İçereği Atla

FortiGate Firewall’da Kural Oluşturma

FortiGate firewall, ağ güvenliğini yönetmek için kullanılan güçlü bir cihazdır. Firewall politikaları (policy) ağ trafiğini kontrol eder, hangi trafiğe izin verileceğini veya engelleneceğini belirler. Bu makalede, örnek olarak oluşturduğumuz edasu_test kuralını tüm detaylarıyla inceleyeceğiz. Kuralın her parametresi, olası alternatifleri ve seçiminin etkileri tek tek açıklanacak.
16 Şubat 2026 yazan
FortiGate Firewall’da Kural Oluşturma
Edasu SEMETAY
 

Kuralın Amacı

Kural yazmak, ağ yönetiminde kritik bir adımdır. Amaç sadece trafiği açmak veya engellemek değildir:

  • Kontrol: Hangi cihazın hangi kaynağa erişebileceğini belirlemek.
  • Güvenlik: Yetkisiz erişimi engellemek ve saldırılara karşı ağ segmentlerini korumak.
  • Performans: Gereksiz trafik veya yoğun trafiğin önüne geçmek.

Yönetilebilirlik: Büyük ağlarda politikaları merkezi olarak yönetebilmek.

Giriş Yap

  • Tarayıcıdan FortiGate IP adresine (https://<IP>) admin hesabıyla giriş yap

Policy & Objects → Firewall Policy

  • Menüden: Policy & Objects
  • Burada mevcut kuralları görebilir veya yeni kural ekleyebilirsin.

Yeni Kural Oluştur ve Kaydet

  • “Create New” veya “Add Policy” butonuna tıkla

Ardından bizi böyle bir ekran karşılıyor.

Kural Tipi: Standard

  • Standard: Temel trafiği kontrol eder (kaynak, hedef, servis, aksiyon).
  • Alternatifler:
    • SSL/SSH Inspection: HTTPS ve SSH trafiğini derinlemesine analiz eder.
    • IPv6: Sadece IPv6 trafiği için geçerlidir.
  • Etkisi: Standard seçildiği için kural, temel firewall trafiği yönetiminde geçerlidir. Daha özel tipler, ekstra işlem gücü ve karmaşıklık ekler

Incoming Interface: Client (Vlan_001)

  • Anlamı: Trafiğin firewall’a hangi arayüzden geldiğini belirler.
  • Etkisi: Kural sadece bu arayüzden gelen trafiğe uygulanır.
  • Alternatifler:
    • Farklı VLAN seçmek, kuralın sadece belirli ağ segmentlerine uygulanmasını sağlar.
    • “Any” seçersen, tüm arayüzlerden gelen trafik kurala girer.
  • Yorum: Vlan_001 istemci cihazlarını temsil ediyor; bu sayede sadece istemci trafiği kontrol ediliyor.

Outgoing Interface: AP (Vlan_002)

  • Anlamı: Trafiğin firewall’dan hangi arayüze çıkacağını belirler.
  • Etkisi: Trafik, bu arayüz üzerinden çıkacak ve kural buna göre uygulanacak.
  • Alternatifler:
    • “Any”: Herhangi bir arayüze çıkışı kapsar, fakat güvenlik riskini artırır.
    • Belirli bir VLAN seçmek, trafiği sadece planlanan çıkış noktasına yönlendirir.
  • Yorum: AP üzerinden çıkış seçimi, trafiğin kontrolsüz yönlendirilmesini engeller ve segmentasyon sağlar.

Source: all ve Negate Source: Kapalı

  • Anlamı: Trafiğin geldiği cihaz veya IP aralığı.
  • all: Tüm kaynaklar geçerlidir.
  • Negate Source: Kapalı → seçilen kaynaklar dışında diğerleri dikkate alınmaz.
  • Alternatifler:
    • Belirli IP veya IP grupları: Sadece o kaynaklara izin verir.
    • Negate Source açık olsaydı, seçilen IP’ler hariç tüm kaynaklar kurala girerdi.
  • Yorum: Genel test trafiği için “all” uygun; üretim ortamında daha kısıtlı kaynak seçmek güvenliği artırır.

IP/MAC Based Access Control

  • Anlamı: Belirli cihazların IP veya MAC adresine göre erişim izni.
  • Biz kullanmadık: Kural tüm kaynaklar için geçerli.
  • Alternatif: Belli cihazları seçmek, yetkisiz cihazların trafiğini engeller.

Destination: all ve Negate Destination: Kapalı

  • Anlamı: Trafiğin gideceği hedef.
  • all: Tüm hedefler.
  • Negate Destination: Kapalı → belirli hedefleri hariç tutmaz.
  • Alternatifler:
    • Belirli IP veya subnet seçmek: Trafiği yalnızca belirlenen hedeflere izin verir.
    • Negate Destination açık olsaydı, seçilen hedefler hariç diğer tüm hedefler kurala girerdi.

Schedule: always

  • Anlamı: Kuralın geçerli olacağı zaman dilimi.
  • Alternatifler:
    • Belirli zaman aralıkları: Mesai saatleri veya gece saatleri gibi sınırlamalar.
  • Yorum: Sürekli test için “always” uygun, üretimde zaman sınırlaması güvenlik için faydalı olabilir.

Service: all

  • Anlamı: Trafiğin hangi protokol ve portlara uygulanacağını belirler.
  • Alternatifler:
    • HTTP, HTTPS, FTP gibi tek tek servis seçmek: Kuralı spesifik yapmak.
  • Yorum: Tüm servisler seçildi, dolayısıyla her port ve protokol geçerli.

Action: Accept

  • Anlamı: Trafiğe izin ver.
  • Alternatifler:
    • Deny: Trafiği engeller.
    • IPSec/SSL-VPN Redirect: Trafiği VPN’e yönlendirir.
  • Etkisi: Accept seçildiği için trafik firewall tarafından geçebilir.
  • Yorum: Eğer Deny seçseydik, istemciler Vlan_001’den Vlan_002’ye geçemezdi. Kuralın amacı test trafiğini açmak olduğu için Accept doğru seçimdir.

Inspection Mode: Proxy-Based

  • Anlamı: Trafiğin firewall tarafından nasıl analiz edileceği.
  • Alternatifler:
    • Flow-Based: Daha hızlı ama derinlemesine analiz yapmaz.
  • Yorum: Proxy, web trafiğini detaylı analiz etmek için kullanılır. Test ortamında HTTPS Proxy kapalı, trafiğin hızlı geçmesi sağlandı.

NAT: Açık ve IP Pool: Use Outgoing Interface Address

  • Anlamı: İç IP’ler dış IP’ye çevrilir.
  • Alternatifler:
    • Belirli bir IP pool seçmek, çıkış IP’sini özel havuzdan almak.
  • Preserve Source Port: Kapalı → firewall yeni port atar, port çakışmalarını önler.
  • Yorum: Basit test ve internet erişimi için çıkış arayüzünün IP’si yeterli.

Protocol Options: Prots Default

  • Firewall protokol davranışı varsayılan.
  • Alternatif: TCP, UDP, ICMP özel ayarları yapılabilir.
  • Yorum: Test ortamında standart ayar yeterli.

Display Disclaimer: Kapalı

  • Kullanıcıya uyarı mesajı göstermez.
  • Alternatif: Açık olursa kullanıcı geçiş sırasında bilgilendirilir.

Antivirus: Açık (SecArtAV)

  • Anlamı: Trafikteki zararlı dosyalar (virüs, trojan, malware) taranır.
  • SecArtAV seçimi: Belirlenen antivirus profili uygulanır.
  • Etkisi: Kullanıcı cihazlarına veya ağ segmentlerine bulaşabilecek zararlı içerikler engellenir.
  • Alternatif: Kapalı olsaydı, firewall virüsleri denetlemez, malware trafiği geçebilir

Web Filter: Açık (SecArtAV)

  • Anlamı: Kullanıcıların web sitelerine erişimi kontrol eder.
  • Etkisi: Kötü amaçlı web siteleri veya belirli kategori sitelere erişim engellenebilir.
  • Videofiltr Kapalı: Video içeriklerini filtrelemez, çünkü test ortamında veya genel erişimde videoların engellenmesi istenmiyor.
  • DNS Filter Kapalı: DNS tabanlı filtreleme yapılmaz. DNS filtreleme, domain bazlı engelleme sağlar ama test için kapalı.
  • Alternatif: Videofiltr ve DNS filter açılırsa, kullanıcılar belirli videolara veya domainlere erişemez.

Application Control: Açık (SecArtApp)

  • Anlamı: Ağ üzerinde kullanılan uygulamaları tanır ve yönetir.
  • Etkisi: Örneğin P2P uygulamaları, sosyal medya veya oyun trafiği engellenebilir veya izin verilebilir.
  • Neden Açık? Trafiği sadece port/protokole göre değil, uygulama bazlı da kontrol etmek için.
  • Alternatif: Kapalı olursa tüm uygulamalar serbest olur.

IPS (Intrusion Prevention System): Açık (SecArtIPS)

  • Anlamı: Ağ trafiğinde bilinen saldırı imzalarını tarar.
  • Etkisi: SQL injection, DoS, buffer overflow gibi saldırılar engellenir.
  • Neden Açık? Ağ güvenliği kritik, saldırılara karşı koruma sağlamak için.
  • Alternatif: Kapalı olursa saldırı tespiti olmaz, network açık olur.

File Filter: Kapalı

  • Anlamı: Dosya türlerini filtreler (ör. exe, zip).
  • Neden Kapalı? Test ortamında dosya tipleri ile ilgili sınırlama yok.
  • Alternatif: Açılırsa belirli dosya türleri engellenir veya izin verilir.

Email Filter: Kapalı

  • Anlamı: E-postaları tarar ve spam/virüs kontrolü yapar.
  • Neden Kapalı? Kural web ve LAN trafiği için, e-posta trafiği kapsam dışında.
  • Alternatif: Açılırsa SMTP, POP3, IMAP trafiği filtrelenir.

VoIP Filter: Kapalı

  • Anlamı: VoIP protokollerini kontrol eder.
  • Neden Kapalı? Test trafiğinde VoIP yok.
  • Alternatif: Açılırsa VoIP trafiği denetlenir ve saldırılara karşı korunur.

ICAP Filter: Kapalı

  • Anlamı: Proxy tabanlı içerik taraması için ICAP kullanılır.
  • Neden Kapalı? HTTPS proxy ve ICAP entegrasyonu test için kullanılmıyor.
  • Alternatif: Açılırsa web içerikleri derinlemesine taranabilir.

Web Application Firewall: Kapalı

  • Anlamı: Web uygulamalarına özel güvenlik sağlar. SQL injection, XSS gibi saldırıları engeller.
  • Neden Kapalı? Kurala gelen trafik genel LAN → LAN veya LAN → internet trafiği, özel web uygulaması yok.
  • Alternatif: Açılırsa web sunucularına gelen trafiği korur.

DLP Profile: Kapalı (Data Loss Prevention)

  • Anlamı: Hassas veri sızıntısını engeller.
  • Neden Kapalı? Test ortamında veri kaybı riski yok.
  • Alternatif: Açılırsa kredi kartı numarası, T.C. kimlik numarası gibi verilerin dışarı çıkışı engellenebilir.

SSL/SSH Inspection: No Inspection

  • Anlamı: HTTPS ve SSH trafiğini deşifre edip tarar.
  • Neden No Inspection? Şifreli trafik taraması CPU yükü yaratır, test ortamında gerek yok.
  • Alternatif: Açılırsa, firewall HTTPS içeriğini inceler, web filter ve antivirus daha derin çalışır ama performans düşer.

Advanced: WCCP (Web Cache Communication Protocol) – Kapalı

  • Anlamı: WCCP, FortiGate’in web proxy veya cache cihazlarıyla trafik yönlendirmesini sağlar.
  • Etkisi: WCCP açık olursa, belirli trafik proxy’ye yönlendirilir ve optimize edilmiş cache kullanılır.
  • Neden Kapalı?

           o Kural basit test trafiği için.

           o Ağda WCCP tabanlı cache/proxy yok.

  • Alternatif: Açılırsa, ağ trafiği WCCP destekli proxy cihazına yönlendirilir ve web içerikleri önbellekten sunulur.

Exempt from Captive Portal – Kapalı

  • Anlamı: Captive Portal, kullanıcıların ağa erişmeden önce kimlik doğrulaması yapmasını gerektirir.
  • Etkisi: Eğer bu seçenek açık olsaydı, kural kapsamındaki trafik Captive Portal kimlik doğrulamasından muaf olurdu.
  • Neden Kapalı?

           o Test kuralında kullanıcı kimlik doğrulaması gerekmiyor.

           o Captive portal yoksa açık veya kapalı olması fark yaratmaz.

  • Alternatif: Açılırsa, kullanıcılar kimlik doğrulama olmadan internete çıkabilir.

Workflow Management: Policy Expiration – Kapalı

  • Anlamı: Kuralın belirli bir süre sonra otomatik olarak geçerliliğini kaybetmesini sağlar.
  • Etkisi: Açık olursa, kural tanımlanan tarihten sonra otomatik olarak devre dışı kalır.
  • Neden Kapalı?

           o Kural sürekli aktif test trafiği için yazıldı.

           o Süreli politikaya gerek yok.

  • Alternatif: Açılırsa, örneğin proje bazlı geçici erişimler için faydalıdır. 

Comments (Yorumlar)

  • Anlamı: Kural ile ilgili not eklemeye yarar.
  • Etkisi: Kuralın teknik olarak çalışmasını etkilemez, yönetim ve dokümantasyon içindir.
  • Neden kullanılır?

           o Kuralın amacı veya kapsamını açıklamak için.

           o Diğer yöneticiler veya gelecekteki kendin için bilgi sağlar.

  • Örnek: “Test trafiği, Client VLAN_001 → AP VLAN_002 için açıldı.”

Enable This Policy: Açık

  • Kural aktif.

Kapalı olursa kural tanımlı olmasına rağmen çalışmaz.

Yorum ve Özet

  • Advanced ve Workflow seçenekleri genellikle kuralların esnek yönetimi ve özel durumlar için kullanılır.
  • Senin kuralında çoğu gelişmiş seçenek kapalı, çünkü kural test veya temel trafik için.
  • Açılması gereken seçenekler: CPU yükü, ağ topolojisi veya özel erişim senaryolarına bağlı.
  • Comments, yönetim için kritik; kuralın amacı yazılmazsa karmaşıklık artar.

FortiGate Firewall’da Kural Oluşturma
Edasu SEMETAY 16 Şubat 2026
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment