Adım Adım FortiGate Firewall Yönetimi: ACL, NAT ve Web Filtreleme

30 Aralık 2025

#SiberGüvenlik#NetworkSecurity#FortiGate#WebFiltering#FirewallKuralları#HTTPSInspection#NAT#ACL#AğYönetimi#FortiGuard

👁 0🤍 0

Adım Adım FortiGate Firewall Yönetimi: ACL, NAT ve Web Filtreleme

Firewall'unuzu Etkin Kullanma Rehberi: FortiGate ile Web Filtreleme ve Erişim Kontrolü

Alt Başlık: Kurumsal Ağ Güvenliğinizi Basit Kurallar ve Akıllı Politikalarla Nasıl Güçlendirirsiniz?

Giriş

Şirketinizde bir çalışanın sosyal medyada saatler geçirdiğini veya güvenli olmayan bir web sitesinden dosya indirdiğini düşünün. Bu sadece bir verimlilik kaybı değil, aynı zamanda fidye yazılımı, veri sızıntısı veya ağınızın tamamen ele geçirilmesi gibi ciddi siber güvenlik tehditlerine davetiye çıkarabilir.

Modern bir firewall (özellikle FortiGate), sadece trafiği engelleyen basit bir duvar değil, ağınızın güvenliğini ve verimliliğini artıran akıllı bir merkezdir. Bu yazıda, FortiGate firewall üzerinden bu riskleri basit ama etkili kurallar ve filtrelerle nasıl minimize edeceğimizi adım adım inceleyeceğiz.

Bölüm 1: Temelleri Anlamak: Firewall Kuralları (ACL'ler) ve NAT

Access Control Lists (ACL'ler) – Ağınızın Trafik Polisleri

Firewall kuralları, ağ trafiğinin akışını kontrol eden temel yapı taşlarıdır. Her kural dört temel bileşenden oluşur:

Kaynak (Source): Trafiğin geldiği IP adresi veya ağ segmenti
Hedef (Destination): Trafiğin gitmek istediği IP adresi veya ağ segmenti
Servis (Port): Kullanılan protokol ve port numarası (HTTP:80, HTTPS:443, SSH:22 vb.)
Eylem (Action): İzin Ver (Allow) veya Reddet (Deny)

Örnek Senaryo: Departmanlar Arası Erişim Kontrolü Muhasebe departmanının hassas finansal verilere erişimini korumak için pazarlama departmanından gelen erişimleri kısıtlayalım:

# FortiGate CLI örnek kuralı
config firewall policy
    edit 1
        set name "Muhasebe-Koruma"
        set srcintf "port1"  # Pazarlama ağı
        set dstintf "port2"  # Muhasebe ağı
        set srcaddr "192.168.20.0/24"  # Pazarlama IP aralığı
        set dstaddr "192.168.10.0/24"  # Muhasebe IP aralığı
        set action deny
        set schedule "always"
        set service "ALL"
    next
end

NAT (Ağ Adresi Çevirisi) Nedir? NAT, şirket içindeki özel IP adreslerinin (192.168.x.x, 10.x.x.x) dış dünyaya tek bir genel IP adresinden çıkmasını sağlar. Bu hem IP adresi tasarrufu sağlar hem de iç ağ yapınızı gizler.

# Basit bir NAT kuralı örneği
config firewall policy
    edit 2
        set name "Internet-Erisim"
        set srcintf "internal"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set nat enable
    next
end

Bölüm 2: İnterneti Akıllıca Filtreleme: Web Filtreleme ve Kategori Tabanlı Kontrol

Web Filtreleme – Zararlı ve Verimsiz İçeriğe Erişimi Engelleme Sanatı

Web filtreleme, tek tek web sitelerini engellemekten çok daha akıllı bir yaklaşımdır. FortiGate, FortiGuard adı verilen ve milyonlarca web sitesini sürekli güncellenen kategorilere ayıran devasa bir veritabanı kullanır.

FortiGuard Kategorilerinden Bazıları:

Sosyal Medya (Facebook, Twitter, Instagram)
Alışveriş Siteleri
Yetişkin İçeriği
Zararlı Yazılım Barındıran Siteler
Oyun Siteleri
Dosya Paylaşım Siteleri

Örnek: Zaman Tabanlı Web Filtreleme Politikası

İş saatlerinde sosyal medya erişimini engelleyip, öğle arası ve iş sonrasında serbest bırakan bir politika:

config webfilter profile
    edit "Calisan-Web-Filtresi"
        config web
            edit 1
                set category 26  # Sosyal Medya kategorisi
                set action block
                set log enable
            next
        end
        set override-block-msg "Bu site iş saatlerinde engellenmiştir"
        set schedule "is-saatleri"
    next
end

# İş saatleri schedule tanımı
config firewall schedule recurring
    edit "is-saatleri"
        set day monday tuesday wednesday thursday friday
        set start 09:00
        set end 17:00
    next
end

Mod Karşılaştırması:

Monitor Modu: Sadece izle ve logla. Politikayı test etmek için idealdir.
Block Modu: Engelleme işlemini aktif olarak uygular.

İpucu: Yeni bir filtre politikası uygulamadan önce mutlaka Monitor modunda test edin ve logları inceleyin.

Bölüm 3: Derinlemesine Güvenlik: Paket İnceleme ve HTTPS Denetimi

Tehditleri Yüzeyde Değil, İçerde Yakalayın

FortiGate'in paket inceleme metodları arasındaki farkı anlamak kritik öneme sahiptir:

Özellik	Flow-Based Inspection	Proxy-Based Inspection
Çalışma Şekli	Sadece paket başlıklarını inceler	Tüm paket içeriğini derinlemesine inceler
Performans	Yüksek	Göreceli olarak daha düşük
Güvenlik	Temel	Gelişmiş (SSL/TLS şifrelemesini çözebilir)
Kullanım	Basit filtreleme	Antivirus, IPS, DLP gibi özelliklerle

HTTPS Denetimi (Sertifika Yakalama) Zorluğu ve Çözümü

Modern web trafiğinin büyük kısmı HTTPS ile şifrelenmiştir. Firewall'un bu trafiği kontrol edebilmesi için içeriği "okuyabilmesi" gerekir. Bu da SSL/TLS İncelemesi ile mümkündür.

Sorun: Firewall, kendi sertifikasını kullanarak şifreli bağlantıya aracılık eder. Bu, kullanıcı tarayıcısında "güvenli değil" uyarısına sebep olabilir.

Çözüm: Firewall'un kök sertifikasını şirket içindeki tüm cihazlara güvenilir sertifika yetkilisi olarak yükleyin.

# HTTPS denetimi için profil oluşturma
config firewall ssl-ssh-profile
    edit "deep-inspection"
        set https deep-inspection
        set untrusted-caname "FortiGate-CA"
        set certname "FortiGate-SSL-Cert"
    next
end

Önemli Not: HTTPS denetimini uygulamadan önce firewall sertifikasını tüm istemci cihazlarına dağıtın. Aksi takdirde kullanıcılar sürekli güvenlik uyarısıyla karşılaşır.

Bölüm 4: Olmazsa Olmaz: Loglama ve Sorun Giderme (Troubleshooting)

Kurallarınız İşliyor mu? Sorunları Nasıl Çözersiniz?

Loglama Önemi: "Loglamayan kural, aslında yok sayılır." Firewall logları, hem güvenlik olaylarını takip etmek hem de sorun giderme için hayati öneme sahiptir.

Log Türleri Karşılaştırması:

Tüm Oturumlar (All Sessions): Tüm trafiği loglar, detaylı analiz imkanı sağlar
Güvenlik Olayları (Security Events): Sadece politika ihlalleri ve güvenlik tehditlerini loglar, depolama gereksinimi daha düşüktür

Pratik Troubleshooting Rehberi:

Bir kullanıcı "İnternete bağlanamıyorum!" şikayetiyle geldiğinde izleyeceğiniz sistematik yaklaşım:

# Adım 1: Yerel ağ geçidine ping atma (temel bağlantı testi)
ping 192.168.10.1

# Başarısızsa: Ağ bağlantısı, IP konfigürasyonu veya switch problemi

# Adım 2: İnternet üzerinde bir IP'ye ping atma (DNS'ten bağımsız test)
ping 8.8.8.8

# Başarısızsa: Firewall/NAT kuralı veya ISP bağlantı sorunu

# Adım 3: FortiGate loglarını inceleme
config log memory filter
    set srcip "192.168.10.50"  # Sorun yaşayan kullanıcının IP'si
end

get log memory filter
# Bu komutla ilgili kullanıcının trafiğine ait logları görüntüleyin

Log Analiz Örneği:

date=2024-01-15 time=14:30:25 devname="FGT-100D" devid="FG100DTK12345678" 
srcip=192.168.10.50 srcport=54321 dstip=8.8.8.8 dstport=80 
action=deny policyid=0 service=HTTP sessionid=123456789

Bu log, 192.168.10.50 IP'li cihazın 8.8.8.8'e HTTP erişiminin policyid=0 (yani politika bulunamadı) nedeniyle engellendiğini gösterir.

Sonuç

Firewall'unuzu etkin kullanmak, siber güvenlik stratejinizin temel taşıdır. Akıllı firewall kuralları, kategori tabanlı web filtreleme, derin paket inceleme ve düzenli log analizi ile:

Çalışan verimliliğini artırabilir
Siber tehdit risklerini minimize edebilir
Ağ performansını optimize edebilirsiniz

Harekete Geçirin: Firewall'unuzun yönetim paneline girin ve bugün sadece bir tane yeni web filtresi politikası oluşturarak başlayın. Örneğin, zararlı yazılım barındıran siteler kategorisini tüm kullanıcılar için engelleyin.

Gelecek İpuçları: Bir sonraki yazımızda, FortiGate ile VPN kurulumu ve saldırı tespit sistemleri (IPS) konularını ele alacağız.

Bu rehber, FortiGate sürüm 7.2'ye dayanmaktadır. Kullandığınız cihazın firmware sürümüne göre menü yerleri ve seçenekler değişiklik gösterebilir.