Biliyor muydunuz?
Güvenlik duvarı (Firewall) birçok farklı filtreleme özelliği ile
bilgisayar ve ağın gelen ve giden paketler olmak üzere internet
trafiğini kontrol altında tutar. İp filtreleme, Port Filtreleme, Web
Fitreleme, içerik filtreleme bunlardan birkaçıdır.
Firewalların iki temel türü vardır. Bunlar: --Stateful Inspection
Firewall’lar --Application Layer Firewall’lar-- Stateful Inspection
Firewall, veriyi kaynağından hedefine kadar takip eder. Application
Layer Firewall ise, yalnızca gelen ve giden verinin başlık
kısımlarını kontrol eder ve uygulama katmanındaki protokolleri
kısıtlayarak güvenliği sağlar. Örneğin http protokolü üzerinden bir
web sitesinin erişiminin engellenmesi buna örnek olarak verilebilir.
Daha gelişmiş olanı Stateful Inspection özellikte olanlar olup daha
çok büyük networklerin internet ve iç ağdaki trafiklerini kontrol
eder.
Günümüzdeki Firewall'lar da sadece port kapamak amaçlı
kullanılmıyor.Yeni nesil Firewallar da u.t.m. Unified Threat
Management kısaca açıklaması (firewall,antivirüs, antispam, ids/ips,
vpn,router,gibi özellikleri olan) tümleşik cihazlardır.Her ne kadar
bir dönem bilinen Firewall markaları u.t.m. cihazların hantal ve
başarız olduğunu iddia etse de günümüzde tüm Firewall üreticileri
u.t.m. cihazlarını üretmektedir. Kısaca U.T.M. cihaz markaları şu an
bilinen Fortinet,Netscreen,Juniper,Symantec,Cisco ASA serisi Bu
cihazlar üzerinde port protokol bazında kısıtlama yapabilir.Web
filtrelemesi (terör,şiddet,silah gibi kategorilerine göre yasaklama
yapabilir.)Dosya indirme gibi işlemleri durdurabilir.İyi kurulmuş
bir firewall bilgisayarınızı bir daktiloya çevirebilir :)
Firewall'lar işletim sistemi olarak genelde GNU/Linux kullanır Bu
işletim sistemleri cihazlardaki Flash belleğe gömülü olarak
gelmektedir. Kutu cihazlar genelde normal masaüstü ateş duvarı
bilgisayarlarına göre daha hızlı çalışırlar.
Firewall'ın Nedir?
Firewall (Internet Güvenlik Sistemi), Internet üzerinden bağlanan
kişilerin, bir sisteme girişini kısıtlayan/yasaklayan ve genellikle
bir Internet gateway servisi (ana Internet bağlantısını sağlayan
servis) olarak çalışan bir bilgisayar ve üzerindeki yazılıma verilen
genel addır yada sistemin özel bölümlerini halka açık bölümlerinden
ayıran, insanların kendilerine tanınan haklardan daha fazlasını
almalarını engelleyen yapılardır.
Ilk kullanılan bilgisayar güvenlik duvarı; routing yapamayan bir
UNIX makinasıydı. Bilgisayarın üzerindeki bir ethernet kartı
internete bağlı, diğer ethernet kartı ise yerel ağa bağlı
bulunmaktaydı. Yerel kullanıcılar internete erişmek için
Unix(firewall) makinaya giriş yapmaları gerekiyordu, daha sonra
sunucu makinanın kaynaklarını kullanarak internet imkanlarına
erişiyorlardı.
FIREWALL TÜRLERİ
Ateş duvarının güvenlik tasarım mantığı bir çeşit paket izleme
metodunu kullanmayı zorunlu kılmaktadır. Her bir metod OSI modelinin
değişik katmanlarındaki bilgileri kullanmaktadır. Bu metodlar ateş
duvarlarının önceden tanımlı kuralları ve filtreleri kullanarak
paketlerden ve oturumlardan aldıkları bilgiler doğrultusunda trafiği
izin verip vermeme işlemini gerçekleştirir. En çok bilinen üç metod
paket filtreleme, dinamik filtreleme ve uygulama geçitli
A- PAKET FİLİTRELEME
Paket filtreleme ( dosya filitreleme diyelim biz dostlar ) en basit
paket izleme metodudur. Paket filitreleme ateş duvarı tam olarak
isminin çağrıştırdığı işi yapar yani paketleri filtreler. En yaygın
kullanımı yönlendirici veya dual-homed ağ geçitlerindedir. Paket
filtreleme işlemi şu şekilde yapılmaktadır. Herbir paket ateş
duvarından geçtiği esnada paket başlığı bilgisi önceden tanımlı
kurallar veya filtreler doğrultusunda incelenir. Kabul etme veya
reddetme kararı bu karşılaştırmanın sonuçları doğrultusunda verilir.
Herbir paket diğer paketlerden bağımsız bir şekilde incelenir.
B- DİNAMİK (STATEFUL) PAKET İZLEME
Dinamik paket izleme paket filtrelemenin yaptığı bazı temel paket
gözleme yöntemlerini kullanır. Buna ek olarak, ağ katmanından
uygulama katmanına kadar paket başlık bilgisini inceleyerek paketin
yasal bir bağlantıdan gelip gelmediğini ve protokollerin beklendiği
gibi davranıp davranmadığını gözlemler.
C- UYGULAMA AĞ GEÇİDİ/VEKİL SUNUCULAR
Uygulama ağ geçitleri/vekil sunucular en karmaşık paket izleme
metodu olarak düşünülebilir. Bu tip ateş duvarının iki ağ arayüzü
olan güvenli host sistemlerinde konfigüre edilmesi düşünülebilir.
Uygulama ağ geçitleri/vekil sunucular iki uç nokta arasında bir
aracı olarak düşünülebilir. Bu paket izleme metodu istemci/sunucu
modelini kırar, dolayısıyla yeni durum iki bağlantıya ihtiyaç duyar:
bir bağlantı kaynaktan ağ geçidi/vekil sunucuya ve diğeri ağ
geçidi/vekil sunucudan hedefedir. Her uç nokta birbirleriyle ağ
geçidi/vekil sunucu aracılığı ile görüşebilir.
Bu tip ateş duvarı OSI modelinin uygulama katmanında çalışır. Kaynak
ve hedef uç noktalarının birbirleriyle iletişim kurabilmesi için
herbir uygulama protokolünde vekil sunucunun konfigürasyonu
yapılmalıdır. Ağ geçidi/vekil sunucu iki ağ arasındaki bağlantıyı
sağladığından gerekli güvenliği ve güvenilirliliği sağlamak amacı
ile çok dikkatli bir şekilde tasarlanmalıdır. Bu doğrultuda vekil
sunucu yazılımı da olabildiği kadar katı ve güvenli olmalıdır. Paket
izlemenin diğer bir güçlü yanıda host sistemindeki arayüzün
paketleri yönlendirmemesidir.
ullanıcıların iş dışında başka şeylerle uğraşmalarını engellemek
ve zararlı programcıklar içeren web sayfalarını önlemek için ise Web
Filtreleme sistemlerine ihtiyaç vardır. Yine network trafiği ve
kullanıcı zamanını oldukça çalan bir diğer sorun spam maillerdir.
Bunları da engelleyen Anti Spam teknolojileri hızla gelişmektedir.
Günümüzde farklı farklı marka ve teknolojide çözümler bulunmaktadır.
Ancak sektör genel olarak tüm tehditleri engelleyen bütünleşik
cihazlara yönelmektedir. Bu amaçla birçok marka tüm tehditleri tek
cihazda engelleyebilen “Bütünleşik Güvenlik Sistemleri” (UTM)
ürünler çıkartmaya başlamıştır. Bu sayede hem merkezi ve kolay
kontrol sağlanmakta hem de lisans maliyetleri farklı teknolojileri
parça parça almaya göre daha ucuz olmaktadır.
Ekonomik Çözüm
Anti virus, Anti Spam, Web Filtreleme, IPS gibi güncelleme
gerektiren bu tür sistemleri satın alırken dikkat edilmesi gereken
en önemli noktalardan birisi de yıllık güncelleme ücretidir. Herbir
ürün ayrı ayrı güncellendiğinde güncelleme ücreti çok fazla
olmaktadır.
Ürün tek merkezden bir çok sıkıntıyı engelleyerek network
performansının artmasını, network personelinin başka işlere vakit
ayırabilmesini, personelinin iş dışında başka şeylerle uğraşmasının
engellenmesini sağlayacağından ödenen ücretlerin kat kat fazlasını
kısa sürede çıkartacaktır.
Fortigate in lisansi kullanici bazinda olmadigindan kullanici sayisi
arttikca fortigate ile diger cozumler arasindaki fiyat farki
artmaktadir. Örneğin bir müşterimizde web filitreleme servisinin
yillik update ucreti fortigate in tum servislerinin update ucretine
denk gelmektedir.
Nasıl Alabilirim
Ürünlerimizi ister sanal mağazamızdan online olarak, isterseniz müşteri temsilcilerimiz ile görüşerek farklı ödeme seçenekleri ile satın alabilirsiniz.