• "Siber Tehditlere Karşı Kalkanınız: Firewall Dünyası!"
info@epoxsoft.com

Fortinet Derinlemesine Rehber: NAT, VLAN, IPS ve SSL Inspection

FortiGate NAT: VIP, SNAT, Port Forward ve Hairpin NAT

FortiGate NAT (Network Address Translation) ağ güvenliği ve adres yönlendirme süreçlerinin temelini oluşturur. NAT’ın başlıca amacı, iç ağdaki özel IP’leri genel IP’lere çevirmek, trafiği yönlendirmek ve erişimi kontrol etmektir.

Virtual IP (VIP) ile Destination NAT

FortiGate VIP nesneleri, dışarıdan gelen isteklere karşı iç ağdaki sunuculara Destination NAT (DNAT) uygulamak için kullanılır. VIP, genel IP ve portu iç IP ve portla eşleştirir.

  • Static NAT (1:1) – Tek bir dış IP adresini bir iç IP adresine eşler.
  • Port Forwarding – Belirli port trafiğini iç ağdaki sunuculara yönlendirir; örneğin, 443 → 8443 gibi.
  • VIP nesneleri firewall policy’de dest. address olarak seçilir ve trafik buna göre yönlendirilir.

VIP oluştururken dikkat edilmesi gerekenler:

  • Dış IP adresi ve alt ağın doğru şekilde seçilmesi,
  • Port yönlendirme yapılacaksa External Service Port ve Mapped Port değerlerinin doğru tanımlanması,
  • VIP’lerin güvenlik politikalarında doğru interface ile eşleştirilmesi gereklidir (ör. WAN → LAN).

SNAT: Source NAT

SNAT, iç ağdan dışarı giden trafiğin kaynak IP’sini firewall’un dış IP’siyle değiştirir. Böylece iç ağ IP’leri gizlenir ve routing problemi yaşanmaz.
FortiGate’de politikaya NAT enable seçeneği ekleyerek SNAT aktif edilir.
Bazı durumlarda FortiGate VIP adresini SNAT IP olarak kullanabilir; bu davranış ortam gereksinimlerine göre değiştirilebilir.

Hairpin NAT

Hairpin NAT, aynı interface içinden bir VIP’e erişimde kullanılır (örn. LAN içinden genel IP’e gidip tekrar iç ağa dönme).

  • Bu durumda NAT hem destination hem source için uygulanır.
  • Hairpin NAT ile aynı subnet içindeki istemciler, FortiGate üzerinden tekrar iç ağdaki sunucuya dönebilir.
  • Yapılandırma için politikalar ve bazen özel routing ayarları gerekebilir.

FortiGate VLAN Yapılandırma: Trunk, Tagged/Untagged, Inter-VLAN Routing

Modern ağlarda VLAN’lar, broadcast domain’lerini izole etmek için kullanılır. FortiGate’de VLAN yapılandırılması firewall’un hem Layer 3 hem de Layer 2 taraflı fonksiyonlarını destekler.

VLAN Temelleri

FortiGate üzerinde bir VLAN, fiziksel bir interface üzerine 802.1Q tag eklenerek oluşturulur.

  • Tagged VLAN – Trunk link üzerinden geçiş yapar ve bir VLAN ID’si taşır.
  • Untagged VLAN (Native VLAN) – Tag’sız paket için varsayılan VLAN’dır.
    FortiGate’in switch-like davranışı sınırlıdır; çoğu durumda dış switch üzerinde VLAN trunking yapılır ve FortiGate buna göre sub-interface ile yönlendirme yapar.

VLAN Sub Interface Oluşturma

VLAN sub-interface oluştururken:

  1. Network → Interfaces bölümünden yeni bir interface yaratılır.
  2. Type: VLAN, Parent interface ve VLAN ID belirlenir.
  3. IP adresi ve diğer routing ayarları tanımlanır.
    Sub-interface’ler farklı alt ağlar için ayrı IP ve security policy tanımlamak için kullanılır.

Inter-VLAN Routing

FortiGate, VLAN’lar arası trafiği Layer 3 routing ile sağlar:

  • Her VLAN sub-interface için IP adresi atanır.
  • VLAN’lar arasında politika oluşturularak trafik izni tanımlanır.
  • İsterseniz router-on-a-stick modeli kullanarak tek interface üzerinden çoklu VLAN desteği verebilirsiniz.

FortiGate IPS Ayarları: Profil Mantığı, False Positive ve İstisnalar

FortiGate üzerinde IPS (Intrusion Prevention System), saldırı girişimlerini tespit edip engellemek için FortiGuard imza veritabanını kullanır. IPS, hem Layer 3 hem Layer 4 trafiğini analiz ederek bilinen tehditleri belirler.

IPS Profil Mantığı

Bir IPS profili; imza setleri, anomaly ayarları, threshold ve aksiyon tiplerini içerir.

  • Detect – Saldırıyı tespit edip log tutar.
  • Block – Tehdit tespit edilirse paketleri ve oturumları engeller.
    Profil, firewall policy’de seçilir ve trafiğe uygulanır.

False Positive Yönetimi

FortiGate IPS’de false positive (yanlış pozitif) durumları:

  • Normal trafiğin saldırı gibi algılanmasıdır.
  • Canlı ağlarda üretim trafiği IPS tarafından yanlış engellenebilir.

Bu tür durumlarda:

  • IPS profile exception eklenir.
  • Belirli IP adresi, servis veya imza ID’si için bypass veya log only aksiyon ayarlanabilir.
  • Exception ekleme, operasyonel süreçte sürekli review edilmeli ve üretim ağı göz önünde bulundurularak optimize edilmelidir.

FortiGate SSL Inspection: Sertifika, Riskler, Performans ve Best Practices

SSL Inspection, HTTPS trafiğini deşifre ederek içerik bazında güvenlik taraması yapılmasını sağlar. Ancak bu operasyon karmaşık ve dikkat gerektiren bir yapıdır.

SSL Inspection Türleri

FortiGate’te SSL Inspection başlıca üç kategoride incelenir:

  • Certificate Inspection – SSL sertifikasını analiz eder, ancak içerik deşifre edilmez.
  • Deep Inspection – Trafik gerçek anlamda deşifre edilip içerik taranır.
  • Protecting SSL Server – FortiGate, iç sunucu adına SSL oturumunu terminate eder ve kendi sertifikasını sunar.

Sertifika Yönetimi

Deep Inspection için:

  • FortiGate’i cihaz sertifikasını client tarafında trusted root CA olarak eklemek gerekir.
  • Bu sayede client tarafında sertifika uyarıları ortadan kalkar.
  • Doğru sertifika seçimi ve yönetimi kullanıcı deneyimi üzerinde direkt etki yapar.

Performans ve Riskler

SSL Inspection performans açısından yük getirebilir:

  • Deep inspection CPU ve RAM tüketimini arttırır.
  • Özellikle yüksek trafik hacmi olan ağlarda dikkatli dimensioning gerektirir.
  • Bazı trafiğin deşifre edilmesi etik veya yasal kısıtlamalara takılabilir.
    Best practice olarak:
  • Belirli IP’ler / kategoriler için bypass listeleri oluşturulabilir.
  • Derin inceleme sadece kritik servis ve uygulamalar için aktif edilmelidir.

Uygulama Örnekleri ve En İyi Uygulamalar

VIP ve Port Forwarding Örneği

Dışarıdan gelen 80 ve 443 trafiklerini iç ağdaki web server’a yönlendirmek için:

  1. VIP nesnesi oluştur.
  2. External IP ve Mapped IP tanımla.
  3. Port forwarding enable ve port eşlemesini yap.
  4. Firewall policy oluştur ve VIP’i destination olarak kullan.

VLAN ve Router-on-a-Stick

Tek fiziksel interface üzerinden birden çok VLAN’a trunk yapılacaksa:

  • Fiziksel interface’i trunk moduna al.
  • Her VLAN için sub-interface oluştur.
  • Bu sub-interface’ler için IP ve routing politikaları ekle.

IPS Optimizasyonu

  • Default IPS profili, kapsamlı olup yüksek hassasiyet içerebilir.
  • Üretim için custom profil oluştur, sadece gerekli imzaları aktif et.
  • False positive’lere exception ekle ve log-only mod ile gözlemle.

SSL Inspection Best Practice

  • Deep inspection sadece outbound HTTPS trafiği için önceliklendir.
  • Bankacılık gibi kritik trafik için bypass listesi ekle.
  • Sertifika dağıtımı şirket içi CA ile yapılabilir.

FortiGate firewall çözümleri, ağ adresleme, VLAN segmentasyonu, saldırı önleme ve SSL trafiği atağı gibi kritik güvenlik parçalarını entegre bir şekilde sunar. Doğru yapılandırma ve sürekli izleme ile performansı optimize ederken güvenliği artırabilirsiniz. Bu rehber, ileri seviye FortiGate konfigürasyonlarını net bir şekilde ortaya koyarak gerçek dünya uygulamalarına dönüştürmeniz için kapsamlı bir referans sağlar.