Anasayfa » Fortinet FortiGate Temel Kurulum Versiyon 3 MR6

Makaleyi Paylaş

Fortinet

Fortinet FortiGate Temel Kurulum Versiyon 3 MR6

 

1 – System – Ana Menü

 

2 – Router – Yönlendirme

 

3 – Firewall – Güvenlik Tanımlamaları

 

4 – Vpn – Özel Ağ Yapılandırması (Ipsec, Pptp, Ssl)

Sponsor

 

5 – Ips&Idp – Saldırı Tespiti Ve Durdurma

 

6 – Web Filter – Web Ve İçerik kısıtlamalar

 

7 – AntiVirus & File Block – Virüs Koruması-Dosya Engelleme – Grayware Koruması

 

8 – AntiSpam BWL List – İstenmeyen Maillerden Kurtulma

 

9 – Log – Report İzleme ve Raporlama

10-Fortinet Ek Donanım

 

Merhaba;

Fortinet Ürünlerinden FortiGate U.T.M. ile ilgili temel kurulum bilgilerini aktaracağım.
Kuruluma başlamadan bilinmesi gereken bazı konular var. Önce bunlara cevap verelim.
U.T.M. Nedir? Unified Threat Management – Bütünleşik Tehdit Yönetimi

U.T.M. Neden Tercih Ediliyor? Günümüz bilgisayar teknolojileri fazlası ile ilerledi. Sadece bir firewall yâda AntiVirus sistemi korumamızda güçsüz kalıyor. Çoklu tehditler her an karsımıza çıkabilir. Örneğin bir web sayfasından bulasan virüs bu esnada sisteme gelen bir trojan ihtiva eden elektronik posta sistemimizin bozulmasına çeşitli kayıplara sebebe olmaktadır. Tehlikeler ağ girişinde daha ağa girmeden tespit edilip savuşturulabilir. Gereksiz yere bilgi kaybı, zaman kaybı ve firmaların maddi kayıpları bu sayede  engellenmektedir. Fortinet bu konuda firewall, ips&idp, antivirus (malware, spyware, grayware),Web Category Filter, Antispam Koruması, IM&P2P Koruması, Vpn Desteği (SSL, IPSEC, PPTP) ile günümüz kullanıcılarına en üst seviyede güvenlik çözümü sağlamaktadır.

 

Kurulum – Giriş 

 

SYSTEM


Fortigate cihazımız fabrika değeri olarak 192.168.1.99 ip adresi ile set edilmiştir.Cihaza ulaşmak için HTTP,HTTPS,TELNET,SSH,SNMP ile erişebilir yönetimini ve ayarlarını yapabiliriz.Öncelikle bilgisayarımızın ip adresini 192.168.1.250 veriyoruz.Web Browser adres kısmına https://192.168.1.99 yazıyoruz.Sertifika uyarısına devam ederek kullanıcı adi admin password kısmını bos bırakarak cihaza giriyoruz.Karsımıza gelen ana ekran aşağıdaki gibidir.

 

clip_image001

 

Resimde görülen cihaz register edilmiş tüm servisleri kullanılan bir cihazdır.Cihazımızı öncelikle https://support.fortinet.com/Login/UserRegistration.aspx  linkinden kayıt ediyoruz.Kurulum bitene kadar resimdeki gibi servislerimizin üzerinde yeşil check işreti olacaktır.Register edildikten sonra 15 ile 30 dk arasında servisler aktif olur.Kısaca menüler hakkında bilgi vermek gerekirse
Status Ekranı =

* Sessionlar –   Cihazımız üzerinden gecen networktaki gelen giden tcp, udp paketlerini görebiliriz.

* İstatistik bilgileri – Saldırılar, virüsler, spamlar ve yapılan itekleri görebiliriz.

* Lisans Durumu – Cihazımızın register başlangıç ve bitiş suresini servis durumunu görebiliriz.

* Tarih zaman

* Log bilgileri

* Komut satiri yönetimi – Web ara yüzünden yapamadığımız işlemler için kullandığımız alan.

* Memory ve Cpu durumunu görebiliriz. Resimdeki versiyon FORTI OS MR 6 .

Network Ekranı = Ağ geçidi ip adresimiz ,Wan bağlantılarımız,Dns ayarımız,vlan trunk oluşturma,Secondary Ip yapılandırma,Yönetim portlari (https,http,telnet vs) Bu kısımdan modemimizi bridge moduna alarak internet bağlantılarımızı sağlarız.Dikkat edilmesi gereken husus Over ride internal dns ve Retrive default gateway from server kutucuklarının dolu olması gerekmektedir.Dışarıdan cihaza bağlanıp yönetim yapılacaksa http,https e izin vermek gerekir.

 

Örnek Resim

clip_image002
Dhcp sunucu yapılandırma

Config – Bu bolümden mesajların içeriğine müdahale edebiliriz.Default İngilizcedir.

Admin – Bu kısımdan admin veya user yaratarak cihaza girişleri kontrol altına alırız.
Certificates – Kısmından cihazımızın sertifika üretmesini sağlarız.
Maintanance kısmından backup,restore ve fortiguard antivirus,AntiSpam ve web category filter servisimizi aktif ederiz.

 

Router
Statick ve Policy Route yaptığımız kısım.

Örnek Resim

clip_image003

Ben daha çok Policy üzerinde duracağım.Bu yüzden diğer kısımlar için yakin zamanda yeni makaleler hazırlayacağım.

Policy – Kural
Sistemimizdeki kullanıcıların hangi haklar ile hangi servise erişeceğine karar verdiğimiz kısımdır.
Aşağıdaki ekranda görebileceğiniz gibi çeşitli senaryolar uygulayabiliriz.
Örnek : Finansman,Muhasebe,Yönetim guruplarımız var.
Kullanıcı Hakları Hakkında Bilgi
Finansman Hakları : gov.tr,org.tr,net.tr,edu.tr sitelerde filtre uygulanmayacak. ips,idp koruması sağlanacak.Antivirus (Malware,spyware,grayware) koruması olacak.2 mb üzerindeki dosyaları ftp den geçebilirken,mail veya web ara yüzünden 2 mb üzeri dosyalar engellenecek.Zip,Rar için hiç bir kısıtlama engel olmayacak.Web filter uygulanarak istenmeyen siteler engellenecek.Msn den dosya transferi engellenirken P2P Programlarda download engellenecek veya Limit verilecek.Bu kullanıcıların banka ve finans sitelerine erişimlerinde garanti olarak 30 kb hız verilecek,mail vs diğer web sitelerinde 10 kb üzerine çıkamayacak.Http,https,pop3,SMTP,ntp,im portlari,acık olacak.Diğer tüm portlara erişimi kapatılacak.

Kelime engellenecek örneğin google’da çocuk pornosu gibi.

Muhasebe Hakları : gov.tr,org.tr sitelerde filtre uygulanmayacak.Antivirus (Malware,spyware,grayware) koruması olacak.1 mb üzerindeki dosyaları web,ftp,pop3,SMTP den engellenecek. Web filter uygulanarak tüm web siteleri engellenecek.Msn,icq,aol,yahoo gibi IM’ler engellenirken P2P Programlarda engellenecek.Sadece öğlen tatilinde 30 dk im,p2p veya izin verilen tüm siteler açılacak.ips,idp koruması sağlanacak. Http,https,pop3,SMTP,ntp,im portlari,acık olacak.
Yönetim Hakları : Her turlu siteye erişim olacak.Antivirus koruması sağlanarak Malware,spyware,grayware’ler engellenecek.Kandırmaca şifre sayfaları engellenecek.IM,P2P acık olacak.IM ’ de gelen giden dosyalarda virüs taraması sağlanacak.Ips,idp koruması sağlanacak.Tüm portlar izinli olacak.

 

clip_image004

 

Bu kurallarımız içerden dışarı çalışacak.Mail serverımız kendi ofisimizde ise yâda terminal server bağlantımız var ise yapılması gerekenler.Dışarıdan içeri Policy oluşturulmalı.Sabit portlar kullanılmamalı.Örneğin Uzak masa ustu için 3389 kullanılır.Bunun yerine dışarıdan 45345 isteklerini içeriye 3389 olarak al ve Terminal Server’a yönlendir demeliyiz.Fortigate firewall da en önemli yer Protection Profile (Koruma Profili) kısmıdır.

 

clip_image005

 

Aklımıza gelen her turlu kısıtlama bu bölümden yapılır.Örneğin proxyleri,web Chat sitelerini,youtube tarzı muti medya download sitelerini,hacking ile ilgili siteleri gibi birçok siteyi engelleyebiliriz.Su an dünya üzerinde 98.000.000 web sitesi bulunmaktadır.Fortinet firması Fortiguard Center’da 49.000.000 web sitesini kategorize etmiş durumda.Antivirus koruması http,https,ftp,SMTP,pop3,IM,imap,Nntp koruması ve dosya transferi engelleme yapabiliriz.

clip_image006

 

Kullanıcıların web,antivirus,ips,idp,fileblock gibi haklarını tamamen bu kısımdan ayarlarız.

Fortigate firewall Ipsec,Ssl,Pptp vpn’de de virüs koruması,port engellemesi gibi güvenlik sağlar.Şayet istenirse authentication yapılabilinir.Token cihazlar ile tümleşik çalışabilir.Aktive directory ile birlikte çalışabilir.
Gelecek Makale Fortigate üzerinde spam ayarları,dmz mail server kullanmak,dnsbl,rbl,email bwl,ip bwl,banned word konuları hakkında bilgi vereceğim.

Bir sonraki makalede görüşmek dileği ile.Çözümde Çözüm Bulursunuz.
Selamlar

 

Makaleyi Paylaş

Cevap bırakın