FortiGate Güvenlik Duvarı Politikaları Uygulaması: (Bölüm 2)

FortiGate Güvenlik Duvarı Politikaları Uygulaması: (Bölüm 2)

Önceki bölümde, bir güvenlik duvarı kurmak için gerekli olan bazı temel güvenlik duvarı politikalarını uygulaması yapmıştık. Bu blogda o uygulamalara ek olarak biraz daha ileri seviyesini görmeye çalışacağız.

Bu bölümde, FortiGuard kategorilerini kullanarak sosyal medya web sitelerine erişimi nasıl engelleyeceğimizi öğreneceğiz.

Bu tür bir işlevi kullanmak için FortiGuard web filtreleme hizmetinin aktif bir lisansının gerekli olduğunu hatırlatmak gerekiyor.

FortiGuard kategorileriyle web filtreleme, bir grup web sitesine karşı önlem almanıza olanak sağlarken, statik bir URL filtresiyle de belirli URL’leri engellemesi veya izlemesi amaçlanır.

Web Filtresi Etkinleştirme

system > feature kısmına giderek “Web Filter Feature” kısmını etkinleştirmeniz gerekmektedir.

Web Filtresi Profilini Düzenleme

Security Profiles > Web Filter” giderek varsayılan web filtresi profilini düzenleyebilirsiniz. “FortiGuard category-based” filtresini etkinleştirmelisiniz.

FortiGuard “General interest” kategorisinde sağa tıklayınız.“Social networking” alt kategorisinde “Block” kısmını seçmelisiniz.

İnternet Erişim Politikasına Web Filtresi Profili Ekle

“Policy & objects > Firewall Policy”‘na gidiniz ve yeni bir politika oluşturun

Tanımlanabilir hale getirmek için “Blocking-social media” politikasına ad verebilirsiniz. Gelen arabirimi dahili ağa ve giden arabirimi internete bakan arabirime ayarlayınız. Geri kalanı “ALL” diyebilirsiniz.”+” simgesini seçerek birden fazla kural seçebilirsiniz ve “Accept” eylemi “NAT” ı etkinleştirir. “default Web filter” kısmından profili seçiniz ve yapılandırmayı kaydediniz.

Şimdi, sosyal medya engelleme politikasını etkili kılmak için listenin en üstüne taşıyarak etkinleştirebilirsiniz.

İki FortiGate ile Siteden Siteye IPsec VPN Tüneli

Bu bölümde, farklı FortiGates’lerin arkasında bulunan iki ağ arasında iletişime izin vermek için siteden siteye IPsec VPN tüneli yapılandıracağız.

İki FortiGates arasında bir IPsec VPN tüneli oluşturacağız, bunlardan birine HQ (Genel Merkez), diğerine şube adı verilir.

IPsec VPN’i HQ’da yapılandırma

HQ FortiGate’de VPN>IPsec sihirbazına gidiniz ve yeni bir tünel oluşturunuz.

Bu bölümde, VPN kurulumu, tanımlanabilir hale getirmek için bir VPN adını açıklayınız. Şablon türünü Site-to-site olarak ayarlayınız. NAT yapılandırmasını siteler arasında NO NAT olarak ayarlayınız ve uzak cihaz türünü FortiGate olarak ayarlayın.

Kimlik Doğrulama Bölümünde, IP adresini Branch FortiGate’in Genel IP adresine ayarlayınız.

IP adresini girdikten sonra, giden arayüze bir arayüz atanır. Arayüzü açılır menüden ihtiyacınıza göre değiştirebilirsiniz.

Her iki FortiGates için bağlanmak ve doğrulama yapmak için kullanılan güvenli bir Önceden paylaşılan(Pre-shared Key) anahtar ayarlayın .

Policy & Routing bölümünde yerel arabirimi “LAN” olarak ayarlayınız. Aşağıdaki durumda “port1” LAN’a atanmıştır ve yerel alt ağlar otomatik olarak eklenecektir. Ardından “Uzak Alt Ağları”  ağına ayarlayacak ve internet erişimini ” Yok” olarak ayarlayacaktır. Aşağıda gösterildiği gibi

Bir simge oluştur seçeneğini belirledikten sonra arayüzleri, güvenlik duvarı adreslerini, yolları ve politikaları gösteren yapılandırdığınız yapılandırma özetini inceleyin.

VPN oluşturduktan sonra, ayrıntıları aşağıda gösterildiği gibi doğrulayabilirsiniz. 

IPsec VPN’i yapılandırma

Branch FortiGate’te, VPN> IPsec sihirbazına gidin ve yeni bir tünel oluşturun.

Bu bölümde, VPN kurulumu, tanımlanabilir olması için bir VPN adını açıklar, Şablon türünü Siteden Siteye, NAT yapılandırmasını siteler arasında ” NO NAT” olarak ayarlayın ve Uzak Cihaz türünü FortiGate olarak ayarlayın.

Kimlik Doğrulama Bölümünde, IP adresini Branch FortiGate’in Genel IP adresine ayarlayın.

IP adresini girdikten sonra, giden arayüze bir arayüz atanır. Arayüzü açılır menüden ihtiyacınıza göre değiştirebilirsiniz.

HQ FortiGate VPN’inde kullanılan güvenli bir Önceden paylaşılan anahtar(Pre-Shared Key) ayarlayın .

Policy & Routing bölümünde Yerel arabirimi “LAN” olarak ayarlayınız. Aşağıdaki durumum “Port2” LAN’a ayrılmıştır ve yerel alt ağlar otomatik olarak daha fazla eklenecktir. Ardından “Remote Subnets” HQ (Genel Merkez) ağına ayarlayacak ve internet erişimini aşağıdaki şekilde ayarlayacaktır.

Oluştur(Create) simgesinin seçildiğini doğruladıktan sonra arayüzleri, güvenlik duvarı adreslerini, yolları ve politikaları gösteren yapılandırdığınız yapılandırma özetini inceleyin.

VPN oluşturduktan sonra, ayrıntıları aşağıda gösterildiği gibi doğrulayabilirsiniz.  

Ayrıca, Genel Merkez (HQ) kullanıcılarının Şube dahili ağındaki kaynaklara erişebildiğini ve Vice Versa’daki kaynaklara erişebileceğini doğrulayabilirsiniz.

Bağlantıyı test etmek için, cihaz şube dahili ağından HQ LAN arayüzüne ping atın.

Veya ayrıca Günlük ve Rapor Et> Olaylar> VPN Olayları’na giderek VPN’in LOG kayıtlarını kontrol edebilirsiniz.

Alt Bölge ile Politikaları Basitleştirme

Bu Bölümde, Güvenlik Duvarı Politikalarını basitleştirmek için çoklu arayüzlerin Zone olarak nasıl gruplandırılacağını açıklayacağız.

Birden fazla VLAN oluşturarak, bunları bir bölgeye ekleyeceğiz, böylece her bir arabirime ayrı ayrı başvurmak yerine, tek bölge nesnesini güvenlik duvarı politikamızda bir kaynak arabirim olarak kullanabiliriz.

VLAN Arayüzleri Oluşturma

Network>Interfaces” kısmına gidiniz ve yeni bir arayüz oluşturunuz.

VLAN10 arabiriminin adını veya istediğinizi girin, türü VLAN olarak seçiniz. Arabirimden LAN seçeneğini seçiniz, VLAN kimliğini giriniz ve VRF kimliğini girin. Rolü LAN’a atayınız, adresleme modunu manuel olarak ayarlayınız, ISS’niz tarafından sağlanan IP/Ağ Maskesini girin ve HTTPS’ye Yönetim Erişimi, PING’i seçin

DHCP sunucusunu etkinleştirin ve adres aralığını daha fazla atayınız, ardından yapılandırmayı kaydediniz.

Sonra, aynı seçimleri yaparak başka bir tane oluşturun…

Network>Interfaces kısmına gidiniz ve yeni bir arayüz oluşturun.

VLAN20 arabiriminin adını veya istediğinizi girin, türü VLAN olarak seçin, Arabirimden LAN’a seçeneğini seçin, VLAN kimliğini girin, VRF kimliğini girin. Rolü LAN’a atayın, Adresleme modunu manuel olarak ayarlayın, ISS’niz tarafından sağlanan IP / Ağ Maskesini girin ve HTTPS’ye Yönetim Erişimi, PING’i seçin

DHCP sunucusunu etkinleştiriniz ve adres aralığını daha fazla atayın, ardından yapılandırmayı kaydedin.

Son olarak, aynı seçimi yaparak 3. kez VLAN oluşturunuz.

Network>Interfaces kısmına gidiniz ve yeni bir arayüz oluşturun.

VLAN30 arabiriminin adını veya istediğinizi girin, türü VLAN olarak seçin, Arabirimden LAN’a seçeneğini seçin, VLAN kimliğini girin, VRF kimliğini girin. Rolü LAN’a atayın, Adresleme modunu manuel olarak ayarlayın, ISS’niz tarafından sağlanan IP / Ağ Maskesini girin ve HTTPS’ye Yönetim Erişimi, PING’i seçin

DHCP sunucusunu etkinleştiriniz ve adres aralığını daha fazla atayınız, ardından yapılandırmayı kaydediniz.

Oluşturduğunuz VLAN’ları görmek için arayüz listesini inceleyiniz.

Bir Arayüz Bölgesi Oluşturun

Network>Interfaces kısmına gidiniz ve yeni bir alan oluşturunuz.

Bölgeyi tanımlanabilir hale getirmek için “VLAN Bölgesi” olarak adlandırın ve aşağıda gösterildiği gibi yeni oluşturulan VLAN’ları buraya ekleyin.

Eklediğiniz VLAN’ları görmek için Bölge listesini inceleyin.

Bölge Güvenlik Duvarı Politikası Oluşturma

Politika ve Nesneler> Güvenlik Duvarı Politikası’na gidin ve oluşturduğumuz Bölgedeki herhangi bir VLAN’ın internete erişmesine izin verecek yeni bir politika oluşturun.

“VLAN Bölge Politikası” na bir ad atayın , onu tanımlanabilir hale getirin, Gelen arayüzünü Bölgenize ve giden arayüzü internete bakan arayüze ayarlayın . Gerisini gerektiği gibi veya ihtiyacınıza göre yapılandırın.

Gereksinimlerinize göre güvenlik profillerini seçiniz ve Tamam’ı seçerek yapılandırmayı kaydedin.

Bu Politikayı etkili kılmak için, ortamınıza göre, hangi politikanın Üstte olması gerektiğine göre listenin başına taşıyın.

Okuduğunuz için teşekkür ederim, diğer yazılarda görüşmek üzere.

Kaynakça:

http://docs.fortinet.com/document/fortigate/6.2.4/cookbook/856100/dashboard

Implementation of Firewall Policies :FortiGate (Part 2)

Related Posts

Leave a Reply