EJDERHAN Forti yapılandırma Anlatım

1. FORTINET TEKNİK EĞİTİM FIREWALL YAPILANDIRMA

5. FIREWALL YAPILANDIRMA VIRTUAL IP ( PORT FORWARDING) -Port forwarding, fortigate’in bir interface adresine gelen paketleri port bazında diğer interfacelerdeki ip adreslerine yönlendirmek için kullanılır. INTERNET 192.168.1.5 192.168.1.1 wan1 2.2.2.2 192.168.1.6 3389 4899 4899 3389

6. FIREWALL YAPILANDIRMA VIRTUAL IP ( PORT FORWARDING) -İnternet erişimi için bir adet public ip adresine sahip bir ağda, lokal ağa bir serviseten sadece bir makinaya erişim verilebilmektedir. Örneğin bizim public ip adresimizin bir tane (2.2.2.2) olduğunu varsayalım. İnternetten içerdeki iki makinaya 3389 servisinden erişmek istenirse normal şartlarda bu yapılamaz. Çünkü 2.2.2.2 ye gelen 3389 istekleri sadece bir adrese yönlendirilebilir. 2.2.2.2 : 3389 >>> 192.168.1.5 : 3389 2.2.2.2 : 3389 >>> 192.168.1.6 : 3389 -Bu sorunu “port mapping” ile çözebiliriz. 192.168.1.5 e ait 3389 portu internete 2000 olarak anons edilirken, 192.168.1.6 ya iat 3389 portu 2001 olarak anons edilebilir. Böylece iki farklı makinaya tek bir public ip üzerinden aynı servisten erişilebilir. 2.2.2.2 : 2000 >>> 192.168.1.5 : 3389 2.2.2.2 : 2001 >>> 192.168.1.6 : 3389 Yapılamaz Yapılabilir

7. FIREWALL YAPILANDIRMA VIRTUAL IP (Port Mapping) INTERNET 192.168.1.5 192.168.1.1 wan1 2.2.2.2 192.168.1.6 2001 2000 3389 3389

9. FIREWALL YAPILANDIRMA Varsayılan olarak tüm interfaceler arası erşim kapalıdır !!! DMZ1 10.20.20.1/24 FGT-100A INTERNAL 192.168.1.1/24 WAN1 10.0.0.1/24

10. FIREWALL YAPILANDIRMA -Policy sırası önemlidir. Paket bir policy ile eşleştiği zaman aynı erişim için diğer policyler ile karşılaştırılmaz. Aşağıdaki yapılandırmada istenen herkes internete erişirken Lab1 erişemeyecektir. -Doğru yapılandırma. Lab1 e ait trafik ilk policy ile karşılaştırıldığında engellenecektir. -Yanlış yapılandırma. Lab1 e ait trafik ilk sıradaki policy ile karşılaştırılacak ve engellenmeyecektir. DENY DENY

11. FIREWALL YAPILANDIRMA Network Şeması INTERNET DMZ 10.20.20.1/24 WWW POP3, SMTP FGT-100A 192.168.1.5/24 192.168.1.10/24 10.20.20.2/24 TERMINAL SERVER INTERNAL 192.168.1.1/24 WAN1 10.0.0.1/24 10.0.0.2/24 192.168.1.6/24 85.1.1.2

12. FIREWALL YAPILANDIRMA Erişim Planı INTERNAL’dan diğer networklere erişim 80 ve 443 servisinden www. xxx .com, ve www.yyy.com , 25,110 ve 53 servislerinden heryere 80, 25, 110 servislerinden 10.20.20.2 ye 192.168.1.6 Saat 18:00-21:00 arası 80,23 ve 53 servislerinden heryere. Erişim yok 192.168.1.10 Sınırsız erişim Sınırsız erişim 192.168.1.5 WAN1 DMZ INTERNAL

13. FIREWALL YAPILANDIRMA Erişim Planı DMZ1’dEn diğer networklere erişim 53,80,443,25,110 Servislerinden heryere Erişim yok 10.20.20.2 WAN1 INTERNAL DMZ

14. FIREWALL YAPILANDIRMA Erişim Planı WAN1 (INTERNET)’den diğer networklere erişim 3389 servisinden 192.168.1.10’a 80,25 ve 110 servisinden 10.20.20.2’ye 85.1.1.2 Erişim Yok 80,25 ve 110 servisinden 10.20.20.2’ye Herkes INTERNAL DMZ WAN1

17. FIREWALL YAPILANDIRMA 1. firewall > addres Firewall > Addres > Group

18. FIREWALL YAPILANDIRMA 1. firewall > addres

19. FIREWALL YAPILANDIRMA 2. firewall > services - Sık kullanılan servisler firewall > services > predefined de tanımlıdır .

20. FIREWALL YAPILANDIRMA 2. firewall > services - firewall > services > predefined de tanımlı olmayan servislere ihtiyacımız olduğunda firewall > address > custom da tanımlanabilir. Birden fazla servisi tek bir kuralda kullanmak istersek firewall > address > group da gruplama yapılabilir. Protocol Type TCP,UDP,ICMP,IP olabilir. Kullanacağımız servis hangi protokolü kullanıyorsa onu belirtiyoruz. Source Port Bu alan 1-65535 olarak kalabilir. Genelde source port sabit olmadığı için bu şekilde bırakıyoruz. Destination Port Bu alana hangi servisi tanımlıyorsak onu belirtiyoruz. Aralık belirtebiliriz veya tek bir port belirtebiliriz. 2000-3000, 3389-3389

21. FIREWALL YAPILANDIRMA 2. firewall > services

22. FIREWALL YAPILANDIRMA 3. firewall > virtual ip ADSL modemin bağlı olduğu interface. wan1 Static NAT Wan1 ip grubundan kullanılmayan bir ip yazıyoruz Mail serverın ipsini yazıyoruz.

23. FIREWALL YAPILANDIRMA 4. firewall > schedule 2- Recurring: Günlük periyotlarda sürekli geçerli olacak kurallar için zamanlama burdan tanımlanır. Süreklilik vardır. Örneğin her gün 08:00-09:00 arası, her cuma 09:00-21:00 arası gibi. -Tanımlanan erişim kurallarının zaman bazlı çalışmasını sağlar. İki tür zamanlama tanımlamak mümkün. 1- One-Time: Sadece belirli bir zamanda burda belirtilen zamanda çalışır ve birdaha çalışmaz. Süreklilik yoktur. Örneğin 2005-20010 geçerli olmasını istediğimiz kurallar için zamanlama burdan tanımlanır. Kural sadece yılları rasında, 09.05.2005 08:00-09:00 arası gibi.

24. FIREWALL YAPILANDIRMA 4. firewall > schedule - 192.168.1.10 adresli TERMINAL SERVER ‘ın hergün 18:00-21:00 saatleri arasında gerekli güncellemeri yapabilmesi için zamanlama tanımlamak gerek. Bu işlem günlük yapılacağı için recurring bölümünden zamanlama tanımlıyoruz. firewall > schedule > recurring

26. FIREWALL YAPILANDIRMA 5. firewall > policy Sınırsız erişim Sınırsız erişim 192.168.1.5 WAN1 DMZ INTERNAL

27. FIREWALL YAPILANDIRMA 5. firewall > policy 80 ve 443 servisinden www. xxx .com, ve www.yyy.com , 25,110 ve 53 servislerinden heryere 80, 25, 110 servislerinden 10.20.20.2 ye 192.168.1.6 WAN1 DMZ INTERNAL

28. FIREWALL YAPILANDIRMA 5. firewall > policy 80 ve 443 servisinden www. xxx .com, ve www.yyy.com , 25,110 ve 53 servislerinden heryere 80, 25, 110 servislerinden 10.20.20.2 (MAIL SERVER) ye 192.168.1.6 LAB2 WAN1 DMZ INTERNAL

29. FIREWALL YAPILANDIRMA 5. firewall > policy Saat 18:00-21:00 arası 80,23 ve 53 servislerinden heryere. Erişim yok 192.168.1.10 TERMINAL SERVER WAN1 DMZ INTERNAL

30. FIREWALL YAPILANDIRMA 5. firewall > policy 53,80,443,25,110 Servislerinden heryere Erişim yok 10.20.20.2 MAIL SERVER WAN1 INTERNAL DMZ

31. FIREWALL YAPILANDIRMA 5. firewall > policy Erişim Yok 80,25 ve 110 servisinden 10.20.20.2’ye Herkes INTERNAL DMZ WAN1

32. FIREWALL YAPILANDIRMA 5. firewall > policy 3389 servisinden 192.168.1.10’a 80,25 ve 110 servisinden 10.20.20.2’ye 85.1.1.2 UZAK KULLANICI INTERNAL DMZ WAN1

33. FIREWALL YAPILANDIRMA 5. firewall > policy

35. FIREWALL YAPILANDIRMA Network Şeması DMZ 10.20.20.1/24 MAIL SERVER 3389 192.168.1.10 TERMINAL SERVER INTERNAL 192.168.1.1/24 WAN1 10.0.0.1/24 10.0.0.2 3389 10.0.0.10 3389 x.x.x.x 80,110,25 x.x.x.x 80,110,25 10.0.0.20 80,110,25 10.20.20.20 x.x.x.x=adsl public ip INTERNET