İç networkünüzdeki kullanıcıların internet erişimleri ile ilgili internet sayfalarının görüntülenmesi konusunda yönetimsel olarak Firewall’da 80 portu üzerinden LAN’dan WAN’a kısıtlama kuralı tanımlamak veya AppPatrol’da Common altından http trafiği ile ilgili kural tanımlamak her ne kadar bir çözüm olsa da, site bazlı şu kullanıcı grubu şu sitelere girebilsin, şunlara giremesin, şu kullanıcı grubu sadece şu sitelere girsin veya sınırsız yetkili grubum olsun şeklindeki talepler için tanım yapılacak adres Content Filter’dır. Burada AntiX menülerinde Content Filter menüsüne tıkladığınızda karşınıza gelen ilk ekran profillerin kullanıcı gruplarına atanacağı policy ekranıdır. Bu tanımda da anlaşılacağı üzere ilk olarak Content Filter profilleri tanımlamamız gerekir.
Bunun için de profile tabını kullanacağız.
Burada kaç adet kullanıcı grubu oluşturmamız gerektiğini göz önüne alarak o kadar sayıda profil oluşturmamız gerekiyor. Örnek olarak belirli bir kullanıcı grubuna internette full yetki, diğer kullanıcılara da internete sıkı bir içerik filtreleme sonrası bu içerik filtrelemenin dışında kalacak siteler için çıkış yetkisi verelim. Bir gruba da sadece belirlenen sitelere girme yetkisi verdiğimiz daha sıkı bir filtre uygulayalım.
Bunun için üç adet profil tanımı yapmamız gerekiyor.
Add’a basarak yeni bir profil eklemek için giriş yapıyoruz. Karşımıza ilk gelen kısım kategori bazlı tanımların yapılacağı Category service kısmı. Burada filtreye bir isim veriyoruz. Alttaki kategoriler myzyxel.com tarafından tanımlanmış ve internet üzerindeki tüm sitelerin bu başlıklar altında sınıflandığı kısımdır. Burada yasaklamak istediğiniz kategorileri işaretliyoruz. Üst tarafta gördüğünüz kısımda ise bu seçilen kategorilerdeki sitelere rastlandığında ne yapılması gerektiğini bildiriyor ve loglarını tutup tutmamasını istediğimizi tanımlıyoruz. Buradaki matched web pages myzyxel.com veritabanında aşağıdaki kategorilerden birine göre sınıflandırılabilmiş siteler olarak ifade edilebilir. Unrated web pages alttaki kategorilerden herhangi birine girmeyen, sınıflandırılmamış bir siteyi ifade edebilir. When Content Filter Category Server is unavailable kısmı da CF sunucusuna ulaşılamadığı durumlarda
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 41
internet erişiminin ne şekilde yapılması gerektiğine karşılık gelir. Burada content filter category sunucusuna ulaşılamadığı durumlarda bu filtre profiline tabi kullanıcıların internete çıkmamasını veya hiçbir kısıtlama olmadan çıkmasını block veya forward olarak tanımlayabiliriz.
Hangi kategorileri seçmeniz gerektiğine dair şüphe içerisinde iseniz, sayfanın alt tarafındaki kısımdan url adresini yazarak category sunucusundan sitenin categorisi hakkında sorgu yapabilirsiniz.
Burada yapacağınız sorgulama sonucu size milliyet.com.tr adresinin news/media category kısmına girdiğini belirtecektir. Bu kategori seçilirse tüm haber siteleri yasaklanacaktır. Kategori bazlı bu filtreleme bu şekilde çalışmaktadır. Bu tanımlardan sonra ayarları kaydedip profil menüsüne döneriz.
Burada Genel adıyla tanımlı profili seçip edit diyerek tekrar açalım. Kategori bazlı cihaz tarafından myzyxel.com veritabanından otomatik yapılan bu filtreleme dışında sizin de eklemek istediğiniz herhangi bir güvenilir site, yasaklı site veya keyword var ise Custom Service tabını kullanarak tanımlama yapabiliriz.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 42
Örnek olarak veritabanında şirket siteniz veya sık kullandığınız bir site rate edilmemiş, herhangi bir kategoriye konmamış durumda ve siz category tarafında rate edilmeyen siteleri(unrated web pages) yasakla’yı seçtiniz. Bu durumda bu siteye filtrenin kategori bazlı kısmı erişimi engelleyecektir. Bu siteyi elle güvenilir site olarak eklemek için bu menüyü kullanabiliriz. Bu tanımdan sonra unrated web pages kısmı halen bloklanacak ama sizin güvenli sitelere eklemiş olduğunuz site kategorilendirilmemiş olmasına rağmen engellenmeyecektir.
Bir başka örnek news/media categorisini yasakladınız. Ama trusted web site kısmına www.milliyet.com.tr yi eklediniz. News/media kategorisindeki tüm siteler yasaklanacak fakat milliyet.com.tr güvenli siteler listesinde olduğundan bu kategoride olmasına rağmen yasaklanmayacaktır.
Bu uygulamanın tam tersi de örneklenebilir. Category tarafında News\Media kategorisine izin verip, Custom Servis’te www.milliyet.com.tr ‘yi Forbidden Web Sites kısmına eklersek, bir önceki uygulamanın tam zıttı olacak şekilde tüm haber siteleri izinli, yalnızca www.milliyet.com.tr yasaklı olacaktır.
Bu tanımların yapıldığı Custom Service menüsünü biraz inceleyelim.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 43
Tanımlamış olduğumuz (en azından kategori bazlı ayarlarını yapılandırdığımız) profilimizin edit ile içine girdiğimizde Custom Service kısmına basarak aşağıdaki ekranı açıyoruz.
Burada Custom Service’i de enable işaretleyerek yaptığımız kategori bazlı filtre profiline bizim de ekleme yapacağımızı bildiriyoruz. Sitelerin ActiveX kontrollerini,Java Appletleri ve Tracking Cookieleri eklemesini ve Proxy değiştirme çabalarını engellemek için Restricted WEB Features Kısmında gerekli kısımları işaretliyoruz.
Trusted web sites kısmına güvenilir siteleri yazıyoruz. Burada görüldüğü gibi milliyet.com.tr sitesi eklenmiş. Filtremizde bahsettiğimiz gibi news/category seçeneği seçilerek bu kategorilerdeki sayfalara girişi engellemiştik ama bu şekilde tanımlanırsa (kategori bazlı haber siteleri yasaklı, custom serviste bunun istinası olarak trusted web site’a siteyi eklersek) milliyet dışındaki tüm haber sitelerini yasakla demiş oluyoruz. Bir başka konfigurasyon da şöyle olsun NEWS/Media categorisi engellenecekler arasında seçilmemiş. Ama Profilin custom servis kısmında milliyet.com.tr yasaklı sitelerde (forbidden web sites kısmına) elle manuel girilmiş. Bu durumda da haber sitelerinin hepsine gir, milliyet.com.tr hariç demiş oluyoruz.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 44
****Bu Custom Service menüsünün üst tarafında Allow web traffic for trusted web sites only Ģeklinde bir kısım mevcut. Bu filtreyi uygulayacağım kullanıcılar benim trusted web sites kısmına elle eklediğim adreslerden baĢka adrese girmesinler Ģeklinde yorumlanabilir. Sadece belirli sizin tanımladığınız sitelere girmesini istediğiniz kullanıcı gruplarınız yok ise (bu senaryo ile birebir örtüĢen bir durum söz konusu değil ise) bunu iĢaretlemeyiniz. Zira bu seçenek iĢaretlendiğinde bu filtre profiline tabi kullanıcılar için, bu iĢlem tüm tanımlı kuralları ezecek ve sadece custom service kısmında trusted web sites kısmına ekli sitelere girebileceği için category bazlı yapılan tanımlamaların herhangi bir anlamı olmayacaktır. Sonrasında category bazlı filtreleme yapamıyorum Ģeklinde sıkça yapılan bu hata sonrası problem olarak karĢınıza gelecektir.
Profil tanımlamanın ayrıntılarını bir tarafa bırakıp tekrar senaryomuza dönelim. Sıkı bir İçerik Filtreleme profiline tabi kullanıcılarımız ve full yetki ile internete çıkacak kullanıcılarımız olacağını bildirmiştik. Şu ana kadar sadece genel isimli tek profil tanımladık. 2. profil tanımını da full yetki ile internete çıkacaklar için yapmamız gerekiyor. Bu tanımlama için profile menüsünde zaten genel’i görüyoruz. 2.yi de aynı şekilde eklemek için add’a basıyoruz.
Burada kategori bazlı herhangi bir kutuyu işaretlemiyoruz ve custom servicede herhangi bir tanım yapmıyoruz. Kısacası herhangi bir kısıtlama yapmadık. Sadece Mudurler şeklinde isim verip enable ederek profili aktifliyoruz.
3. Filtre Profiline örnek olarak da son derece kısıtlı sadece yetkililer tarafından belirlenecek şirket web sitesi, vs. birkaç siteye girebilecek kullanıcılar için bir profil oluşturalım. Bunun için de aynı şekilde profil menusunde add’a basınız.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 45
Daha önce de bahsedildiği gibi sadece Trusted Web Sites kısmına ekleyeceğim sitelere girilebilsin seçeneği tüm kuralları ezeceğinden Category bazlı herhangi bir tanım yapılmasına gerek yoktur. Direkt olarak Custom service kısmını açıyoruz.
Burada bu profile bir isim verip Enable’ı işaretledikten sonra Allow Web Traffic for trusted web sites only kutucuğunu da seçiyoruz. Trusted Web Sites kısmındaki ADD butonunu kullanarak bu profile tabi tutulacak kullanıcıların girmesine izinli web sayfalarını ekleyiniz. Ayarları kaydedip bu 3. Profili de tamamlayınız.
Şu an 3 farklı kullanıcı tipimize uygulayacağımız içerik filtreleme profillerini ayrı ayrı oluşturduk. Fark edeceğiniz gibi henüz sadece profilleri oluşturduk bunları herhangi bir kullanıcı grubuna IP bazlı atama yapmadık. Bunun için de şu ana kadar ilgilenmediğimiz Content Filter menüsünün General tabını kullanıyor olacağız. Burada alt taraftaki policy kısmında tanımlanmış kuralları hitap ettikleri IP’lere atamak için kural eklememiz gerekiyor. Bunun için Policy menüsündeki ADD’a tıklıyoruz.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 46
Açılan kural menüsünde Ipleri filtre profilleriyle eşleştirmemiz için ilgili alanlar bulunuyor. Biz senaryo gereği şöyle bir tanım yapıyor olacağız. Tüm networkümüze daha katı olan genel profilini uygula şeklinde bir kural ekledikten sonra, bu kuralın da üzerine belirttiğimiz full yetkili IP’lere Mudurler isimli profil kuralını uygula diyerek 2.
bir kural ekleyeceğiz. Bir de müdürler grubundan olmasalar da farklı bir içerik filtrelemeye tabii tutulacak genel profilinin uygulanmayacağı sadece elle belirlenen sitelere girebilecek grup için hazırlanan 3. Bir profilimiz mevcuttu. Bu profili de ilgili grubuna atama yapacak kuralı da ekliyor olacağız. Sonuç olarak 3 kullanıcı tipimiz mevcuttu. 3 adet profil oluşturduk ve ilgili IP objelerini bu profillere eşleyecek 3 adet policy kuralı oluşturuyor olacağız.
Burada ilk kural için Adres kısmını any’de bırakarak tüm subnetimiz için tanım yaptığımızı bildiriyoruz. Filter Profile’da da Genel isimli profili seçeceğiz.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 47
Policy kısmında şu an bu kural eklenmiş olarak gözüküyor. 2. kuralımız için tekrar policy menüsünde ADD Butonuna basarak kural menüsünü açacağız. Burada adres kısmında create object seçilerek açılan popup menüsünde Mudurler profilini kullanacak full yetkili IP’lerin tanımını yapacağız.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 48
Burada bu IP bloğuna tanımlayıcı bir isim verip belirli bir IP aralığı bildireceğimiz için RANGE’i seçip bu IP bloğunun başlangıç ve bitiş IP’lerini yazıyoruz. Burada tek bir IP tanımı yapıyor olsaydık RANGE yerine HOST seçilerek tanım yapacaktık.
Popup menüsünde OK ile ayarları kaydettiğimizde Adres Kısmında Serbest_Mudurler kullanıcı grubu seçili olarak policy kuralına dönmüş olacağız. Filter profile’da da Mudurler isimli profili seçerek bu kuralı da kaydediyoruz. Benzer şekilde sadece şirket web sitesine izinli kullanıcıları da tanımlayıp bunlar için hazırlanmış olan profile eşleştiren üçüncü kuralı da benzer şekilde yapıyoruz.
Sonrasında general menüsüne döndüğümüzde ekran aşağıdaki şekilde olacaktır.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 49
Burada policy kuralları gereği Zywall’a bir http trafiği paketi geldiğinde Content Filter servisi de aktif ise paketin kaynak adresine bağlı olarak uygun kural ile eşleşip o kuralda belirtilen Filtre uyarınca çıkışını sağlayacak veya reddedecektir.
Cihaza gelen http talebi IntranetHariciYasaklilar diye tanımladığımız IP bloğundan ise 1 numaralı kural ile örtüşeceğinden Komple_Kisitli profiline uygun şekilde çıkacaktır.
Bu grubun dışındaki bir IP’den talep gelirse 1 numaradaki kural ona hitap etmeyeceği için bir alt satırdaki kurala bakacaktır.
2. satırdaki kural ise tamamen serbest şekilde internette dolaşacak Müdürler grubu için hazırlanmış kuraldır. Buna göre gelen http talebi 1 numaralı kurala uymuyor ve 2 numaralı bu kurala uyacak şekilde Serbest_Mudurler olarak tanımı yapılmış IP’lerden gelirse bu kurala uygun şekilde hiçbir yasaklama olmayan Mudurler profiline tabi olacaktır.
3. satırdaki kural ise 1. Ve 2. Satırda bildirilen IP bloklarından olmayan ve dolayısıyla bu bloklara atanan profile ve kurala tabi olmayan iç networkünüzdeki kalan kullanıcıların tamamının kapsandığı kural olarak yerleştirilmiştir.
****Bu noktada gene dikkat edilmesi gereken bu kuralların sıralamasıdır.
Bir an için 3. kuralın üstte olduğunu düĢünün. IntranetHariciYasaklilar veya Serbest_Mudurler grubundan veya baĢka bir IP’den gelen trafik bu gruplar da LAN1_Subnet ifadesiyle kapsandığı için genel kurala uyacağından altında kalacak olan 2 tanımlı kuralın bir anlamı olmayacaktı.
Content Filter ile ilgili son olarak birkaç şeye daha göz atmak gerekirse, Bu policyleri tanımlayıp Enable Content Filter’ı işaretleyip aktiflediğimizde İçerik filtrelemeyi belirttiğimiz senaryodaki kullanıcı tipleri ve bunlara uygulanacak filtre profilleri bazında devreye almış olacağız. Burada ayrıca Denied Access Message kısmında uygulanan content filterlar sebebiyle yasaklanan bir site olduğunda bu talebi yapan kullanıcı ekranında gözükecek uyarı mesajı girilebilir. Örnek: ‘Ulaşmak istediğiniz site sistem yöneticiniz tarafından zararlı bulunmuştur.’ Redirect URL menüsünde ise herhangi bir URL adresi girişi yapıldığında(örnek olarak şirket sitesi) yasaklanan siteler sonrası gelecek uyarıyla beraber buraya girmiş olduğunuz siteye kullanıcıyı yönlendirebilirsiniz.
ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6
Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 50
Son olarak Block web Access when no policy is applied seçeneğine değinmek gerekirse, bu kısım aktiflendiğinde eğer aşağıda policy kuralları herhangi bir Ip’yi içermiyor ve bu Ip’den bir trafik geldiyse, bu Ip’nin çıkışının engellenmesi içindir.
Kısacası bunu işaretleyip, aşağıda profil atamalarını yaptığım IP’ler dışında kurallarıma uymayan herhangi bir IP’nin internet çıkışını engelle demiş oluyoruz.