Kuralın Amacı
Kural yazmak, ağ yönetiminde kritik bir adımdır. Amaç sadece trafiği açmak veya engellemek değildir:
- Kontrol: Hangi cihazın hangi kaynağa erişebileceğini belirlemek.
- Güvenlik: Yetkisiz erişimi engellemek ve saldırılara karşı ağ segmentlerini korumak.
- Performans: Gereksiz trafik veya yoğun trafiğin önüne geçmek.
Yönetilebilirlik: Büyük ağlarda politikaları merkezi olarak yönetebilmek.
Giriş Yap
- Tarayıcıdan FortiGate IP adresine (https://<IP>) admin hesabıyla giriş yap
Policy & Objects → Firewall Policy
- Menüden: Policy & Objects
- Burada mevcut kuralları görebilir veya yeni kural ekleyebilirsin.

Yeni Kural Oluştur ve Kaydet
- “Create New” veya “Add Policy” butonuna tıkla

Ardından bizi böyle bir ekran karşılıyor.

Kural Tipi: Standard
- Standard: Temel trafiği kontrol eder (kaynak, hedef, servis, aksiyon).
- Alternatifler:
- SSL/SSH Inspection: HTTPS ve SSH trafiğini derinlemesine analiz eder.
- IPv6: Sadece IPv6 trafiği için geçerlidir.
- Etkisi: Standard seçildiği için kural, temel firewall trafiği yönetiminde geçerlidir. Daha özel tipler, ekstra işlem gücü ve karmaşıklık ekler

Incoming Interface: Client (Vlan_001)
- Anlamı: Trafiğin firewall’a hangi arayüzden geldiğini belirler.
- Etkisi: Kural sadece bu arayüzden gelen trafiğe uygulanır.
- Alternatifler:
- Farklı VLAN seçmek, kuralın sadece belirli ağ segmentlerine uygulanmasını sağlar.
- “Any” seçersen, tüm arayüzlerden gelen trafik kurala girer.
- Yorum: Vlan_001 istemci cihazlarını temsil ediyor; bu sayede sadece istemci trafiği kontrol ediliyor.
Outgoing Interface: AP (Vlan_002)
- Anlamı: Trafiğin firewall’dan hangi arayüze çıkacağını belirler.
- Etkisi: Trafik, bu arayüz üzerinden çıkacak ve kural buna göre uygulanacak.
- Alternatifler:
- “Any”: Herhangi bir arayüze çıkışı kapsar, fakat güvenlik riskini artırır.
- Belirli bir VLAN seçmek, trafiği sadece planlanan çıkış noktasına yönlendirir.
- Yorum: AP üzerinden çıkış seçimi, trafiğin kontrolsüz yönlendirilmesini engeller ve segmentasyon sağlar.
Source: all ve Negate Source: Kapalı
- Anlamı: Trafiğin geldiği cihaz veya IP aralığı.
- all: Tüm kaynaklar geçerlidir.
- Negate Source: Kapalı → seçilen kaynaklar dışında diğerleri dikkate alınmaz.
- Alternatifler:
- Belirli IP veya IP grupları: Sadece o kaynaklara izin verir.
- Negate Source açık olsaydı, seçilen IP’ler hariç tüm kaynaklar kurala girerdi.
- Yorum: Genel test trafiği için “all” uygun; üretim ortamında daha kısıtlı kaynak seçmek güvenliği artırır.
IP/MAC Based Access Control
- Anlamı: Belirli cihazların IP veya MAC adresine göre erişim izni.
- Biz kullanmadık: Kural tüm kaynaklar için geçerli.
- Alternatif: Belli cihazları seçmek, yetkisiz cihazların trafiğini engeller.
Destination: all ve Negate Destination: Kapalı
- Anlamı: Trafiğin gideceği hedef.
- all: Tüm hedefler.
- Negate Destination: Kapalı → belirli hedefleri hariç tutmaz.
- Alternatifler:
- Belirli IP veya subnet seçmek: Trafiği yalnızca belirlenen hedeflere izin verir.
- Negate Destination açık olsaydı, seçilen hedefler hariç diğer tüm hedefler kurala girerdi.
Schedule: always
- Anlamı: Kuralın geçerli olacağı zaman dilimi.
- Alternatifler:
- Belirli zaman aralıkları: Mesai saatleri veya gece saatleri gibi sınırlamalar.
- Yorum: Sürekli test için “always” uygun, üretimde zaman sınırlaması güvenlik için faydalı olabilir.
Service: all
- Anlamı: Trafiğin hangi protokol ve portlara uygulanacağını belirler.
- Alternatifler:
- HTTP, HTTPS, FTP gibi tek tek servis seçmek: Kuralı spesifik yapmak.
- Yorum: Tüm servisler seçildi, dolayısıyla her port ve protokol geçerli.
Action: Accept
- Anlamı: Trafiğe izin ver.
- Alternatifler:
- Deny: Trafiği engeller.
- IPSec/SSL-VPN Redirect: Trafiği VPN’e yönlendirir.
- Etkisi: Accept seçildiği için trafik firewall tarafından geçebilir.
- Yorum: Eğer Deny seçseydik, istemciler Vlan_001’den Vlan_002’ye geçemezdi. Kuralın amacı test trafiğini açmak olduğu için Accept doğru seçimdir.
Inspection Mode: Proxy-Based
- Anlamı: Trafiğin firewall tarafından nasıl analiz edileceği.
- Alternatifler:
- Flow-Based: Daha hızlı ama derinlemesine analiz yapmaz.
- Yorum: Proxy, web trafiğini detaylı analiz etmek için kullanılır. Test ortamında HTTPS Proxy kapalı, trafiğin hızlı geçmesi sağlandı.
NAT: Açık ve IP Pool: Use Outgoing Interface Address
- Anlamı: İç IP’ler dış IP’ye çevrilir.
- Alternatifler:
- Belirli bir IP pool seçmek, çıkış IP’sini özel havuzdan almak.
- Preserve Source Port: Kapalı → firewall yeni port atar, port çakışmalarını önler.
- Yorum: Basit test ve internet erişimi için çıkış arayüzünün IP’si yeterli.

Protocol Options: Prots Default
- Firewall protokol davranışı varsayılan.
- Alternatif: TCP, UDP, ICMP özel ayarları yapılabilir.
- Yorum: Test ortamında standart ayar yeterli.
Display Disclaimer: Kapalı
- Kullanıcıya uyarı mesajı göstermez.
- Alternatif: Açık olursa kullanıcı geçiş sırasında bilgilendirilir.
Antivirus: Açık (SecArtAV)
- Anlamı: Trafikteki zararlı dosyalar (virüs, trojan, malware) taranır.
- SecArtAV seçimi: Belirlenen antivirus profili uygulanır.
- Etkisi: Kullanıcı cihazlarına veya ağ segmentlerine bulaşabilecek zararlı içerikler engellenir.
- Alternatif: Kapalı olsaydı, firewall virüsleri denetlemez, malware trafiği geçebilir

Web Filter: Açık (SecArtAV)
- Anlamı: Kullanıcıların web sitelerine erişimi kontrol eder.
- Etkisi: Kötü amaçlı web siteleri veya belirli kategori sitelere erişim engellenebilir.
- Videofiltr Kapalı: Video içeriklerini filtrelemez, çünkü test ortamında veya genel erişimde videoların engellenmesi istenmiyor.
- DNS Filter Kapalı: DNS tabanlı filtreleme yapılmaz. DNS filtreleme, domain bazlı engelleme sağlar ama test için kapalı.
- Alternatif: Videofiltr ve DNS filter açılırsa, kullanıcılar belirli videolara veya domainlere erişemez.
Application Control: Açık (SecArtApp)
- Anlamı: Ağ üzerinde kullanılan uygulamaları tanır ve yönetir.
- Etkisi: Örneğin P2P uygulamaları, sosyal medya veya oyun trafiği engellenebilir veya izin verilebilir.
- Neden Açık? Trafiği sadece port/protokole göre değil, uygulama bazlı da kontrol etmek için.
- Alternatif: Kapalı olursa tüm uygulamalar serbest olur.
IPS (Intrusion Prevention System): Açık (SecArtIPS)
- Anlamı: Ağ trafiğinde bilinen saldırı imzalarını tarar.
- Etkisi: SQL injection, DoS, buffer overflow gibi saldırılar engellenir.
- Neden Açık? Ağ güvenliği kritik, saldırılara karşı koruma sağlamak için.
- Alternatif: Kapalı olursa saldırı tespiti olmaz, network açık olur.
File Filter: Kapalı
- Anlamı: Dosya türlerini filtreler (ör. exe, zip).
- Neden Kapalı? Test ortamında dosya tipleri ile ilgili sınırlama yok.
- Alternatif: Açılırsa belirli dosya türleri engellenir veya izin verilir.
Email Filter: Kapalı
- Anlamı: E-postaları tarar ve spam/virüs kontrolü yapar.
- Neden Kapalı? Kural web ve LAN trafiği için, e-posta trafiği kapsam dışında.
- Alternatif: Açılırsa SMTP, POP3, IMAP trafiği filtrelenir.
VoIP Filter: Kapalı
- Anlamı: VoIP protokollerini kontrol eder.
- Neden Kapalı? Test trafiğinde VoIP yok.
- Alternatif: Açılırsa VoIP trafiği denetlenir ve saldırılara karşı korunur.
ICAP Filter: Kapalı
- Anlamı: Proxy tabanlı içerik taraması için ICAP kullanılır.
- Neden Kapalı? HTTPS proxy ve ICAP entegrasyonu test için kullanılmıyor.
- Alternatif: Açılırsa web içerikleri derinlemesine taranabilir.
Web Application Firewall: Kapalı
- Anlamı: Web uygulamalarına özel güvenlik sağlar. SQL injection, XSS gibi saldırıları engeller.
- Neden Kapalı? Kurala gelen trafik genel LAN → LAN veya LAN → internet trafiği, özel web uygulaması yok.
- Alternatif: Açılırsa web sunucularına gelen trafiği korur.
DLP Profile: Kapalı (Data Loss Prevention)
- Anlamı: Hassas veri sızıntısını engeller.
- Neden Kapalı? Test ortamında veri kaybı riski yok.
- Alternatif: Açılırsa kredi kartı numarası, T.C. kimlik numarası gibi verilerin dışarı çıkışı engellenebilir.
SSL/SSH Inspection: No Inspection
- Anlamı: HTTPS ve SSH trafiğini deşifre edip tarar.
- Neden No Inspection? Şifreli trafik taraması CPU yükü yaratır, test ortamında gerek yok.
- Alternatif: Açılırsa, firewall HTTPS içeriğini inceler, web filter ve antivirus daha derin çalışır ama performans düşer.
Advanced: WCCP (Web Cache Communication Protocol) – Kapalı
- Anlamı: WCCP, FortiGate’in web proxy veya cache cihazlarıyla trafik yönlendirmesini sağlar.
- Etkisi: WCCP açık olursa, belirli trafik proxy’ye yönlendirilir ve optimize edilmiş cache kullanılır.
- Neden Kapalı?
o Kural basit test trafiği için.
o Ağda WCCP tabanlı cache/proxy yok.
- Alternatif: Açılırsa, ağ trafiği WCCP destekli proxy cihazına yönlendirilir ve web içerikleri önbellekten sunulur.
Exempt from Captive Portal – Kapalı
- Anlamı: Captive Portal, kullanıcıların ağa erişmeden önce kimlik doğrulaması yapmasını gerektirir.
- Etkisi: Eğer bu seçenek açık olsaydı, kural kapsamındaki trafik Captive Portal kimlik doğrulamasından muaf olurdu.
- Neden Kapalı?
o Test kuralında kullanıcı kimlik doğrulaması gerekmiyor.
o Captive portal yoksa açık veya kapalı olması fark yaratmaz.
- Alternatif: Açılırsa, kullanıcılar kimlik doğrulama olmadan internete çıkabilir.
Workflow Management: Policy Expiration – Kapalı
- Anlamı: Kuralın belirli bir süre sonra otomatik olarak geçerliliğini kaybetmesini sağlar.
- Etkisi: Açık olursa, kural tanımlanan tarihten sonra otomatik olarak devre dışı kalır.
- Neden Kapalı?
o Kural sürekli aktif test trafiği için yazıldı.
o Süreli politikaya gerek yok.
- Alternatif: Açılırsa, örneğin proje bazlı geçici erişimler için faydalıdır.

Comments (Yorumlar)
- Anlamı: Kural ile ilgili not eklemeye yarar.
- Etkisi: Kuralın teknik olarak çalışmasını etkilemez, yönetim ve dokümantasyon içindir.
- Neden kullanılır?
o Kuralın amacı veya kapsamını açıklamak için.
o Diğer yöneticiler veya gelecekteki kendin için bilgi sağlar.
- Örnek: “Test trafiği, Client VLAN_001 → AP VLAN_002 için açıldı.”
Enable This Policy: Açık
- Kural aktif.
Kapalı olursa kural tanımlı olmasına rağmen çalışmaz.

Yorum ve Özet
- Advanced ve Workflow seçenekleri genellikle kuralların esnek yönetimi ve özel durumlar için kullanılır.
- Senin kuralında çoğu gelişmiş seçenek kapalı, çünkü kural test veya temel trafik için.
- Açılması gereken seçenekler: CPU yükü, ağ topolojisi veya özel erişim senaryolarına bağlı.
- Comments, yönetim için kritik; kuralın amacı yazılmazsa karmaşıklık artar.
FortiGate Firewall’da Kural Oluşturma