|
Fortinet FortiGate Temel Kurulum Version 3.0 MR 6
- MR7
1 – System - Ana Menu
2 – Router - Yonlendirme
3 – Firewall - Guvenlik Tanimlamalari
4 – Vpn - Ozel Ag Yapilandirmasi (Ipsec,Pptp,Ssl)
5 – Ips&Idp - Saldiri Tespiti Ve Durdurma
6 – Web Filter - Web Ve Icerik kisitlamalar
7 – AntiVirus & File Block - Virus Korumasi-Dosya Engelleme - Grayware
Korumasi
8 – AntiSpam BWL List - Istenmeyen Maillerden Kurtulma
9 – Log - Report Izleme ve Raporlama
10-Fortinet Ek Donanim
Fortinet Urunlerinden FortiGate U.T.M. ile ilgili temel kurulum
bilgilerini aktaracagim.
Kuruluma baslamadan bilinmesi gereken bazi konular var.Once bunlara
cevap verelim.
U.T.M. Nedir ? Unified Threat Management – Butunlesik Tehdit Yonetimi
U.T.M. Neden Tercih Ediliyor ? Gunumuz bilgisayar teknolojileri fazlasi
ile ilerledi.Sadece bir firewall yada antivirus sistemi korumamizda
gucsuz kaliyor.Coklu tehditler her an karsimiza cikabilir.Ornegin bir
web sayfasindan bulasan virus bu esnada sisteme gelen bir trojan ihtiva
eden elektronik posta sistemimizin bozulmasina cesitli kayiplara sebeb
olmaktadir. Tehlikeler ag girisinde daha aga girmeden tesbit edilip
savusturulabilir.Gereksiz yere bilgi kaybi,zaman kaybi ve firmalarin
maddi kayiplari bu sayede engellenmektedir.Fortinet bu konuda
firewall,ips&idp,antivirus (malware,spyware,grayware),Web Category
Filter,Antispam Korumasi,IM&P2P Korumasi,Vpn Destegi (SSL,IPSEC,PPTP)
ile gunumuz kullanicilarina en ust seviyede guvenlik cozumu
saglamaktadir.
Kurulum – Giris
SYSTEM
Fortigate cihazimiz fabrika degeri olarak 192.168.1.99 ip adresi ile set
edilmistir..Cihaza ulasmak icin HTTP,HTTPS,TELNET,SSH,SNMP ile
erisebilir yonetimini ve ayarlarini yapabiliriz.Oncelikle
bilgisayarimizin ip adresini 192.168.1.250 veriyoruz.Web Browser adres
kismina https://192.168.1.99 yaziyoruz.Sertifika uyarisina devam ederek
kullanici adi admin password kismini bos birakarak cihaza
giriyoruz.Karsimiza gelen ana ekran asagidaki gibidir.
Resimde gorulen cihaz register edilmis tum servisleri kullanilan bir
cihazdir.Cihazimizi oncelikle
https://support.fortinet.com/Login/UserRegistration.aspx linkinden kayit
ediyoruz.Kurulum bitene kadar resimdeki gibi servislerimizin uzerinde
yesil check isreti olucaktir.Register edildikten sonra 15 ile 30 dk
arasinda servisler aktif olur.Kisaca menuler hakkinda bilgi vermek
gerekirse
Status Ekrani =
* Sessionlar – Cihazimiz uzerinden gecen networkteki gelen giden tcp,udp
paketlerini gorebiliriz.
* Istatistik bilgileri – Saldirilar,virusler,spamlar ve yapilan itekleri
gorebiliriz.
* Lisans Durumu – Cihazimizin register baslangic ve bitis suresini
servis durumunu gorebiliriz.
* Tarih zaman
* Log bilgileri
* Komut satiri yonetimi – Web arayuzunden yapamadigimiz islemler icin
kullandigimiz alan.
* Memory ve Cpu durumunu gorebiliriz.Resimdeki versiyon FORTI OS MR 6 .
Network Ekrani = Ag gecidi ip adresimiz ,Wan baglantilarimiz,Dns
ayarimiz,vlan trunk olusturma,Secondary Ip yapilandirma,Yonetim portlari
(https,http,telnet vs) Bu kisimdan modemimizi bridge moduna alarak
internet baglantilarimizi saglariz.Dikkat edilmesi gereken husus Over
ride internal dns ve Retrive default gateway from server kutucuklarinin
dolu olmsi gerekmektedir.
Disardan cihaza baglanip yonetim yapilacaksa
http,https e izin vermek gerekir.
Ornek Resim
Dhcp sunucu yapilandirma
Config - Bu bolumden mesajlarin icerigine mudahale edebiliriz.Default
ingilizcedir.
Operation mode - Bu kısımdan cihazımızı transparent veya route - nat
mode da ayarlayabiliriz
Admin – Bu kisimdan admin veya user yaratarak cihaza girisleri kontrol
altina aliriz.Cihaza dışarıdan erişim ayarlarını yapabiliriz
dışarıdan cihazımıza 443 nolu port yerine 12443 nolu port yazarak
erişmemizi bu alandan ayarlıyoruz.
Maintanance kismindan backup,restore ve fortiguard antivirus,antispam ve
web category filter servisimizi aktif ederiz.
Router
Statick ve Policy Route yaptigimiz kisim.
Policy – Kural
Sistemimizdeki kullanicilarin hangi haklar ile hangi servise erisecegine
karar verdigimiz kisimdir.asagida gorebileceginiz gibi cesitli senaryolar
uygulayabiliriz.
Ornek : Finansman,Muhasebe,Yonetim guruplarımiz var.
Kullanici Haklari Hakkinda Bilgi
Finansman Haklari : gov.tr,org.tr,net.tr,edu.tr sitelerde filitre
uygulanmayacak. ips,idp korumasi saglanacak.Antivirus
(Malware,spyware,grayware) korumasi olucak.2 mb uzerindeki dosyalari ftp
den gecebilirken,mail veya web aryuzunden 2 mb uzeri dosyalar
engellenecek.Zip,Rar için hiç bir kisitlama engel olmayacak.Web filter
uygulanarak istenmeyen siteler engellenecek.Msn den dosya transferi
engellenirken P2P Programlarda download engellenecek veya Limit
verilecek.Bu kullanicilarin banka ve finans sitelerine erisimlerinde
garanti olark 30 kb hiz verilecek,mail vs diger web sitelerinde 10 kb
uzerine cikamayacak.Http,https,pop3,smtp,ntp,im portlari,acik
olucak.Diger tum portlara erisimi kapatilacak.
Kelime engellenecek ornegin google’da cocuk pornosu gibi.
Muhasebe Haklari : gov.tr,org.tr sitelerde filitre
uygulanmayacak.Antivirus (Malware,spyware,grayware) korumasi olucak.1 mb
uzerindeki dosyalari web,ftp,pop3,smtp den engellenecek. Web filter
uygulanarak tum web siteleri engellenecek.Msn,icq,aol,yahoo gibi IM’ler
engellenirken P2P Programlarda engellenecek.Sadece oglen tatilinde 30 dk
im,p2p veya izin verilen tum siteler acilacak.ips,idp korumasi
saglanacak. Http,https,pop3,smtp,ntp,im portlari,acik olucak.
Yonetim Haklari : Her turlu siteye erisim olucak.Antivirus korumasi
saglanarak malware,spyware,grayware’ler engellenecek.Kandirmaca sifre
sayfalari engelenecek.IM,P2P acik olucak.IM ’ de gelen giden dosyalarda
virus taramasi saglanacak.Ips,idp korumasi saglanacak.Tum portlar izinli
olucak.
Bu kurallarimiz icerden disari calisacak.Mail serverimiz kendi
ofisimizde ise yada terminal server baglantimiz var ise yapilmasi
gerekenler.Disardan iceri policy olusturulmali.Sabit portlar
kullanilmamali.Ornegin Uzak masa ustu icin 3389 kullanilir.Bunun yerine
disaridan 45345 isteklerini iceriye 3389 olarak al ve Terminal Server’a
yonlendir demeliyiz.Fortigate firewall da en onemli yer Protection
Profile (Koruma Profili) kismidir.
Aklimiza gelen her turlu kisitlama bu bolumden yapilir.Ornegin
proxyleri,web chat sitelerini,youtube tarzi multi medya download
sitelerini,hacking ile ilgili siteleri gibi bir cok siteyi
engelleyebiliriz.Su an dunya uzerinde 98.000.000 web sitesi
bulunmaktadir.Fortinet firmasi Fortiguard Center’da 49.000.000 web
sitesini kategorize etmis durumda.Antivirus korumasi
http,https,ftp,smtp,pop3,IM,imap,Nntp korumasi ve dosya transferi
engelleme yapabiliriz.
Kullanicilarin web,antivirus,ips,idp,fileblock gibi haklarini tamamen bu
kisimdan ayarlariz.
Bu kısımda kısıtlamalar HTTPS üzerindende yapılıcaksa işaretlenmelidir.
Proxyleri engellemek için aşağıdaki gibi engelleme yapıyoruz
Ips ayarlarını burdan yapmanız önerilir.Cihazınız sisteminize yetiyorsa
her kutucuğa veya mr 7 versiyonundaki hali ile protect client demeniz
gerekmekte.
Msn veya benzeri uygulamaların internet çıkışını engellemek 2. olarak bu
kısımdan alternatif seçenekler bulunmakta.
Dışardan içeriye girişleri aşağıdaki şekilde ayarlayabilirsiniz.
fortigate One to One Nat Tanimlamasi
Policyde port seçmeyi,loglama ve koruma uygulamayi unutmayiniz
Zamanlı çalışma örneği
Servis ayarları ekran görüntüleri
Adres yapılandırması
Web url filtering : Bu bize manuel sitelere erişim veya yasak vermemizi
sağlar Kelime engellemesi yapabilirsiniz.
Örnek Policy
Dosya Engelleme
Grayware Koruması ve ayarları
Msn (IM) P2P log ve block ekranı
Fortigate firewall ipsec,ssl,pptp vpn’de de virus korumasi,port
engellemesi gibi guvenlik saglar.Sayet istenirse authentication
yapilabilinir.Token cihazlar ile tumlesik calisabilir.Active directory
ile birlikte calisabilir.
|
