fortios_4.0 temel kurulum.doc

FORTIGATE 4.0 TEMEL KURULUMNetwork yaps aadaki gibi olan bir sistemde Fortigate 4.0 kurulumu anlatlacaktr. Aadaki yap genel olup, buradaki yapya ayrca bir DMZ baca (serverlarn bal olduu bacak) ve/veya ikinci bir WAN baca eklenebilir. Modem bridge moda alnp zerinde NAT varsa kapatlr. Daha sonra bir patch kablo ile fortigatein WAN bacana taklr. Serverlar DMZ bacana alnarak daha gvenli bir yap oluturulur. Internal bacana yerel ada bulunan bilgisayarlarn bal olduu switch taklr. Fortigate cihazna bilgisayarmz internal bacandan balayarak, internet explorerdan 9 ip adresini yazarak fortigate arayzne eriebiliriz. Burada kullanc adna admin yazn ve ifreyi bo gein. Fortigate ilk aldnda aadaki ekran karmza gelir. Buradan cihaz ile ilgili bilgileri grebiliriz. adresinden cihazn seri numarasn girip Fortigatei register edebilirsiniz. Eer register ilemini yapmazsanz gncellemeler aktif olmayacaktr. Sistem zaman varsaylan olarak Kanadaya gre ayarldr. Bunu change linkine tklayp deitirin. SystemMaintenanceFortiguard blmnde gncellemeleri aarak cihazmzn otomatik olarak update leri almasn salayabiliriz. Ayrca filtrelemeyi de aktif etmeliyiz. SystemNetwork ksmnda fortigate bacaklarnn alm olduu ip adresleri grlmektedir. 50b modelinde ayr bir DMZ baca olmad iin WAN1 baca DMZ olarak yaplandrlmtr. Internal bacana edit diyerek yerel ada kullanlacak olan ip adresini ve network maskesini tanmlarz. Administrative access ksmnda cihaza hangi yollarla eriebileceimiz seilebilir. HTTPS ve SSH daha gvenli bir eriim imkan salar. WAN baca ayarlarnda PPPoE seilir ve Trk Telekom tarafndan verilen kullanc ad ifre bilgileri girilir. “Retrieve default gateway from server” seenei iaretlenir ve eer yerel ada DNS sunucusu yoksa “Override internal DNS” seenei de iaretlenir. WAN ayarlar girildikten sonra Telekom tarafndan size verilen ip adresi gelecektir. Eer cihaz d ip adresini alamazsa WAN ayarlarn kontrol ediniz. Eer yerel ada DHCP sunucusu yoksa SystemDHCP blmnden internal bacana kullanlacak ip araln tanmlayabiliriz. Bu ksmda ip araln tanmlayp default gateway olarak Fortigatein ip adresi verilir. Advanced ksmnda da Telekomun DNS adresleri verilir. Fortigate arayzne eriim iin gerekli olan kullanc ad ifre bilgileri SystemAdmin blmnde dzenlenebilir. “Trusted Host” ksmna cihaza erimek istediimiz ip adreslerini girebiliriz. Bu sayede beyaz kullancs sadece tanmladmz ip adreslerinden cihaz arayzne eriebilir. FirewallAddress ksmnda yerel ada bulunan sunucular ve istemcileri tek tek ya da ip adres blou olarak tanmlayabiliriz. Tanmladmz kullanclar adres ksmnda gzkmektedir. Ayn zellikteki kullanclar bir grup altnda toplayabiliriz. Bunun iin FirewallAddressGroup sekmesinin altnda Create New butonuna tklarz. Burada grup adn yazarak, gruba eklemek istediimiz kullanclar ift tklayarak “members” blouna tarz. UTMAntivirus blmnde dosya uzantlarna gre engelleme yapabiliriz. Eer engellemek istediimiz dosya uzants listede yoksa create new ile ekleyebiliriz. UTMIntrusion Protection sekmesinde yaplan tanmlamalar ile amz dardan yaplan saldrlara kar koruyabiliriz. Create new ile yeni bir IPS Sensor oluturup seviye, hedef, iletim sistemi, protokol ve uygulama baznda gvenlik salanabilir. UTMWeb FilterURL Filter sekmesinde istenen web sayfalar engellenebilir ya da eriim izni verilebilir. Web Content Filterda ise web sayfas ieriklerinde kelime baznda kstlama yaplabilir. UTMEmail FilterE-mail Address ksmnda belirlediimiz mail adreslerinden gelen mailleri spam mail ya da temiz mail olarak iaretleyebiliriz. Ayn ekilde ip adresine ya da mail ierisindeki kelimelere gre engelleme yapabiliriz. UTMData Leak Prevention ksmnda belirlediimiz kurallara gre daha detayl arivleme yapabilmekteyiz. Ayrca istemeden yaplan veri szmalarn da burada engelleyebiliriz. UTMApplication Control ksmnda uygulama baznda black list ya da white list oluturulup, bu listeye gre izin verilen ya da engellenen uygulamalar tanmlanabilir. Resimde ilk iki kategorideki tm uygulamalar, dier 3 kategorideki belirtilen uygulamalar kara listeye alnm ve bunlar dndaki tm uygulamalara izin verilmitir. UTM sekmesi altnda yaptmz tm tanmlamalar protection profile iinde kullanacaz. Yoksa bu tanmlamalar geerli olmayacaktr. FirewallProtection Profile ksmnda create new ile yeni bir profil oluturuyoruz. Burada istediimiz protokollerde virs taramas ve dosya filtrelemeyi aktif edebiliriz. UTMAntivirus blmnde oluturduumuz listeyi burada seiyoruz. Resimde Internet Messaging(IM) uygulamalar ile alnacak dosya boyutu snrlamas 3 MB tr. 3 MB tan byk dosyalar engellenecektir. IPS Sensorde daha nce yaptmz tanmlama seilir. UTMWeb Filtering ksmnda yaptmz tanmlamalar ve bu tanmlamalarn hangi protokollerde ileyecei web filtering ksmnda seilir. Bu blmde fortiguard “web filtering” ve “script blocking” iaretlenir. Fortinet tarafndan oluturulan kategorilerden istediimize izin verebilir ya da istediimizi engelleyebiliriz. Email Filtreleme ksmnda POP3 ve SMTP protokollerinde resimde gsterilen ksmlar iaretlenir. SystemStatusStatistics ksmnda gsterilen bilgileri burada dzenleyebiliriz. Log tutmak istediimiz bilgiler bu ksmda seilir. Kurulumun son aamasnda oluturduumuz profiller ve tanmlamalar, kurallar yazlarak kullanclarn internete kmas ve sunucularla haberleebilmesi salanr. FirewallPolicy sekmesi altnda bu kurallar oluturulur. Resimde, yerel adaki tm kullanclar hedefteki her yere, her zaman, hibir servis kstlamas olmadan belirlediim profile gre