Фаервола, который есть в конфигурации по умолчанию, достаточно, чтобы защитить Вас от атак снаружи, при условии что ether1 - это WAN-интерфейс. Если это не WAN - тогда поменяйте интерфейс в drop-правилах на необходимый. А так - отключайте неиспользуемые службы. Я для себя всегда оставляю только winbox и ssh, всё остальное нафиг (ну ладно, иногда нужен ftp). Цепочка для фильтрации входящего (направленного непосредственно к микротику) трафика - это input. А вообще - учите мат.часть, сходите, отучитесь на MTCNA, получите хорошее представление о принципах работы фаервола.
