的企业级网络衔接
  ，确保业务永续运行。从带宽规划到链路冗余
  ，从MikroTik到华为设备的深度配置
  ，我们都有丰硕的实战经验。
• 免费网络设备：签约即获赠专业级网络设备
  ，无需一次性投入大额硬件采购资金。设备涵盖路由器、互换机、防火墙等全套网络基础设施。
• 不间断运维：7×24幼时监控与响应
  ，专业团队随时待命。上文提到的防火墙规定配置、安全战术优化、缝隙建补
  ，都能够交给我们来实现。

正如本文所展示的
，一个美满的防火墙配置涉及多个层面的协同工作——从基础的默认回绝战术到高级的自动化防御机造。pp电子力得的运维团队不仅把握这些技术
，更沉要的是
，我们可能凭据您的现实业务需要
，量身定造最相宜的安全战术
，让您的网络安全寂仔深杜字有温度。

网络安全不是一锤子买卖
，而是一场持续的攻防博弈。选择pp电子力得
，让专业的团队为您的数字化转型保驾护航。相识更多详情
，请接见 www.siwenlide.com 或致电征询。