• "Siber Tehditlere Karşı Kalkanınız: Firewall Dünyası!"
info@epoxsoft.com

WatchGuard Firebox Kurulum ve Gelişmiş Güvenlik Yapılandırması Nasıl Yapılır?

Watchguard Firebox İlk Kurulum: Arayüz, WAN/LAN, DHCP ve NAT Nasıl Yapılandırılır?

 1.1. Yönetim Arayüzüne Erişim

  • Cihazı fiziksel olarak bağladıktan sonra ilk adım Fireware Web UI veya WatchGuard System Manager (WSM) üzerinden erişimdir.
  • Tarayıcıya Firebox’un varsayılan IP adresini yazarak giriş sayfasına ulaşın (örneğin http://192.168.1.1).
  • Yönetici kullanıcı adı/parolası ile oturum açın.

 1.2. WAN / LAN Arayüzlerinin Yapılandırılması

  • Network > Interfaces menüsüne gidin ve External (WAN) ile Trusted (LAN) portlarını yapılandırın.
  • WAN tarafına statik IP, DHCP veya PPPoE seçeneklerinden uygun olanı atayın.
  • LAN tarafına ise şirket içi ağınızın IP subnetini girin (ör. 192.168.10.0/24).

 1.3. DHCP Servisi

  • Firebox’un DHCP sunucusunu Network > IP Addressing > DHCP altında etkinleştirebilirsiniz.
  • DHCP ile IP adres aralığını (ör. 192.168.10.50-192.168.10.200), geçerli ağ maskesini, DNS sunucularını tanımlayın.
  • DHCP istemciler otomatik IP adresi alır.

 1.4. NAT (Network Address Translation)

  • Policy Manager veya Web UI üzerinden NAT kuralları oluşturun.
  • Static NAT: Belirli bir iç IP adresini dış IP’ye eşlemek için kullanılır.
  • Dynamic NAT / PAT: Birden çok iç IP adresinin tek bir dış IP ile internete çıkması için.
  • Bu adımla iç ağdaki kullanıcıların internete erişimini sağlar.

WatchGuard HTTPS Inspection (SSL Decrypt) Kurulumu ve Sorun Giderme Nasıl Yapılır?

HTTPS Inspection, güvenlik duvarlarının şifrelenmiş trafiği de incelemesini sağlar. Bu sayede kötü amaçlı içerikler tespit edilir ve engellenir.

 2.1. SSL/TLS Trafiğini İnceleme Nedir?

HTTPS Inspection, TLS/SSL ile şifrelenmiş HTTPS trafiğini Firebox’un çözmesine, incelemesine ve tekrar şifrelemesine olanak tanır. Bu sayede tehditler HTTPS üzerinden saklansa bile tespit edilir.

 2.2. HTTPS Proxy Ayarları

  • Firewall > Proxy Policies altından bir HTTPS Proxy oluşturun.
  • Burada Content Inspection özelliğini aktif hale getirerek trafiği deşifre edin.
  • İnceleme için WebBlocker veya domain name rule’lar seçebilirsiniz.

 2.3. Sertifika Yönetimi

  • Firebox, HTTPS trafiğini yeniden imzalamak için bir Proxy Authority Sertifikası kullanır.
  • Dağıtımı zorunlu değildir ama istemci tarafında sertifika uyarılarını engellemek için kurumunuzun CA’ı ile imzalanmış bir sertifika kullanmanız önerilir.

 2.4. Problemler ve Çözümleri

  • Bazı uygulamalar HTTPS Inspection ile çalışmayabilir: Office 365, Teams, iCloud gibi hizmetler sıkıntıya girebilir, bu durumda inspect bypass domainleri tanımlayın.
  • Kullanıcı tarayıcılarında sertifika uyarısı geliyorsa, Proxy Authority sertifikasını domain içi dağıtın.

WatchGuard IPS, AV ve WebBlocker: Performans ve Güvenlik Ayarları Nasıl Yapılandırılır?

Firebox, trafik filtreleme ve tehdit önleme servislerini entegre eder.

 3.1. Intrusion Prevention Service (IPS)

IPS, ağ saldırılarını gerçek zamanlı tespit eder ve engeller.

Kurulum:

  1. Subscription Services > Intrusion Prevention Service.
  2. Aktif değilse Setup Wizard’ı takip ederek etkinleştirin.
  3. Tehdit seviyelerini (Critical/High/Medium/Low) belirleyip hangi eylemin uygulanacağını seçin (Block/Drop/Allow).
  4. Hangi firewall policy’leri IPS’e sahip olacaksa seçin.
  5. Otomatik signature güncellemelerini aktif edin.

3.2. Gateway AntiVirus (AV)

  • Web, email ve dosya protokollerinde zararlı yazılımları denetler.
  • IPS ile birlikte çalışabilir, bu sayede zararlı trafikten korunma bir kat daha artar.

 3.3. WebBlocker

WebBlocker, URL kategorilerine göre site erişimini engeller veya uyarı verir.

Kurulum:

  1. Subscription Services > WebBlocker ile WebBlocker’ı etkinleştirin.
  2. Bir WebBlocker action oluşturun ve deny/allow/warn ayarlarını belirleyin.
  3. Bu action’ı HTTP ve HTTPS proxy policy’lerine atayın.
  4. Gerekirse, kullanıcı gruplarına göre farklı WebBlocker politikaları tanımlayın.

WatchGuard VPN: IKEv2, BOVPN, Mobile VPN Senaryoları

WatchGuard Firebox, farklı VPN yöntemlerini destekleyerek esnek bağlantı senaryoları sunar.

4.1. IKEv2 VPN

  • Site-to-Site VPN bağlantısı için güçlü ve hızlı bir standarttır.
  • Firebox’ın VPN > BOVPN > IKEv2 bölümünden yapılandırılır.
  • Uzaktan ofislerin sabit IP’ler arasında güvenli bir tunel sağlar.
  • İKEv2 yapılandırmasında gerekli olan Phase 1 ve Phase 2 ayarlarını doğru girin.

 4.2. Branch Office VPN (BOVPN)

  • Şube ofisler arasında sürekli bağlı VPN’ler için uygundur.
  • Genellikle sabit IP adresli lokasyonlarda tercih edilir.
  • Policy veya Route tabanlı olabilir.

4.3. Mobile VPN

Firebox, mobil kullanıcılar için birkaç VPN seçeneği sunar:

SSL VPN

  • İstemci bilgisayarlar için güvenli https-tabanlı VPN.
  • Kullanıcı adı/şifre veya sertifika ile kimlik doğrulama sağlar.

IKEv2 Mobile VPN

  • Mobil cihazlar ve yerel VPN istemcileri için.
  • Özellikle Windows, iOS ve Android ile uyumludur.

L2TP/IPSec

  • Geleneksel VPN protokolü, uyumluluk açısından tercih edilir.

 Son sürümlerde IKEv2 VPN desteği ve Firebox tarafında bağlantı iyileştirmeleri yapılmıştır.

 4.4. VPN Politikaları ve NAT

  • VPN bağlantıları için gelen trafiğe izin verecek Firewall politikaları eklemeyi unutmayın.
  • Özellikle port 500, 4500 ve ESP/UDP trafiğine izin verin.

WatchGuard Multi-WAN / Failover / Load Balancing Yapılandırması Nasıl Yapılır?

Firebox güvenilir internet bağlantısı için Multi-WAN özelliklerini destekler.

5.1. Multi-WAN Nedir?

Birden fazla ISP bağlantısını aynı Firebox’a bağlayarak yedeklilik (failover) veya yük dengeleme (load balancing) yapabilirsiniz.

5.2. Failover Ayarları

  • Network > Multi-WAN sekmesine gelin.
  • Failover modunu seçin.
  • Harici (WAN) interface’lerin sırasını belirleyin (Primary, Secondary vb.).
  • Her WAN için link monitor hedefleri ekleyin (örneğin 8.8.8.8 gibi).
  • Primary WAN düşerse, Firebox otomatik olarak yedek WAN’a geçer.

5.3. Load Balancing (SD-WAN)

  • SD-WAN seçenekleri ile trafik türüne göre WAN’lar arası yük dengeleme yapabilirsiniz.
  • Politikalarınızda SD-WAN routing ayarları bulunur ve bu sayede belirli trafik tiplerini belirli WAN’lar üzerinden yönlendirebilirsiniz.

5.4. Yüksek Kullanılabilirlik (HA)

  • FireCluster veya failover gibi ek seçeneklerle Multi-WAN ve VPN verdiklerinizi yedekli hale getirebilirsiniz.

5.5. Route Distance ve Öncelik

  • Firebox, Multi-WAN’da her dış interface için route metric kullanır.
  • Failover’da Primary dış bağlantı düştüğünde, daha yüksek metric’li route otomatik devreye girer.

Watchguard Firebox ile Modern Ağ Güvenliği Ne Sağlar?

WatchGuard Firebox, güçlü güvenlik servisleri, esnek VPN seçenekleri ve gelişmiş Multi-WAN özellikleri ile modern ağ güvenliği için kapsamlı bir çözümdür. Firebox’u doğru şekilde kurmak, HTTPS trafiğini etkili biçimde analiz etmek, IPS/AV/WebBlocker ile tehditleri engellemek, VPN ile güvenli bağlantılar oluşturmak ve Multi-WAN ile bağlantı sürekliliğini sağlamak kurumunuzun siber güvenlik seviyesini önemli ölçüde artırır.