Biliyor muydunuz?

Güvenlik duvarı (Firewall) birçok farklı filtreleme özelliği ile bilgisayar ve ağın gelen ve giden paketler olmak üzere internet trafiğini kontrol altında tutar. İp filtreleme, Port Filtreleme, Web Fitreleme, içerik filtreleme bunlardan birkaçıdır.

Firewalların iki temel türü vardır. Bunlar: --Stateful Inspection Firewall’lar --Application Layer Firewall’lar-- Stateful Inspection Firewall, veriyi kaynağından hedefine kadar takip eder. Application Layer Firewall ise, yalnızca gelen ve giden verinin başlık kısımlarını kontrol eder ve uygulama katmanındaki protokolleri kısıtlayarak güvenliği sağlar. Örneğin http protokolü üzerinden bir web sitesinin erişiminin engellenmesi buna örnek olarak verilebilir. Daha gelişmiş olanı Stateful Inspection özellikte olanlar olup daha çok büyük networklerin internet ve iç ağdaki trafiklerini kontrol eder.

Günümüzdeki Firewall'lar da sadece port kapamak amaçlı kullanılmıyor.Yeni nesil Firewallar da u.t.m. Unified Threat Management kısaca açıklaması (firewall,antivirüs, antispam, ids/ips, vpn,router,gibi özellikleri olan) tümleşik cihazlardır.Her ne kadar bir dönem bilinen Firewall markaları u.t.m. cihazların hantal ve başarız olduğunu iddia etse de günümüzde tüm Firewall üreticileri u.t.m. cihazlarını üretmektedir. Kısaca U.T.M. cihaz markaları şu an bilinen Fortinet,Netscreen,Juniper,Symantec,Cisco ASA serisi Bu cihazlar üzerinde port protokol bazında kısıtlama yapabilir.Web filtrelemesi (terör,şiddet,silah gibi kategorilerine göre yasaklama yapabilir.)Dosya indirme gibi işlemleri durdurabilir.İyi kurulmuş bir firewall bilgisayarınızı bir daktiloya çevirebilir :)

Firewall'lar işletim sistemi olarak genelde GNU/Linux kullanır Bu işletim sistemleri cihazlardaki Flash belleğe gömülü olarak gelmektedir. Kutu cihazlar genelde normal masaüstü ateş duvarı bilgisayarlarına göre daha hızlı çalışırlar.

Firewall'ın Nedir?

Firewall (Internet Güvenlik Sistemi), Internet üzerinden bağlanan kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle bir Internet gateway servisi (ana Internet bağlantısını sağlayan servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen genel addır yada sistemin özel bölümlerini halka açık bölümlerinden ayıran, insanların kendilerine tanınan haklardan daha fazlasını almalarını engelleyen yapılardır.



Ilk kullanılan bilgisayar güvenlik duvarı; routing yapamayan bir UNIX makinasıydı. Bilgisayarın üzerindeki bir ethernet kartı internete bağlı, diğer ethernet kartı ise yerel ağa bağlı bulunmaktaydı. Yerel kullanıcılar internete erişmek için Unix(firewall) makinaya giriş yapmaları gerekiyordu, daha sonra sunucu makinanın kaynaklarını kullanarak internet imkanlarına erişiyorlardı.

FIREWALL TÜRLERİ

Ateş duvarının güvenlik tasarım mantığı bir çeşit paket izleme metodunu kullanmayı zorunlu kılmaktadır. Her bir metod OSI modelinin değişik katmanlarındaki bilgileri kullanmaktadır. Bu metodlar ateş duvarlarının önceden tanımlı kuralları ve filtreleri kullanarak paketlerden ve oturumlardan aldıkları bilgiler doğrultusunda trafiği izin verip vermeme işlemini gerçekleştirir. En çok bilinen üç metod paket filtreleme, dinamik filtreleme ve uygulama geçitli


A- PAKET FİLİTRELEME
Paket filtreleme ( dosya filitreleme diyelim biz dostlar ) en basit paket izleme metodudur. Paket filitreleme ateş duvarı tam olarak isminin çağrıştırdığı işi yapar yani paketleri filtreler. En yaygın kullanımı yönlendirici veya dual-homed ağ geçitlerindedir. Paket filtreleme işlemi şu şekilde yapılmaktadır. Herbir paket ateş duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı kurallar veya filtreler doğrultusunda incelenir. Kabul etme veya reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir. Herbir paket diğer paketlerden bağımsız bir şekilde incelenir.



B- DİNAMİK (STATEFUL) PAKET İZLEME

Dinamik paket izleme paket filtrelemenin yaptığı bazı temel paket gözleme yöntemlerini kullanır. Buna ek olarak, ağ katmanından uygulama katmanına kadar paket başlık bilgisini inceleyerek paketin yasal bir bağlantıdan gelip gelmediğini ve protokollerin beklendiği gibi davranıp davranmadığını gözlemler.



C- UYGULAMA AĞ GEÇİDİ/VEKİL SUNUCULAR

Uygulama ağ geçitleri/vekil sunucular en karmaşık paket izleme metodu olarak düşünülebilir. Bu tip ateş duvarının iki ağ arayüzü olan güvenli host sistemlerinde konfigüre edilmesi düşünülebilir. Uygulama ağ geçitleri/vekil sunucular iki uç nokta arasında bir aracı olarak düşünülebilir. Bu paket izleme metodu istemci/sunucu modelini kırar, dolayısıyla yeni durum iki bağlantıya ihtiyaç duyar: bir bağlantı kaynaktan ağ geçidi/vekil sunucuya ve diğeri ağ geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ geçidi/vekil sunucu aracılığı ile görüşebilir.

Bu tip ateş duvarı OSI modelinin uygulama katmanında çalışır. Kaynak ve hedef uç noktalarının birbirleriyle iletişim kurabilmesi için herbir uygulama protokolünde vekil sunucunun konfigürasyonu yapılmalıdır. Ağ geçidi/vekil sunucu iki ağ arasındaki bağlantıyı sağladığından gerekli güvenliği ve güvenilirliliği sağlamak amacı ile çok dikkatli bir şekilde tasarlanmalıdır. Bu doğrultuda vekil sunucu yazılımı da olabildiği kadar katı ve güvenli olmalıdır. Paket izlemenin diğer bir güçlü yanıda host sistemindeki arayüzün paketleri yönlendirmemesidir.
ullanıcıların iş dışında başka şeylerle uğraşmalarını engellemek ve zararlı programcıklar içeren web sayfalarını önlemek için ise Web Filtreleme sistemlerine ihtiyaç vardır. Yine network trafiği ve kullanıcı zamanını oldukça çalan bir diğer sorun spam maillerdir. Bunları da engelleyen Anti Spam teknolojileri hızla gelişmektedir.
Günümüzde farklı farklı marka ve teknolojide çözümler bulunmaktadır. Ancak sektör genel olarak tüm tehditleri engelleyen bütünleşik cihazlara yönelmektedir. Bu amaçla birçok marka tüm tehditleri tek cihazda engelleyebilen “Bütünleşik Güvenlik Sistemleri” (UTM) ürünler çıkartmaya başlamıştır. Bu sayede hem merkezi ve kolay kontrol sağlanmakta hem de lisans maliyetleri farklı teknolojileri parça parça almaya göre daha ucuz olmaktadır.
 

Ekonomik Çözüm

Anti virus, Anti Spam, Web Filtreleme, IPS gibi güncelleme gerektiren bu tür sistemleri satın alırken dikkat edilmesi gereken en önemli noktalardan birisi de yıllık güncelleme ücretidir. Herbir ürün ayrı ayrı güncellendiğinde güncelleme ücreti çok fazla olmaktadır.
Ürün tek merkezden bir çok sıkıntıyı engelleyerek network performansının artmasını, network personelinin başka işlere vakit ayırabilmesini, personelinin iş dışında başka şeylerle uğraşmasının engellenmesini sağlayacağından ödenen ücretlerin kat kat fazlasını kısa sürede çıkartacaktır.
Fortigate in lisansi kullanici bazinda olmadigindan kullanici sayisi arttikca fortigate ile diger cozumler arasindaki fiyat farki artmaktadir. Örneğin bir müşterimizde web filitreleme servisinin yillik update ucreti fortigate in tum servislerinin update ucretine denk gelmektedir.