FortiGate UTM ve Güvenlik Profilleri: Antivirüs, IPS, Web Filtreleme
FortiGate UTM güvenlik profilleri, firewall politikalarına eklenerek trafiği tehditlere karşı tarayan modüllerdir: antivirüs, IPS, web filtreleme, uygulama kontrolü, DNS filtreleme ve dosya filtreleme. Bu profiller bir politikaya bağlandığında o trafiğe otomatik uygulanır.
UTM ve Güvenlik Profilleri Nedir?
UTM (Unified Threat Management), birden çok güvenlik işlevini tek cihazda toplama yaklaşımıdır; FortiGate'te bu işlevler 'güvenlik profilleri' olarak firewall politikalarına eklenir ve trafiği geçerken tarar.
Bir güvenlik profili tek başına bir şey yapmaz; etkili olması için bir firewall politikasına atanması gerekir. Politika 'accept' eylemiyle trafiğe izin verirken, bağlı profiller aynı trafiği tehditlere karşı denetler.
FortiGate iki tarama yaklaşımı sunar: flow-based inceleme paketleri akış üzerinde düşük gecikmeyle tarar; proxy-based inceleme ise içeriği arabelleğe alıp daha derin analiz eder. Seçim, güvenlik derinliği ile performans dengesine göre yapılır.
Profilleri bir kurala bağlamadan önce kuralın kendisini doğru kurgulamak gerekir; bunun için firewall politikaları yönetimi rehberimize bakın.
Temel UTM Güvenlik Profilleri
Temel profiller; antivirüs (zararlı yazılım), IPS (saldırı önleme), web filtreleme (URL kategorisi), uygulama kontrolü (uygulama tanıma) ve DNS filtreleme (alan adı itibarı) modüllerinden oluşur.
Her profil farklı bir tehdit katmanını ele alır. Bunları birlikte kullanmak, derinlemesine savunma (defense-in-depth) sağlar.
| Profil | Görevi |
|---|---|
| Antivirus | Dosya ve akışlarda zararlı yazılım tespiti |
| IPS | Bilinen açık ve saldırı imzalarını engelleme |
| Web Filter | URL kategorisine göre web erişimi kontrolü |
| Application Control | Uygulamaları tanıma ve kısıtlama |
| DNS Filter | Kötü amaçlı/istenmeyen alan adlarını engelleme |
| File Filter | Dosya türüne göre aktarım kontrolü |
Bu profiller, hangi trafiğin engellendiğini ve neden engellendiğini görmek için loglamayla birlikte kullanılmalıdır; bkz. FortiAnalyzer ile loglama ve izleme.
SSL/TLS İnceleme ve Şifreli Trafik
SSL inceleme, web trafiğinin büyük bölümü şifreli olduğundan kritiktir; FortiGate 'certificate inspection' ile yüzeysel, 'deep inspection' ile içeriği açarak tam denetim sağlar.
Certificate inspection yalnızca sertifika/SNI bilgisine bakar ve içeriği açmaz; bu, sınırlı bir denetim sunar. Deep inspection ise FortiGate'in trafiği açıp tarayıp yeniden şifrelemesini sağlar ve antivirüs/IPS'in şifreli içerikte de çalışmasına imkân tanır.
Deep inspection için istemcilere FortiGate'in CA sertifikasının dağıtılması gerekir; aksi halde kullanıcılar sertifika uyarısı alır. Gizlilik ve uyumluluk gereği bazı kategoriler (ör. sağlık, bankacılık) incelemeden muaf tutulabilir.
Şifreli trafik taranmadığında, antivirüs ve IPS gibi profillerin etkinliği önemli ölçüde azalır; bu yüzden SSL inceleme stratejisi UTM tasarımının ayrılmaz parçasıdır.
FortiGuard Bağımlılığı
FortiGuard, UTM profillerinin güncel kalmasını sağlayan tehdit istihbaratı servisidir; antivirüs imzaları, IPS imzaları ve web/DNS kategorileri bu abonelikle güncellenir.
Antivirüs ve IPS imzaları sürekli güncellenmezse, yeni tehditlere karşı koruma hızla zayıflar. Benzer şekilde web ve DNS filtreleme, FortiGuard kategori veritabanına bağlıdır.
Hangi profilin hangi aboneliği gerektirdiğini ve lisans planlamasını FortiGuard abonelikleri rehberimizde ayrıntılı ele alıyoruz.
UTM Yapılandırmasında En İyi Pratikler
En iyi pratikler; profilleri yalnızca gerekli politikalara uygulamak, deep inspection'ı bilinçli kullanmak, performansı izlemek ve profil loglarını düzenli gözden geçirmektir.
- Her profili amacına uygun, dar kapsamlı politikalara bağlayın.
- Mümkün olduğunda şifreli trafikte deep inspection kullanın.
- Performans için flow/proxy mod seçimini iş yüküne göre dengeleyin.
- IPS imza setini ortamınıza göre ayarlayın, gereksiz imzaları kapatın.
- Profil loglarını düzenli inceleyip yanlış pozitifleri ayıklayın.
UTM açıkken performans düşüşünü yönetmek için performans optimizasyonu rehberimize ve genel mimari için FortiGate nedir rehberine göz atın.
Sık Sorulan Sorular
UTM profili tek başına çalışır mı?
Hayır. Bir güvenlik profili ancak bir firewall politikasına atandığında etkili olur. Politika trafiğe izin verirken bağlı profiller o trafiği tarar.
Flow-based ve proxy-based inceleme arasındaki fark nedir?
Flow-based inceleme paketleri akış üzerinde düşük gecikmeyle tarar; proxy-based inceleme içeriği arabelleğe alıp daha derin analiz eder ancak daha fazla kaynak kullanır.
Şifreli trafiği taramak için ne gerekir?
SSL/TLS deep inspection gerekir. Bunun için istemcilere FortiGate'in CA sertifikası dağıtılmalı; aksi halde kullanıcılar sertifika uyarısı görür.
Hangi profiller FortiGuard aboneliği gerektirir?
Antivirüs ve IPS imzaları ile web ve DNS kategori veritabanları FortiGuard aboneliğiyle güncellenir. Abonelik olmadan bu profiller güncel kalamaz.
Uygulama kontrolü ne işe yarar?
Uygulama kontrolü, port bağımsız olarak uygulamaları (ör. mesajlaşma, dosya paylaşımı) tanır ve bunları izleme, kısıtlama veya engelleme imkânı verir.
Tüm profilleri her politikaya eklemeli miyim?
Hayır. Profilleri yalnızca ilgili trafiğe uygulayın. Gereksiz profil bağlamak hem performansı düşürür hem de yanlış pozitif riskini artırır.
Sonuç
FortiGate UTM güvenlik profilleri, antivirüsten IPS'e ve web filtrelemeye kadar çok katmanlı bir savunma sunar. Doğru tarama modu, etkili SSL inceleme ve güncel FortiGuard abonelikleriyle bu profiller gerçek koruma sağlar.
UTM profillerinizi kurumunuzun risk profiline göre ayarlamak için Sora Yazılım güvenlik ekibiyle görüşebilirsiniz.