FortiGate firewall cihazı ağ güvenliği için önemli bir araç ve bu cihaz sayesinde ağ trafiğimizi kontrol edebilir, güvenlik duvarı politikaları oluşturabilir ve ağımızdaki veri akışını yönlendirebiliyoruz. Ama bu işlemleri yapabilmek için önce doğru adres yapılandırmalarını yapmanız gerekir. Adresler (Addresses) menüsü hangi cihazın veya ağın nereye ulaşacağını belirlemenize yardımcı olur. Bu yazımda FortiGate cihazında yeni bir adresin nasıl ekleneceğini, hangi adımları takip etmeniz gerektiğini size adım adım göstereceğim.
Yeni Adres Ekleme Menüsüne Erişim
FortiGate cihazınızın web arayüzüne giriş yapmak için web tarayıcınızı açın ve cihazınızın IP adresine (örneğin https://192.168.1.99) gidin. Kullanıcı adı ve şifrenizle giriş yaptıktan sonra FortiGate’nin yönetim arayüzüne erişmiş olacaksınız.
Sol üst köşede yer alan Create New butonuna tıklayarak yeni bir adres oluşturma işlemini başlatabiliriz. Bu butona tıkladığınızda aşağıdaki adımları takip ederek yeni adresinizi oluşturabilirsiniz.
Name: Buraya yeni adresinize anlamlı bir isim verin. Örneğin, adresin amacı doğrultusunda Web-Server veya Mail-Server gibi isimler verebilirsiniz.
Color: Adresinize bir renk atamak için Color seçeneğini kullanabilirsiniz. Bu adresi kolayca ayırt etmenize yardımcı olur.
Address Type
Subnet
bir IP adresi ve ağ maskesi kombinasyonudur ve belirli bir IP adresi bloğundaki cihazları tanımlamak için kullanılır. Bu seçenek, belirli bir IP aralığını tanımlamanıza olanak tanır. Örneğin bir ağdaki cihazların hepsini tanımak ve bu cihazların bir arada çalışmasını sağlamak için kullanılır. Bu belirli bir IP adresi ve ağ maskesi girildiğinde o ağda bulunan tüm IP adreslerini kapsar.
Örnek kullanım;
IP: 192.168.1.0
Subnet Mask: 255.255.255.0
Bu yapılandırma 192.168.1.0 – 192.168.1.255 arasındaki tüm IP adreslerini kapsar.
IP Range
IP Range belirli bir aralıktaki IP adreslerini tanımlamak için kullanılır. Bu seçenekle başlangıç ve bitiş IP adreslerini girerek sadece o aralıkta bulunan IP adreslerine odaklanabilirsiniz. Örneğin 192.168.1.10 ile 192.168.1.20 arasındaki IP adreslerini hedef alabilirsiniz.
Örnek kullanım:
IP Range: 192.168.1.10 – 192.168.1.20
Bu şekilde yalnızca 192.168.1.10 ile 192.168.1.20 arasındaki IP adresleri geçerli olur.
FQDN (Fully Qualified Domain Name)
FQDN bir alan adını tam olarak tanımlamak için kullanılan bir terimdir. Bu seçenek IP adresi yerine bir alan adı (domain) girmenize olanak tanır. Genellikle DNS üzerinden çözülerek doğru IP adresine yönlendirilir. Bu özellik IP adresinin sabit olmadığı dinamik veya değişken bir alan adına sahip olan sistemlerde kullanışlıdır.
Örnek kullanım:
FQDN: www.firatbora.com
Bu şekilde www.firatbora.com alan adına yönlendirilmiş cihazın IP adresi kullanılacaktır. FQDN daha çok web sunucuları, e-posta sunucuları gibi uygulamalarda tercih edilir.
Geography (Coğrafi Konum)
Geography adresi belirli bir coğrafi bölgeye göre kısıtlamak için kullanılır. Bu seçenek bir IP adresi bloğunu belirli bir ülke veya bölgeye göre sınırlandırmanıza olanak tanır. Mesela sadece Türkiye’deki IP adreslerini kabul etmek veya başka bir ülkeye ait IP adreslerini engellemek için kullanılabilir. FortiGate IP adreslerinin coğrafi konumlarını veri tabanına dayanarak analiz eder.
Örnek kullanım:
Geography: Turkey
Bu örnek ile yalnızca Türkiye’den gelen IP adreslerine izin verilebilir.
Dynamic
Dinamik adresler genellikle DHCP (Dynamic Host Configuration Protocol) gibi sistemlerden alınan IP adreslerini tanımlar. Statik olmayan sürekli değişen IP adreslerini tanımlamak için kullanılır. Dinamik IP adresleri belirli bir cihazın ağda değişen IP adreslerini izlemek ve bu IP adresleri üzerinden işlem yapmak için kullanılır.
Örnek kullanım:
Dynamic IP: DHCP üzerinden otomatik olarak atanan IP adresleri.
Bu tür adresler sabit olmayan yani her seferinde değişen IP adreslerine sahip olan cihazlar için uygundur.
Device (MAC Adresi)
Device (MAC Adresi) bir cihazın fiziksel ağ adresini tanımlar. MAC adresi (Media Access Control) her cihazda benzersiz olarak bulunan 48-bit’lik bir adrestir ve cihazların ağda birbirlerini tanımasını sağlar. Bu özellik ağda bulunan bir cihazı MAC adresi üzerinden tanımlamanıza olanak tanır. MAC adresleri IP adreslerinden farklı olarak değişmez bu yüzden belirli bir cihaza trafik yönlendirmek için oldukça güvenilir bir seçenektir.
Örnek kullanım:
MAC Address: 00:1A:2B:3C:4D:5E
Bu seçenek sadece belirli bir MAC adresine sahip cihazlarla iletişim kurmak için kullanılır.
Interface
Bu kısımda bu adresin hangi ağ arayüzüyle ilişkilendirileceğini se.ebiliriz. Bu seçeneği genellikle any olarak bırakabilirsiniz ancak belirli bir arayüz üzerinden trafik yönlendirmek istiyorsanız örneğin port1 ya da port2 gibi spesifik bir arayüz de seçebilirsiniz.
Static Route Configuration
Bu alan genellikle statik yönlendirme yapılandırmaları için kullanılır. Eğer belirli bir statik yönlendirme yapılandırmanız yoksa bu alanı boş bırakabilirsiniz.
Comments alanı isteğe bağlıdır. Buraya adresin ne amaçla kullanıldığına dair kısa bir açıklama ekleyebiliriz. Örneğin “Web sunucusu adresi” veya “Mail sunucusu IP adresi” gibi açıklamalar yazılabilir ve bu adreslerimizi yönetirken kolaylık sağlar.
FQDN seçeneği kullanılarak domain adresi ile eklenmiş bir adres örneği.
Yalnızca Türkiye’den gelen IP adreslerine izin veren bir adres örneği.
Address Group
Birden fazla adresi yönetmek daha kolay hale getirmek için Adres Grupları oluşturabiliriz. Adres grubu belirli IP adreslerini ya da adres aralıklarını bir arada tutan ve ağ yapılandırmalarında kolayca kullanılabilen bir yapı sağlıyor. Bu özellikle büyük ağlarda trafik yönlendirme, erişim kontrolü veya güvenlik duvarı kuralları oluştururken oldukça faydalı oluyor.
Bir Adres Grubu eklerken Members (Üyeler) kısmı önemlidir. Bu kısımda gruba dahil etmek istediğimiz adresleri seçeriz. Örneğin bir web sunucusu ve bir veritabanı sunucusuna ait adresleri aynı gruba ekleyerek bu adresler üzerinde ortak bir politika uygulayabiliriz. Members kısmına eklediğimiz her adres bu grubun bir parçası haline gelir ve güvenlik duvarı kurallarında bu grup tüm üyeleri kapsayacak şekilde işlem görür.
Exclude Members (Hariç Tutulan Üyeler) kısmı ise belirli adreslerin gruptan hariç tutulmasını sağlar. Yani grup içerisindeki bir adresi hariç tutarak, sadece diğer adreslerle işlem yapabiliriz. Bu özellik daha spesifik yapılandırmalar ve kısıtlamalar oluşturmamıza yardımcı olur. Örneğin bir grup içerisinde genellikle bütün sunucuları tutmak istiyorsak ancak bir sunucuyu dışarıda bırakmamız gerekiyorsa Exclude Members kısmına bu adresi ekleyebiliriz.
Static Route Configuration (Statik Yönlendirme Yapılandırması) ayarı ile belirli bir IP adresine veya adres grubuna yönelik statik yönlendirme yapılandırması yapılabilir. Eğer adres grubunu bir static route olarak kullanıyorsak bu grup içindeki üyelerin trafik yönlendirmesi oluşturduğumuz statik rotaya göre belirlenir. Örneğin belirli bir IP adresine yönelik trafiği farklı bir ağ geçidine yönlendirebilir ya da dış dünyaya açılan trafiği belirli bir yönlendiriciye yönlendirebilirsiniz.
Okuduğunuz için teşekkürler..