FortiGate Firewall Politikaları (Policy) Yönetimi Rehberi
FortiGate firewall politikaları, trafiğin kaynak, hedef, kullanıcı, servis ve zaman ölçütlerine göre nasıl işleneceğini belirleyen kurallardır. Politikalar yukarıdan aşağıya değerlendirilir; ilk eşleşen kural uygulanır ve hiçbir kural eşleşmezse örtük 'deny' devreye girer.
Firewall Politikası Nedir ve Nasıl Çalışır?
Firewall politikası, belirli kaynaktan belirli hedefe giden trafiğe izin veren veya engelleyen bir kuraldır. FortiGate, gelen her oturumu politika listesinde yukarıdan aşağıya eşleştirir ve ilk uyan kuralın eylemini uygular.
FortiOS'ta politika, bir oturumun ilk paketine bakarak değerlendirilir. Eşleşme bulunduğunda oturum o kurala 'pinlenir' ve sonraki paketler aynı kurala göre işlenir. Bu yüzden sıralama, güvenlik sonucunu doğrudan belirler.
Politikalar arayüz çiftleri (örneğin LAN'dan WAN'a) veya FortiOS 7.x'te tercih edilen düz (flat) politika tablosu üzerinden tanımlanabilir. Her iki modelde de mantık aynıdır: spesifik kurallar üstte, genel kurallar altta.
Politikaları oluşturmadan önce temel kurulumun tamamlanmış olması gerekir; bunun için FortiGate kurulumu ve ilk yapılandırma rehberimize bakabilirsiniz.
Bir Politikanın Bileşenleri
Politika bileşenleri; gelen/giden arayüz, kaynak ve hedef adres, servis, zamanlama, eylem (accept/deny), NAT ve uygulanacak güvenlik profillerinden oluşur.
Her bileşen, eşleşme kriterini daraltır veya davranışı belirler. Eylem 'accept' ise NAT, log ve güvenlik profilleri devreye girebilir; 'deny' ise trafik düşürülür.
| Bileşen | İşlevi |
|---|---|
| Incoming/Outgoing Interface | Trafiğin hangi arayüzler arasında olduğunu belirler |
| Source / Destination | Kaynak ve hedef adres/kullanıcı nesneleri |
| Service | İzin verilen protokol/port (ör. HTTPS, DNS) |
| Schedule | Kuralın geçerli olduğu zaman aralığı |
| Action | accept veya deny |
| NAT | Kaynak adres çevirisi (genelde çıkışta açık) |
| Security Profiles | Antivirüs, IPS, web filtreleme vb. |
Güvenlik profillerini politikaya bağlamak için UTM güvenlik profilleri rehberimizi, uzaktan erişim politikaları için VPN yapılandırma yazımızı inceleyin.
Adres ve Servis Nesnelerinin Yönetimi
Nesne yönetimi, IP/subnet, FQDN ve coğrafi adreslerin ve özel servislerin yeniden kullanılabilir nesneler olarak tanımlanmasıdır; gruplar bu nesneleri sadeleştirir.
Politika & Objects > Addresses altında subnet, IP aralığı, FQDN veya geo tabanlı adres nesneleri oluşturun. Tekrar eden hedefleri adres grubu altında toplamak, onlarca kural yerine tek kuralla yönetim sağlar.
Özel uygulamalar için Service nesneleri tanımlayın ve servis grupları oluşturun. İyi adlandırılmış nesneler, denetim ve sorun giderme sırasında politikaların okunabilirliğini büyük ölçüde artırır.
- Subnet/IP aralığı/FQDN/geo adres nesneleri oluşturun.
- Tekrar eden adresleri gruplarda toplayın.
- Standart dışı portlar için özel servis nesneleri tanımlayın.
- Nesneleri tutarlı bir adlandırma şemasıyla isimlendirin.
- Kullanılmayan nesneleri düzenli olarak temizleyin.
Sıralama, Eşleşme ve Implicit Deny
Sıralama, FortiGate güvenliğinin kalbidir: kurallar yukarıdan aşağıya taranır, ilk eşleşen uygulanır ve listede eşleşme yoksa görünmez 'implicit deny' trafiği engeller.
Daha spesifik kuralları (dar adres/servis) listenin üstüne, daha genel kuralları alta yerleştirin. Yanlış sıralama, geniş bir 'allow' kuralının altındaki sıkı kuralların hiç çalışmamasına yol açabilir.
Bir oturumun hangi kurala düştüğünü görmek için politika arama (policy lookup) aracını ve oturum tablosunu kullanın. 'Implicit deny' kuralı için loglamayı açmak, engellenen trafiği görünür kılar ve hata ayıklamayı kolaylaştırır.
Çok sayıda kuralın performansa etkisini yönetmek için performans optimizasyonu ve en iyi pratikler rehberimize göz atın.
Politika Yönetiminde En İyi Pratikler
En iyi pratikler; en az ayrıcalık ilkesi, anlamlı isimlendirme, düzenli kural denetimi, kullanılmayan kuralların temizlenmesi ve değişikliklerin belgelenmesini içerir.
Her kuralı yalnızca gerekli kaynak, hedef ve servisle sınırlayın; 'any-any-allow' kurallarından kaçının. Kurallara açıklama (comment) ekleyin ve bir değişiklik kayıt disiplini uygulayın.
Periyodik olarak kullanılmayan veya çakışan kuralları gözden geçirin; FortiOS'un politika kullanım sayaçları hangi kuralların hiç eşleşmediğini gösterir. Bu temizlik hem güvenlik hem performans kazandırır.
Merkezi görünürlük ve kural değişikliği denetimi için FortiAnalyzer ile loglama ve izleme yazımızı ve genel mimari için FortiGate nedir rehberini okuyun.
Sık Sorulan Sorular
FortiGate politikaları hangi sırayla değerlendirilir?
Politikalar yukarıdan aşağıya değerlendirilir. Bir oturum, listede ilk eşleştiği kuralın eylemine tabi olur; sonraki kurallar o oturum için kontrol edilmez.
Implicit deny nedir?
Politika listesinin sonunda yer alan, hiçbir kurala uymayan tüm trafiği engelleyen görünmez varsayılan kuraldır. Bu kural için loglama açıldığında engellenen trafik görünür hale gelir.
Adres grubu kullanmanın faydası nedir?
Tekrar eden hedefleri tek bir grup altında toplayarak onlarca ayrı kural yerine tek kuralla yönetim sağlar; değişiklikler tek noktadan yapıldığı için hata riski azalır.
NAT'ı politika içinde mi yapılandırırım?
Evet, çoğu senaryoda kaynak NAT politika üzerinde 'NAT' seçeneğiyle etkinleştirilir. Daha karmaşık senaryolar için IP pool veya merkezi (central) NAT kullanılabilir.
Hangi kuralların kullanılmadığını nasıl görürüm?
FortiOS politika kullanım sayaçları (hit count) ve son kullanım bilgisi, hiç eşleşmeyen kuralları ortaya çıkarır. Bu kurallar gözden geçirilip güvenle kaldırılabilir.
Politika değişikliklerini nasıl güvenle yaparım?
Değişiklikten önce yapılandırma yedeği alın, kurallara açıklama ekleyin, politika aramayla etkiyi doğrulayın ve mümkünse değişiklikleri bakım penceresinde uygulayın.
Sonuç
FortiGate politika yönetimi, doğru sıralama, temiz nesne yapısı ve en az ayrıcalık ilkesiyle hem güvenli hem de yönetilebilir bir kural seti üretir. Düzenli denetim ve loglama, politikaların zamanla bozulmasını önler.
Politika hijyeni denetimi ve yeniden yapılandırma için Sora Yazılım güvenlik ekibiyle iletişime geçebilirsiniz.