Forti gate yapılandırma

FORTINET TEKNİK EĞİTİM

FIREWALL FIREWALL YAPILANDIRMAYAPILANDIRMA

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMANATNAT

Network Address Translation (Network Address Translation (Ağ Adres ÇevrimiAğ Adres Çevrimi))

-- Bir veya birden fazla ip adresinin, farklı ağlara başka ip Bir veya birden fazla ip adresinin, farklı ağlara başka ip adreslerini kullanarak erişmeleri işlemidir.Genellikle adreslerini kullanarak erişmeleri işlemidir.Genellikle private ip kullanılan ağlarda internet erişiminde private ip kullanılan ağlarda internet erişiminde kullanılır.kullanılır.

- Private IP Nedir?- Private IP Nedir? -A Sınıf 10.0.0.0 – 10.255.255.255.255-A Sınıf 10.0.0.0 – 10.255.255.255.255 -B Sınıf 172.16.0.0 – 172.31.255.255 -B Sınıf 172.16.0.0 – 172.31.255.255 -C Sınıf 192.168.0.0 – 192.168.255.255.255-C Sınıf 192.168.0.0 – 192.168.255.255.255

-Yerel ağlarda kullanılır ve internet adresleri olarak kullanılamaz.-Yerel ağlarda kullanılır ve internet adresleri olarak kullanılamaz. - Public IP Nedir ?- Public IP Nedir ?

-A Sınıf 0-126.x.x.x/8-A Sınıf 0-126.x.x.x/8 -B Sınıf 127-191x.x.x/16 -B Sınıf 127-191x.x.x/16 -C Sınıf 192-223.x.x.x/24-C Sınıf 192-223.x.x.x/24

- Internet ortamında kullanılır. Satın alınmalıdır.- Internet ortamında kullanılır. Satın alınmalıdır.

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMANATNAT

Network Address Translation (Network Address Translation (Ağ Adres ÇevrimiAğ Adres Çevrimi))

INTERNET

192.168.1.5/24

192.168.1.1/24

3.3.3.3

2.2.2.2

DA 3.3.3.3

SA 192.168.1.5

DA 3.3.3.3

SA 2.2.2.2

NATNAT

DA 192.168.1.5

SA 3.3.3.3

DA 2.2.2.2

SA 3.3.3.3

NATNAT

192.168.1.5 adresi internete çıkamaz. Çünkü bu adres private bir adrestir ve 192.168.1.5 adresi internete çıkamaz. Çünkü bu adres private bir adrestir ve internette yönlendirilmemiştir. İnternete çıkması için public bir adrese gerek internette yönlendirilmemiştir. İnternete çıkması için public bir adrese gerek duyar. Public adreside NAT sayesinde kullanabilir. Örneğimizde 2.2.2.2 duyar. Public adreside NAT sayesinde kullanabilir. Örneğimizde 2.2.2.2 adresini kullanarak internete çıkmaktadır.adresini kullanarak internete çıkmaktadır.

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMAVIRTUAL IPVIRTUAL IP

3.3.3.3

-Virtual ip sayesinde bir makinaya sanal bir adres tanımlanır. Kişiler bu -Virtual ip sayesinde bir makinaya sanal bir adres tanımlanır. Kişiler bu makinaya, tanımlanan sanal ip ile erişirler ve gerçek ip adresini göremezler. makinaya, tanımlanan sanal ip ile erişirler ve gerçek ip adresini göremezler. Bundan kasıt güvenlik ve verimliliktir. Genel olarak internetten lokal Bundan kasıt güvenlik ve verimliliktir. Genel olarak internetten lokal ağlardaki makinalara erişim için kullanılır.ağlardaki makinalara erişim için kullanılır.-Aşağıdaki örnekte 192.168.1.5 adresli makinayı internetten erişime açmak -Aşağıdaki örnekte 192.168.1.5 adresli makinayı internetten erişime açmak için virtual ip kullanmak gereklidir. için virtual ip kullanmak gereklidir.

-2.2.2.23 adresi 192.168.1.5 adresli makinanın internetteki 2.2.2.23 adresi 192.168.1.5 adresli makinanın internetteki ip adresi olmuştur. 2.2.2.23 e gelen tüm paketler ip adresi olmuştur. 2.2.2.23 e gelen tüm paketler 192.168.1.5 e iletilecektir.192.168.1.5 e iletilecektir.-Burda sadece adres maping yapılmıştır. Erişimin Burda sadece adres maping yapılmıştır. Erişimin gerçekleşmesi için “firewall > policy” de kural gerçekleşmesi için “firewall > policy” de kural oluşturmak gerekmekteditoluşturmak gerekmektedit

INTERNET

192.168.1.5/24

192.168.1.1/24

2.2.2.2 wan1 2.2.2.23

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMAVIRTUAL IP VIRTUAL IP ((PORT FORWARDING)PORT FORWARDING)

-Port forwarding, fortigate’in bir interface adresine gelen paketleri port -Port forwarding, fortigate’in bir interface adresine gelen paketleri port bazında diğer interfacelerdeki ip adreslerine yönlendirmek için kullanılır.bazında diğer interfacelerdeki ip adreslerine yönlendirmek için kullanılır.

INTERNET

192.168.1.5

192.168.1.1

wan1 2.2.2.2

192.168.1.6

33894899

4899

3389

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMAVIRTUAL IP VIRTUAL IP ((PORT FORWARDING)PORT FORWARDING)

-İnternet erişimi için bir adet public ip adresine sahip bir ağda, lokal ağa bir -İnternet erişimi için bir adet public ip adresine sahip bir ağda, lokal ağa bir serviseten sadece bir makinaya erişim verilebilmektedir. serviseten sadece bir makinaya erişim verilebilmektedir. Örneğin bizim public ip adresimizin bir tane (2.2.2.2) olduğunu varsayalım.Örneğin bizim public ip adresimizin bir tane (2.2.2.2) olduğunu varsayalım.İnternetten içerdeki iki makinaya 3389 servisinden erişmek istenirse normal İnternetten içerdeki iki makinaya 3389 servisinden erişmek istenirse normal şartlarda bu yapılamaz. Çünkü 2.2.2.2 ye gelen 3389 istekleri sadece bir adrese şartlarda bu yapılamaz. Çünkü 2.2.2.2 ye gelen 3389 istekleri sadece bir adrese yönlendirilebilir.yönlendirilebilir.

2.2.2.2 : 3389 >>> 192.168.1.5 : 33892.2.2.2 : 3389 >>> 192.168.1.5 : 33892.2.2.2 : 3389 >>> 192.168.1.6 : 33892.2.2.2 : 3389 >>> 192.168.1.6 : 3389

-Bu sorunu “port mapping” ile çözebiliriz.-Bu sorunu “port mapping” ile çözebiliriz.192.168.1.5 e ait 3389 portu internete 2000 olarak anons edilirken, 192.168.1.6 ya 192.168.1.5 e ait 3389 portu internete 2000 olarak anons edilirken, 192.168.1.6 ya iat 3389 portu 2001 olarak anons edilebilir. Böylece iki farklı makinaya tek bir iat 3389 portu 2001 olarak anons edilebilir. Böylece iki farklı makinaya tek bir public ip üzerinden aynı servisten erişilebilir.public ip üzerinden aynı servisten erişilebilir.

2.2.2.2 : 2000 >>> 192.168.1.5 : 33892.2.2.2 : 2000 >>> 192.168.1.5 : 33892.2.2.2 : 2001 >>> 192.168.1.6 : 33892.2.2.2 : 2001 >>> 192.168.1.6 : 3389

YapılamaYapılamazz

Yapılabil iYapılabil irr

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMAVIRTUAL IP VIRTUAL IP (Port Mapping)(Port Mapping)

INTERNET

192.168.1.5

192.168.1.1

wan1 2.2.2.2

192.168.1.6

20012000

3389

3389

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA

1.1. Varsayılan olarak tüm interfaceler arası erşim kapalıdır. Varsayılan olarak tüm interfaceler arası erşim kapalıdır.

2.2. firewall > policy de oluşturulan erişim kurallarının sırası firewall > policy de oluşturulan erişim kurallarının sırası önemlidir. Örneğin şahıs veya grup için tanımlanan önemlidir. Örneğin şahıs veya grup için tanımlanan kurallar önce genele ait kurallar sonra olmalıdır. kurallar önce genele ait kurallar sonra olmalıdır.

3.3. Interfaceler arası erişim açılırken genel tanımlar Interfaceler arası erişim açılırken genel tanımlar kullanmamaya özen gösterilmelidir.. (all, any vs.)kullanmamaya özen gösterilmelidir.. (all, any vs.)Hangi ip, hangi servisten ve nereye erişecek? Tüm Hangi ip, hangi servisten ve nereye erişecek? Tüm bunlar belirlenmeli ve tanımlanmalıdırbunlar belirlenmeli ve tanımlanmalıdır..

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA

DMZ110.20.20.1/24

FGT-100A

INTERNAL192.168.1.1/24

WAN110.0.0.1/24

Varsayılan olarak tüm interfaceler arası erşim kapalıdır !!!Varsayılan olarak tüm interfaceler arası erşim kapalıdır !!!

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA -Policy sırası önemlidir. -Policy sırası önemlidir. Paket bir policy ile eşleştiği zaman aynı erişim için diğer policyler ile karşılaştırılmaz.Paket bir policy ile eşleştiği zaman aynı erişim için diğer policyler ile karşılaştırılmaz. Aşağıdaki yapılandırmada istenen herkes internete erişirken Lab1 erişemeyecektir.Aşağıdaki yapılandırmada istenen herkes internete erişirken Lab1 erişemeyecektir.

-Doğru yapılandırma.-Doğru yapılandırma. Lab1 e ait trafik ilk policy ile karşılaştırıldığında engellenecektir.Lab1 e ait trafik ilk policy ile karşılaştırıldığında engellenecektir.

-Yanlış yapılandırma.-Yanlış yapılandırma. Lab1 e ait trafik ilk sıradaki policy ile karşılaştırılacak ve engellenmeyecektir.Lab1 e ait trafik ilk sıradaki policy ile karşılaştırılacak ve engellenmeyecektir.

DENYDENY

DENYDENY

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA Network ŞemasıNetwork Şeması

Server

INTERNET

DMZ10.20.20.1/24

WWWPOP3, SMTP

FGT-100A

192.168.1.5/24

192.168.1.10/24 10.20.20.2/24

TERMINAL SERVER

INTERNAL192.168.1.1/24

WAN110.0.0.1/24

Server

10.0.0.2/24

192.168.1.6/24

85.1.1.2

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA Erişim PlanıErişim Planı

80 ve 443 servisinden www.xxx

.com, ve www.yyy.com, 25,110 ve 53 servislerinden heryere

80, 25, 110 servislerinden 10.20.20.2 ye192.168.1.6

Saat 18:00-21:00 arası 80,23 ve 53 servislerinden heryere.Erişim yok192.168.1.10

Sınırsız erişimSınırsız erişim192.168.1.5

WAN1DMZINTERNAL

INTERNAL’dan diğer networklere erişimINTERNAL’dan diğer networklere erişim

http://www.yyy.com/


53,80,443,25,110

Servislerinden heryere

Erişim yok10.20.20.2

WAN1INTERNALDMZ

DMZ1’dEn diğer networklere erişimDMZ1’dEn diğer networklere erişim


3389 servisinden

192.168.1.10’a

80,25 ve 110 servisinden 10.20.20.2’ye85.1.1.2

Erişim Yok

80,25 ve 110 servisinden 10.20.20.2’yeHerkes

INTERNALDMZWAN1WAN1 (INTERNET)’den diğer networklere erişimWAN1 (INTERNET)’den diğer networklere erişim

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA Yapılandırma AdımlarıYapılandırma Adımları

• firewall > addresfirewall > addres• firewall > servicesfirewall > services• firewall > virtual ipfirewall > virtual ip• firewall > schedulefirewall > schedule• firewall > policyfirewall > policy• ADSL modem de mail server için port ADSL modem de mail server için port

yönlendirmeyönlendirme

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA 1. firewall > addres1. firewall > addres

- Örnek adres tanımlamaları;Örnek adres tanımlamaları;

Bir ip adresi tanımlama;Bir ip adresi tanımlama;

192.168.1.5 192.168.1.5 veyaveya 192.168.1.5/255.255.255.255 192.168.1.5/255.255.255.255 veya 192.168.1.5/32Bu tanım ile sadece bir ip adresi tanımlanmış oldu. Bir ip tanımlanırken Bu tanım ile sadece bir ip adresi tanımlanmış oldu. Bir ip tanımlanırken subnet mask’ın doğru yazılması veya hiç yazılmaması gerekmektedir. subnet mask’ın doğru yazılması veya hiç yazılmaması gerekmektedir. Yukardaki tanım 192.168.1.5/255.255.255.0 diye tanımlanacak olursa bu adrese Yukardaki tanım 192.168.1.5/255.255.255.0 diye tanımlanacak olursa bu adrese için oluşturulan kural ağdaki tüm makinalar için geçerli olacaktır.için oluşturulan kural ağdaki tüm makinalar için geçerli olacaktır.

Bir ip aralığı tanımlama;Bir ip aralığı tanımlama;

192.168.1.10-192.168.20 192.168.1.10-192.168.20 veyaveya 192.168.1.[10-20] 192.168.1.[10-20]

Bir ip subneti tanımlama;Bir ip subneti tanımlama;

192.168.1.0/255.255.255.0 192.168.1.0/255.255.255.0 veyaveya 192.168.1.0/24 192.168.1.0/24


Firewall > Addres > GroupFirewall > Addres > Group

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA 2. firewall > services2. firewall > services

- Sık kullanılan servisler - Sık kullanılan servisler firewall > services > predefined firewall > services > predefined de tanımlıdırde tanımlıdır..


- - firewall > services > predefined firewall > services > predefined de tanımlı olmayan servislere ihtiyacımız de tanımlı olmayan servislere ihtiyacımız olduğunda olduğunda firewall > address > customfirewall > address > custom da tanımlanabilir. Birden fazla servisi da tanımlanabilir. Birden fazla servisi tek bir kuralda kullanmak istersek tek bir kuralda kullanmak istersek firewall > address > groupfirewall > address > group da gruplama da gruplama yapılabilir.yapılabilir.

Protocol TypeProtocol TypeTCP,UDP,ICMP,IP olabilir. Kullanacağımız servis hangi protokolü kullanıyorsa onu belirtiyoruz.

Source PortSource PortBu alan 1-65535 olarak kalabilir. Genelde source port sabit olmadığı için bu şekilde bırakıyoruz.

Destination PortDestination PortBu alana hangi servisi tanımlıyorsak onu belirtiyoruz. Aralık belirtebiliriz veya tek bir port belirtebiliriz.2000-3000, 3389-3389

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA 3. firewall > virtual ip3. firewall > virtual ip

ADSL modemin bağlı olduğu interface. wan1

Static NAT

Wan1 ip grubundan kullanılmayan bir ip yazıyoruz

Mail serverın ipsini yazıyoruz.

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA 4. firewall > schedule4. firewall > schedule

2- Recurring: Günlük periyotlarda sürekli geçerli olacak kurallar için zamanlama burdan tanımlanır. Süreklilik vardır. Örneğin her gün 08:00-09:00arası, her cuma 09:00-21:00 arası gibi.

-Tanımlanan erişim kurallarının zaman bazlı çalışmasını sağlar. İki tür zamanlama -Tanımlanan erişim kurallarının zaman bazlı çalışmasını sağlar. İki tür zamanlama tanımlamak mümkün.tanımlamak mümkün.

1- One-Time:1- One-Time: Sadece belirli bir zamanda burda belirtilen zamanda çalışır ve Sadece belirli bir zamanda burda belirtilen zamanda çalışır ve birdaha çalışmaz. Süreklilik yoktur. Örneğin 2005-20010 geçerli olmasını istediğimiz birdaha çalışmaz. Süreklilik yoktur. Örneğin 2005-20010 geçerli olmasını istediğimiz kurallar için zamanlama burdan tanımlanır. Kural sadece yılları rasında, 09.05.2005 kurallar için zamanlama burdan tanımlanır. Kural sadece yılları rasında, 09.05.2005 08:00-09:00 arası gibi. 08:00-09:00 arası gibi.

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA 4. firewall > schedule4. firewall > schedule

firewall > schedule > recurringfirewall > schedule > recurring

- - 192.168.1.10 adresli TERMINAL SERVER ‘ın hergün 18:00-21:00 saatleri 192.168.1.10 adresli TERMINAL SERVER ‘ın hergün 18:00-21:00 saatleri arasında gerekli güncellemeri yapabilmesi için zamanlama tanımlamak arasında gerekli güncellemeri yapabilmesi için zamanlama tanımlamak gerek. Bu işlem günlük yapılacağı için gerek. Bu işlem günlük yapılacağı için recurring recurring bölümünden zamanlama bölümünden zamanlama tanımlıyoruz.tanımlıyoruz.

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA 5. firewall > policy5. firewall > policy

-Önceki 4 adımda erişim kuralarını oluşturmak için gerekli Önceki 4 adımda erişim kuralarını oluşturmak için gerekli servisler, adresler, virtual ip ve zamanlamala tanımlanmıştır. servisler, adresler, virtual ip ve zamanlamala tanımlanmıştır. Artık bu tanımlar kullanılarak kurallar oluşturulabilir.Artık bu tanımlar kullanılarak kurallar oluşturulabilir.

--Internal > DmzInternal > Dmz ve ve Internal >Wan1Internal >Wan1 erişimleri için oluşturulan erişimleri için oluşturulan kurallarda NAT aktif edilmelidir. kurallarda NAT aktif edilmelidir. Internal > Dmz, Dmz > Internal > Dmz, Dmz > Internal, Wan1 > Internal Internal, Wan1 > Internal veve Wan1 > Dmz Wan1 > Dmz erişimleri için erişimleri için oluşturulan kurallarda NAT aktif edilmeyecektiroluşturulan kurallarda NAT aktif edilmeyecektir..


Sınırsız erişimSınırsız erişim192.168.1.5

WAN1DMZINTERNAL


80 ve 443 servisinden www.xxx.com, ve www.yyy.com, 25,110 ve 53 servislerinden heryere

80, 25, 110 servislerinden 10.20.20.2 ye192.168.1.6

WAN1DMZINTERNAL

http://www.yyy.com/


80 ve 443 servisinden www.xxx.com, ve www.yyy.com, 25,110 ve 53 servislerinden heryere

80, 25, 110 servislerinden 10.20.20.2 (MAIL SERVER) ye

192.168.1.6

LAB2

WAN1DMZINTERNAL

http://www.yyy.com/


Saat 18:00-21:00 arası 80,23 ve 53 servislerinden heryere.

Erişim yok192.168.1.10TERMINAL SERVER

WAN1DMZINTERNAL


53,80,443,25,110

Servislerinden heryereErişim yok10.20.20.2MAIL SERVER

WAN1INTERNALDMZ


Erişim Yok80,25 ve 110 servisinden 10.20.20.2’ye

Herkes

INTERNALDMZWAN1


3389 servisinden

192.168.1.10’a

80,25 ve 110 servisinden 10.20.20.2’ye

85.1.1.2

UZAK KULLANICI

INTERNALDMZWAN1

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA 6.Modem Port Yönlendirme6.Modem Port Yönlendirme

-Port yönlendirme yapılandırması kullanılan adsl modeme göre farklılık arzedebilir.Port yönlendirme yapılandırması kullanılan adsl modeme göre farklılık arzedebilir.

Farklı modemlerde bu işlem Farklı modemlerde bu işlem port forwardingport forwarding, , virtual servervirtual server, , port redirectionport redirection, , nat rulenat rule gibi gibi ismlendirilmektedir. Aşağıda DRAYTEK modemlerde port yönlendirmesi yapılmıştır.ismlendirilmektedir. Aşağıda DRAYTEK modemlerde port yönlendirmesi yapılmıştır.

FIREWALL YAPILANDIRMAFIREWALL YAPILANDIRMA Network ŞemasıNetwork Şeması

Server

INTERNET

DMZ10.20.20.1/24

MAIL SERVER

3389192.168.1.10

TERMINAL SERVER

INTERNAL192.168.1.1/24

WAN110.0.0.1/24

Server

10.0.0.2

338910.0.0.10

3389x.x.x.x

80,110,25x.x.x.x

80,110,2510.0.0.20

80,110,2510.20.20.20

x.x.x.x=adsl public ip

Forti gate yapılandırma

Design

Transcript of Forti gate yapılandırma