ÇözümPark'a hoş geldiniz. Oturum Aç | Üye Ol
 
Ana Sayfa Makale Video Forum Resimler Dosyalar Etkinlik Hizmetlerimiz Biz Kimiz

Güvenlik

Huawei USG6370 Firewall Kurulum ve Konfigürasyon Bölüm-1

Bu makalede 3 bölümden oluşacak olup Huawei USG6370 firewall cihazının basit kurulumu ve ilk ayarlarının nasıl yapıldığını göreceğiz.

Makale sonunda cihazı kurup basit yapılandırmalarını yaparak cihaz hakkında azda olsa belirli bilgiye sahip olmuş olacağız.

Ürün görsel olarak aşağıdaki gibidir. Üzerinde 1 adet Managemet, 8 Adet UTP, 4 adet SFP port bulunmaktadır.

clip_image002

Cihazın default ip adresi 192.168.0.1 olup bu ip adresi ile sadece MGMT port ile erişmeniz mümkündür.

clip_image004

Cihaza bağlanmak için öncelikle yapılaması gereken bilgisayarınızın ağ kartına yukarıda belirtmiş oluğumuz network üzerinden ip vermeniz gerekmektedir.

 İp yapılandırmanız aşağıdaki gibi yapılabilir.

clip_image006

Bilgisayarınızda bağlı olan kablonun huawei firewall tarafında aşağıdaki görüldüğü gibi MGMT portuna takılmalıdır.

clip_image008

Cihazın default olarak gelen Kullanıcı adı: Admin Şifresi Admin@123 şeklindedir.

 

Bu işlemleri tamamladıktan sonra web tarayıcımıza https://192.168.0.1 yazıyoruz.

clip_image010

Karışımıza yukarıdaki gibi ekran geliyor.

 clip_image012

Yukarıdaki ekranda Kullanıcı adı Admin şifre olarak Admin@123 olarak yazıyor ve login diyoruz.

clip_image014

Login işleminden sonra karşımıza default şifrenin değişmesi için bir ekran geliyor bu ekranda Current Password yazan kısıma eski şifremizi yazıyoruz ve diğer alanlara kendi belirlediğimiz şifreyi yazarak OK deyip geçiyoruz.

Yukarıdaki işlem sonucunda karşımıza aşağıdaki gibi ekran geliyor ve artık firewall web arayüzüne girmiş oluyoruz.

clip_image016

Karşımıza gelen ilk ekran Startup Wizard ekranı olup, kurulumu bu ekran üzerinden yapacağız.

Startup Wizard ekranını kullanmadan da yapacak olduğumuz işlemleri yapmak mümkün ama biraz karmaşık gelmesi muhtemel bu sebepten wizard kullanmamız daha iyi olacaktır düşüncesindeyim.

İlk ekranı Next diyerek geçiyoruz.

clip_image017

1.      Bölümde Bizden firewall cihazıma bir isim vermemiz aynı zamanda şifre değişikliği yapmak istersek bu kısımdan yapabileceğimiz göstermekte.  Next diyerek geçiyoruz.

clip_image018

2.      Bölümde kendi ülkemize uygun saat dilimini seçerek devam ediyoruz.

clip_image019

3.      Bölüm İnternet ayarlarımızın yapılacağı kısımdır. Aşağıda görüldüğü üzere 3 ayrı kısım bulunmaktadır.

clip_image020

 

1-Statik ip

Statik ip kısmını kullanacak olan kullanıcıların almış oldukları internet hizmetlerinin metro internet gibi yada benzeri çalışan hizmetlerin internet sağlayıcısı tarafından kendilerine verilen ip adresi –subnet- Gateway bilgilerini girmeleri gerekmektedir. Öncelikle sizden internet hattınızın firewall cihazının hangi portunda sonlanacağını sormaktadır.

clip_image022

Biz GE 1/0/0 portunu kullandık ve temsili bir ip adresi yazdık siz sizinle paylaşılan ip adresini bu kısma yazmanız yeterli olacaktır.

clip_image023

2.Dhcp

 Bu bölüm çok kullanılan bir bölüm değildir sahada pek karşılaşmazsınız bu bölüme girmeyeceğiz.

clip_image024

3-Pppoe

Bu bölümde internet sağlayıcımız bize vermiş olduğu modemler ya da router cihazlarının köprü ( bridge) moduna alınarak kullanılan alandır.

Örnek verecek olursak iş yerinde ADSL ya da VDSL hat kullanıyorsunuz bu cihazın hemen önünde güvenlik için huawei firewall koyacaksınız ama sistemi huawei cihazının yönetmesini kontrol etmesini yönlendirme, vpn web filter apps filter gibi işlemlerin hepsini firewall cihazının yapmasını istiyorsunuz.

Durum böyle iken ilgili modemi köprü(Bridge) moduna almanız gerekmektedir. Bu işlemden sonra artık muhatap huawei firewall cihazı olacaktır.

Küçük bir ayrıntı köprü modunda internet servis sağlayıcısının size vermiş olduğu kullanıcı adı ve şifreyi bilmek zorundasınız örnek adsl12111@ttnet şifre xxxxxx şeklinde bu bilgileri huawei firewall cihazına yazmamız gerekecek.

clip_image025

Next işleminde sonra karşımıza aşağıdaki gibi ekran gelecek olup bize hangi interface ile işlem yapmak istediğimizi soracak

clip_image027

İlgili kısımları aşağıdaki gibi doldurarak next diyerek devam ediyoruz.

clip_image029

Next işleminden sonra karşımıza lan bacağına ip vereceğiz bu ip bizim ağ geçidimiz olacak ya da route görevini yapan cihazın internete çıkış trafiğini route ettiği ip olacak.clip_image030

İp olarak 192.168.1.254/24 şeklinde verip devam ediyoruz.

clip_image032

Sonrasında karşımızda ortamda bir dhcp sunucusu yoksa ip dağıtmak için ekran geliyor. Burada başlangıç ve bitiş aralığı belirtiyoruz.

clip_image034

Aşağıdaki gibi firewall cihazının kendi ip adresini aralık içeresinde tutmuyorum.

clip_image036

Next diyerek devam ettikten sonra aşağıdaki gibi yapmış olduğumuz işlemlerin özeti gelmektedir.

Apply diyerek devam ediyoruz.

clip_image037

Apply işleminden sonra en son olarak karşımıza aşağıdaki ekran gelmekte Finish diyerek işlemi sonlandırıyoruz…

clip_image038

Finish işleminden sonra karşımıza aşağıdaki gibi dashboard gelmekte

clip_image040

Kısaca ekranda 2 bölümden bahsetmek isterim…

System Resoruce bölümünde cihazın performans değerleri verilmektedir.

clip_image042

System Information bölümünde cihaz ile ilgili bilgiler bulunmaktadır.

clip_image044

Huawei firewall üzerinde şimdi yapmış olduğumuz işlemleri kontrol edelim

clip_image045

Yukarıdaki ekranda internet hattımızın default zone olarak untrust olarak gelmekte LAN olarak ta trust zone olarak gelmektedir.

Karışıklığa sebep vermemek için internet hattını WAN olarak LAN hattının da local ya da internal olarak değiştirmemiz yararımıza olacaktır.

Öncelikle 2 adet zone ekleyelim ve istediğimiz interface bu zone dahil edelim aşağıdaki menüleri takip ederek.

clip_image047

Aşağıda görüldüğü üzere WAN şeklinde bir zone oluşturduk.

clip_image049

Daha sonra WAN zone üzerine almak istediğimiz interface üzerine gelerek tıklıyoruz

clip_image050

clip_image052

Yukarıda görüldüğü üzere zone kısmından untrust olan zone adını WAN olarak değiştirdik.

clip_image054

Şimdi LAN olarak bildiğimiz zone trust zone a dahil yani biz internete çıkış kurullarını yazarken

Trust to Wlan olarak yazmamız gerekmekte

clip_image055

Huawei cihazında default olarak policy yazılı şekilde gelir. Bu poliçede ip zone servise bakmazsınız trafiği geçirir ilk kurulumda bu şekilde ama bu sonrasında ciddi sıkıntı yaratacaktır güvenlik olarak size sıkıntıya sokacaktır.

clip_image057

Şimdi örnek olarak 1 adet internete çıkış için policy yazacağım ve default olan policy deny yapacağım yani yazdığım policy geçerli olacak ve yazdığım policye dahil olmayan kimse internete çıkmayacak

clip_image059

 

clip_image061

Aşağıda görüldüğü üzere sadece trust zone dan gelen kişiler internete çıkacaklar ve her hangi bir ip ya da user kısıtlaması yapmadım.

clip_image062

Policy kısmının son hali aşağıdaki gibidir.

clip_image064

Sistem üzerinde 192.168.1.0/24 networkünden farklı networkler olması muhtemel durum böyle iken zaten bu networkler firewall cihazına ya route aracılığı ile geliyordur ya da farklı interface lere bağlıdır.

Bir switch üzerinden route ile firewall cihazına gelen network den  bahsedeceğim

 Örnek: Sistemde 172.16.16.0/24 networkü olsun ve bu networkünde yine firewall üzerinden internete çıkması gereksin durum böyle iken zaten biz daha önce policy yazmıştık source olarak any seçmiştik burada yapacak bir şeyimiz kalmadı sadece 172.16.16.0 networkünün firewall cihazı ile haberleşmesi kaldı.

Sistemdeki switch ip adresimiz 192.168.1.1/24 olsun

 172 li network içinde 172.16.16.1/24 olsun

Her iki network switch üzerinde bulunan routing ile haberleşecekler ama firewall cihazı 172li networkü tanımayacak durum bu şekilde iken switch üzerinde aşağıdaki gibi route olduğunuz varsayarsak clip_image066

Aşağıdaki gibi route yazmamız gerekmektedir.

clip_image068

Destination address ulaşacağımız network

Next hop bu networke ulaşmak için soru soracağımız ip

İnterface soru sormak için gideceğim yere hangi port üzerinden gitmem gerektiğini belirten alan

clip_image070

Cihazın yeni route tablosu aşağıdaki gibidir.

clip_image072

Huawei cihazına şuanda MGMT zone dan başka bir zone üzerinden erişmemiz mümkün değil bunun için trust zone için http ya da https bağlantısını açmamız gerek default olarak kapalı gelir.

clip_image074

Ayrıca interface içerinse girmek için edit kısmı da kullanılabilir.

clip_image076

Yukarıda görüldüğü üzere ilgili erişim şekillerinin açılması mümkündür.

Cihaza son olarak Console üzerinden erişip yaptığımız ayarları da CLI ekranından görebilirsiniz.

Putyy yazılımı ya da benzeri yazılımları kullanarak ekrandaki ayarlar doğrultusunda

clip_image078

 

clip_image080

 

clip_image082

 

clip_image084

 

Yukarıdaki komutu yazarak cihaz üzerinde neler yaptığımızı görmek mümkün

Config olarak hepsini almadım sadece yaptığımız alanları göstermek istedim DNS ile ilgili alan aşağıdaki gibi

clip_image086

İlgili interface ler için verdiğimiz ipler ve dhcp ayrıntıları

clip_image088

Yarattığımız zone

clip_image090

Yazmış olduğumuz route

clip_image092

Yazmış olduğumuz policy

clip_image094

Ayrıca web üzerinden yaptığımız çoğu işlemi CLI üzerinden de yapmamız mümkün örnek olarak zone oluşturma yapalım. Aşağıdaki komutu CLI üzerinde koşturmamız yeter

clip_image096

Bu komutu çalıştırdıktan sonra içerisine giriş yapalım

clip_image098

Priority vermemiz gerek

clip_image100

Aşağıdaki ekranda görüldüğü üzere WAN1 zone olarak geldi.

 

clip_image102

Bu bölümün sonuna geldik diğer bölümde görüşmek üzere…

Tarih : 12 Şubat 2017 Pazar 18:55 Yayınlayan: Murat TUNALIOĞLU

Yorumlar

 

Ersin CAN

Eline sağlık Murat Hocam

Şubat 13, 2017 08:14
 

Emin Arslantay

Murat Bey elinize sağlık

Şubat 13, 2017 16:03
 

Deniz Şahin

Murat Hocam teşekkür ederiz paylaşımınız için. Çok başarılı.

Şubat 13, 2017 16:34
 

Tural Aghazada

Cox sag ol qardasim.

Mart 7, 2017 14:27
Kimliksiz yorumlar seçilemez kılınmış durumdadır.

Yazar: Murat TUNALIOĞLU

Murat TUNALIOĞLU MASE-CCNP www.sistemarena.net
 

Bu Kategori

Hızlı aktarma

Etiketler