ZyWALL USG 100 KURULUMU

(1)

ZyXEL İletişim Teknolojileri A.Ş. Kaptanpaşa Mahallesi, Piyalepaşa Bulvarı, Ortadoğu Plaza No.14/13 Kat.6

Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 1

ZyWALL USG 100 KURULUMU

Cihazı Tanıyalım USG 100

Cihazınızda 7 adet Ethernet portu mevcuttur. Portlar sabit ve atamaları aşağıdaki şekilde yapılandırılmıştır.

P1_WAN1 1.internet bacağı, bu fiziksel port üzerinde wan1_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır.

P2_WAN2 2.internet bacağı, bu fiziksel port üzerinde wan2_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır.

P3_LAN1 İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 1.port, 192.168.1.1 fabrika çıkış IP’sine sahip ve 192.168.1.33’den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı.

P4_LAN1 İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 2.port, 192.168.1.1 fabrika çıkış IP’sine sahip ve 192.168.1.33’den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı.

P5_LAN2 İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 3.port, 192.168.2.1 fabrika çıkış IP’sine sahip ve 192.168.2.33’den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. 2. Bir lokal subnet ihtiyacınız var ise bu port üzerinden işlem yapabilirsiniz.

P6_EXT_WLAN İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 4.port, 10.59.0.1 fabrika çıkış IP’sine sahip ve 10.59.0.33’den başlayarak iç networkünüzdeki

(2)

www.zyxel.com.tr

makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. Özellikle kablosuz bir AP ile ZyWALL üzerinden kablosuz internet dağıtılması düşünülüyor ise kullanılabilir.

P7_DMZ İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 5.port, 192.168.3.1 fabrika çıkış IP’sine sahip ve 192.168.3.33’den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı.

Özellikle web server, file server, mail server gibi dışarıya da açık sunucularınıza ulaşan harici kullanıcıların iç networkünüze de ulaşma riskine karşı bu sunucuları gruplayıp DMZ bacağına bağlamanız önerilir.

Görüleceği üzere cihazınızda 2 adet WAN portu olarak kullanılabilecek port (1. ve 2.

Portlar) ve 5 adet farklı amaçlarla LAN portu olarak kullanılabilecek port ( 3-7 port ) bulunmaktadır.

1.CĠHAZ ARAYÜZÜNE ERĠġĠM

Usg cihazınızın kurulumu için herhangi bir Pc’ye 192.168.1.0 networkünden bir statik IP verdikten sonra bu Pc ile Zywall cihazınızın LAN1 portunu (3. veya 4. Port) bir Ethernet kablosu ile bağlayınız.

Browserınıza 192.168.1.1 yazarak cihazın arayüzüne ulaşınız. Sertifika ile ilgili uyarı ekranı karşınıza gelirse devam et ile kullanıcı adı şifre ekranına ulaşabilirsiniz.

Cihazın fabrika çıkış ayarlarınca kullanıcı adı admin ve şifresi 1234’dür.

(3)

Giriş yaptıktan sonra karşınıza gelen ekrandan cihazın şifresini değiştirebilirsiniz.

(4)

www.zyxel.com.tr

Status menüsünde sizi aşağıdaki ekran karşılayacaktır. Burada sol taraftaki menülerde cihazın farklı ayarlarının yapıldığı menüler bulunmaktadır. Sağ taraftaki geniş ekransa bu soldaki menülere tıklandığında o menüyle ilgili ayarları karşınıza getirir. Sağ üst köşede de menüler ve cihazla ilgili yardım dosyalarına ulaşacağınız veya sihirbazlar ile kolay kurulum yapabileceğiniz ikonlar bulunmaktadır.

Zywall’un ilk olarak network ayarlarını yapmak için soldaki menülerden network menüsü altındaki interface menüsünü kullanacağız.

İlk olarak iç networkünüzdeki Pc’lerin IP’lerini, gateway veya DNS bilgilerini değiştirmek istemiyor iseniz, cihazı networkünüze uydurmak için ZyWALL’un iç networkünüze bağlantısını yapacak olan LAN bacağını edit ederek istediğiniz IP bloğuna çekiniz. Burada değişiklik yaptıktan sonra, cihaza yeni IP’sinden ulaşmanız gerekeceğini unutmayınız.

2.INTERNET BAĞLANTISI AYARLARI

Public (WAN) IP Private (LAN) IP

88.34.45.43 192.168.1.1 192.168.1.33---

Modem Switch PC’ler

(5)

ZyWALL cihazınız öncesi yapınız; yukarıdaki şemada anlatılan modeminizin sizi internete bağlayan WAN IP’sini aldığı ve arka tarafta da 192.168.1.0 private networkünü kullandıran sadece modem üzerinden kullanıcılara internet sağladığınız basit bir ağ olarak algılanabilir.

Yukarıdaki networke ilave edilecek ZyWALL’un kurulumu ve internet ayarları 2 senaryo halinde gösterilecektir.

Senaryo 1

88.34.45.43 192.168.1.1 192.168.1.33---

Bu senaryoda Modeminizi DHCP sunucu özelliğini kapatarak operasyon modunu bridge (köprü) moduna alacağız. Interneti Zywall cihazında sonlandırıp WAN IP’mizi Zywall’un almasını sağlayacağız.

*Burada görüleceği gibi PC’ler otomatik veya statik IP kullanıyor ve gatewayleri 192.168.1.1 olarak girili ise bir baĢka deyiĢle iç networkte 192.168.1.x gibi Ipler kullanılıyor ise, Zywall bu senaryoda devreye alındığında Pcler tarafında herhangi bir değiĢikliğe gerek kalmayacaktır.

Modemi bridge mode’a almak için 192.168.1.0 networkünden bir IP’yi statik olarak konfigurasyonları yapacağınız Pc’ye veriniz. Pc ile modemi bir Ethernet kablosuyla biribirine bağlayınız. 192.168.1.1 ile modem arayüzüne giriniz.

Modem Firewall Switch PC’ler

(6)

www.zyxel.com.tr

ZyXEL modemlerde bu işlem; Yerel Alan Ağı DHCP Kurulumu menüsünden ilk olarak DHCP’nin hiçbirine çekilmesi, 2. olarak Geniş Alan Ağı menüsünden de modu köprüye çekip kapsüllemeyi RFC1483 olarak yapılandırılması ile gerçeklenir.

*Farklı marka modemlerde bu iĢlemleri gerçeklemek için üreticilerinden bilgi alınız.

Modemi bridge mode’a aldıktan sonra modem artık Layer3 bazlı herhangi bir trafikten anlamayacaktır. Modemin halen IP’si mevcuttur. Fakat bu IP yalnızca direk olarak modeme bağlı aynı subnetten IP’ye sahip bir PC’den modeme ulaşmak için kullanılabilir. Modem artık yalnızca telefon hattı üzerinden gelen sinyali ethernete çevirmekten ve bu sinyali Zywall’a iletmekten sorumludur.

Modemden kullanıcılara giden kabloyu Zywall’un WAN1 bacağına 1.porta takınız. 3.

porttan da bir kablo ile Zywall’u PC’nize bağlayınız. 192.168.1.1 ile Zywall’un arayüzüne bağlanınız. Burada Network_Interface menüsü altındaki PPP tabına giriş yapınız. Wan1_ppp satırındaki edit butonuna basarak içeriğine erişin.

(7)

Bu menüde ADSL ayarlarınızı yapınız. Nailed-UP seçeneğini işaretleyerek hattınızın sürekli ayakta kalmasını sağlayınız. Kapsülleme olarak pppoe seçiliyken servis sağlayıcınızın size temin ettiği kullanıcı adı ve Ģifrenizi girerek ayarlarınızı kaydediniz.

(8)

www.zyxel.com.tr

Ayarlarınızı kaydettikten sonra PPP menüsüne geri döneceksiniz. ISP hesabınızda bir problem yok ise burada hattın bağlı olduğunu aşağıdaki şekilde göreceksiniz.

(9)

Ayrıca Status tabına dönerek Wan1_ppp arayüzünüzün WAN IP’nizi alıp almadığını kontrol edebilirsiniz.

(10)

www.zyxel.com.tr

2.bir DSL hattınız ikinci bir modeme bağlı ise aynı işlemi yapmak üzere bu modemin de DHCP’sini kapatarak, modemi bridge’e alırız ve bu modemden çıkan kabloyu WAN2 bacağına 2.porta takarak yukarda bahsedilen işlemleri bu sefer Wan2_ppp için yapar isek, 2. WAN IP’sini de Wan2_ppp interfaceine aldırabiliriz.

WAN IP’sini aldıktan sonra internete çıkışta problem yaşıyor iseniz, Zywall’un 3. Nolu bacaktan iç networkünüze IP dağıtırken kullanıcılara vermiş olduğu DNS’leri değiştirmeniz ve cihazın route tanımlamaları ile ilgili bir problem olup olmadığını kontrol etmeniz önerilir.

Cihazın DHCP sunucu olarak Ip dağıtacağı sırada vermiş olduğu DNS’leri elle değiştirmek için;

(11)

Cihazın rota tanımlarını kontrol etmek için Network_Routing menüsündeki Policy route tablosunu inceleyeceğiz.

Burada incoming kısmında lan1’i gördüğünüz komut satırının sağ tarafındaki edit butonunu kullanarak bu rotayı değiştireceğiz.

(12)

www.zyxel.com.tr

Bu route kuralı içerisinde next-hop kısmında Type Interface’e, Interface de WAN1_ppp’ye çekilerek kaydedilir.

Internet bağlantısı sağlanmıştır. 3. porttan çıkan kabloyu switche ve onun üzerinden de PC’lere bağlayabilirsiniz.

Dikkat edilirse, bu senaryoda Cihazın LAN bacağı (3. port) ile ilgili herhangi bir ayar yapmadık. Fabrika ayarlarınca bu bacağın IP’si 192.168.1.1’dir ve bu arayüze bağlanacak IP’lere 192.168.1.33’den başlayarak otomatik olarak IP dağıtılacaktır.

Talep edilirse Network Interface menüsünde Ethernet tabına gelinerek LAN1 edit butonu ile düzenlenebilir. İç networkte farklı bir IP bloğu ve dolayısıyla farklı DHCP ayarları, elle DNS girişleri yapılabilir.

2.Senaryo

Burada interneti sonlandırmış olduğunuz modemin operasyon modunda değişiklik yapmadan Zywall’u modem ile kullanıcılar arasına yerleştireceğiz. ZyWALL öncesi senaryoyu hatırlayalım

(13)

Public (WAN) IP Private (LAN) IP

88.34.45.43 192.168.1.1 192.168.1.33--- Zywall sonrasında

88.34.45.43 10.10.10.1 10.10.10.2 192.168.1.1 192.168.1.33

Dikkat edileceği üzere iç networkte PC’lerin kullandığı Ip bloğunu değiştirmemek için modemin ve modemin Zywall’a bağlantısı olan WAN1 bacağı arasında 10.10.10.0 gibi 2. bir network tanımı yapılmıştır.

Modemin LAN IP’sini 10.10.10.1 IP’sine çekip ayarları kaydettikten sonra cihazınızın Network----Interface menüsünden bu sefer cihazın modeme bakan bacağı olan WAN1 interface’ini yapılandıracağız. Bunun için wan1’e tıklayarak Ethernet menüsüne yönleniyoruz. Burada wan1’in sağ tarafındaki edit butonuna basarak wan1 arayüzüne ulaşıyoruz.

Modem Switch PC’ler

Modem Firewall Switch

PC’ler

(14)

www.zyxel.com.tr

Burada Use Fixed IP Adres kısmını işaretleyerek modemin IP bloğundan bir IP’yi WAN1 için giriyoruz ve gateway olarak da modemin IP’si olan 10.10.10.1’i kullanıyoruz. OK ile ayarları kaydediyoruz.

PC’lerin otomatik olarak alacağı IP bloğunu cihazın LAN1 bacağına tanımladık ve Modem ile de Zywall’un bağlantısını sağlayan WAN1 bacağını modem ile aynı bloktan tanımlamaktı. Şimdi yapılması gereken işlem; Zywall’un Lan1 bacağına gelen trafiğin WAN1’e oradan da modeme ve internete ulaşabilmesi için bir yönlendirmedir. Bunun için Network menüsü altından Routing menüsü kullanılarak policy route girişi yapılacaktır.

Burada incoming kısmında lan1 gözüken otomatik kural satırında sağdaki edit butonu kullanılarak bu kuralı değiştireceğiz.

(15)

Bu menüde next-hop kısmında Type kısmını Trunk’dan Interface’e çekip alttaki Interface kısmında da wan1’i seçip ayarları kaydediyoruz. Cihazınız belirtilen senaryoda LAN1 (3. veya 4. port) arayüzüne gelen kendi iç Ipleri dışındaki trafiği WAN1 bacağına yönlendirmiştir. WAN1 bacağının da gateway’i modem IP’si olarak yapılandırıldığından internet erişimi sağlanmıştır. Artık LAN1 bacağından PC’nize bağlı kabloyu switche ve onun üzerinden PC’lere aktarım yapabilirsiniz.

*Bu senaryo kurulum ve ayarlar bakımından daha basit gözükse de önerilen bir kurulum değildir. Zywall cihazlarının session kapasitesi normal modemlerden yüksek olduğundan modemi bridge mode’a alıp interneti Zywall’da sonlandırmak daha yaygın kullanımdır. Örnek olarak port yönlendirmede de bu senaryo sıkıntılara yol açabilir.

Mesela iç network dışından içerideki bir sunucuya Remote Desktop bağlantısı yapılmak isteniyor. Bu durumda dışarıdan içeriye doğru tüm portların modemde Zywall’un WAN IP’sine yönlendirilmesi gerekecek ve Zywall’da da sunucu IP’sine yönlendirme tanımlamaları ayrıca yapılmak zorunda kalacaktır. Bir başka problem de VPN’de ortaya çıkabilir. Zywall’un terminator olarak yapılandırılmak istendiği bir senaryoda Zywall üzerinde VPN tünelini sonlandırmak için modemin VPN passthrough özelliği olmalıdır. Aksi takdirde tünel kurulamaz. Her şeye rağmen bu konfigurasyon ile ZyWALL’u yapılandırır iseniz bahsedilen problemlerin aşılması konusunda yapılması gereken ileri düzey ayarlar ile ilgili ayrıntılı destek için bizlerle irtibata geçiniz.

Eğer WAN IP’sini 1. Senaryoda anlatıldığı üzere Zywall almış olsaydı, bu problemler ile uğraşmak zorunda kalmayacaktık.

Cihazın kurulumunun ilk kısmı olan internet bağlantısı şu ana kadar anlatılmıştır.

Cihazın ileri düzey ayarlarıysa aşağıdaki başlıklar altında incelenecektir.

(16)

www.zyxel.com.tr

Bu noktadan sonraki ayarlar her iki senaryo için ufak tefek farklar dışında aynıdır. Biz aşağıdaki tanımlamaları modemlerin bridge mode’da olduğunu ve gerçek Ip’nin Zywall’un Wan1_ppp interface’inde sonlandırıldığını kabul edeceğiz.

Değişiklikler fark edeceğiniz üzere modemin bridge modeda olduğu 1. Senaryo için kurallarda cihazın internet bağlantısı olan wan1_ppp ve/veya wan2_ppp’nin, 2.

Senaryo için ise wan1 ve/veya wan2’nin kullanımından ibarettir. Bu andan itibaren 1.

Senaryoya göre anlatılacak ayarlarda 2. Senaryoyu kullanıyorsanız wan1_ppp’nin yerine wan1 ve wan2_ppp’nin yerine wan2 seçmeniz yeterli olacaktır.

3.WAN Trunking (Birden Fazla WAN IP’sini cihazda sonlandırmak ve Yük PaylaĢımı)

Birden fazla ADSL hattınızın olduğu bir ortamda bu hatları ZYWALL’da sonlandırıp yük paylaşımı yapmak istediğinizi düşünelim. 2. bir modemde 2. bir hattınız sonlandırılmış durumdaydı. Bu modemi şu ana kadar anlatılanlar doğrultusunda ya route modeda bırakıp WAN2 interface’ine tanım yapmamız ya da bridge mode’a alıp wan2_ppp’yi yapılandırmamız gerekmektedir.

WAN ayarlarını yaptıktan sonra Network_Interface menüsü altındaki Trunk tabına geliniz.

Burada WAN_TRUNK satırının modify ile ayrıntılı ayarlar menüsüne giriş yapınız.

(17)

Burada bu trunk’a dahil olan interfaceler ve bu trunkın kullanacağı algoritma seçilebilir. Interfacelerden WAN çıkış noktalarımızı seçerek algoritmayı da tanımlayıp ayarları kaydediyoruz. Burada Least Load First (Müsait Band genişliği en yüksek olandan çık.), SpillOver(Sıralamada öncelikli Interface’in tamamı kullanılmadan diğer interface’den çıkma.) ve Weighted Round Robin(Çıkış Önceliği belirle.) algoritmalarından netwokünüze uygun olacak olan algoritmayı seçiniz. 1. Hattın düşmesi durumunda 2. Devreye geçsin şeklinde tanım yapmak isteniyor ise 1. Hattı active, 2. Hattı da passive olarak seçmek gerekmektedir.

Bu noktadan sonra iç networkünüzden LAN1’e gelecek trafiğin tanımlı algoritma çerçevesinde trunktan çıkmasını sağlamak için Network_Routing menüsünden policy route’u da kontrol etmemiz gerekiyor. Burada ilgili network için tanmlı kuralda next hop Trunk ve Trunk da ayarlarını yaptığımız WAN_TRUNK seçili olmalıdır. Değilse edit butonu ile ayarları düzeltiniz.

(18)

www.zyxel.com.tr

Trunk yapısı bazı noktalarda sizlere problem çıkarabilir. Gov uzantılı siteler ve banka sitelerine girişte trunking devredeyken siteye gönderdiğiniz paketlerin bir kısmı WAN1 gerçek IP’nizden bir kısmı da WAN2 gerçek Ip’nizden sunuculara geldiğinde bu paketleri güvenlik gereği discard edebilirler ve bağlantı problemleri yaşayabilirsiniz.

Bunun için policy route menüsüne lan1 için geçerli rota kuralının üzerine sadece https servisini belirli bir interface’den (wan1_ppp veya wan2_ppp) çıkaracak şekilde bir next hop tanımı yapılmalıdır.

Trunking ile ilgili ileri düzey ayarlar ile ilgili bizlerle irtibata geçiniz.

(19)

4. Güvenlik Servislerinin Aktiflenmesi

Cihazınız ile birlikte satın almış olduğunuz AV,CF ve IDP gibi servisleri ilk defa aktiflemek için ilk olarak, Licensing menüsü altındaki Registration tabı kullanılarak cihazınızı talep ettiğiniz bir kullanıcı adı ve şifre ile myzyxel.com veritabanına kaydettirmeniz gerekmektedir. Bu ayarları yapar iken bu servislerin trial versiyonlarını da seçerek 1 aylık servisleri ilk aşamada yapılandırabilirsiniz. Kayıt ettirdiğiniz cihazda aktiflediğiniz servislerin içeriğinin güncellenmesi için Update menüsünden otomatik veya manuel update işlemlerini yapabilirsiniz.

Deneme sürümleri kullanım süresini aşınca cihazınızla gelen servislerin orijinal lisans anahtarlarını girerek 1 yıllık korumanızı aktifleyebilirsiniz. Bunun için Licensing- Registration menüsündeki Services tabını kullanabilirsiniz.

(20)

www.zyxel.com.tr

Burada License Key kısmına elinizdeki ürün anahtarlarını girerek update butonuna basarak servislerinizi aktifleyebilirsiniz.

Cihazınızı resetlemeniz ve yeniden kurmanız gerektiğinde lisans işlemleri için tek yapmanız gereken Licensing-Services tabındaki Service License Refresh butonuna basarak cihaz üzerinde aktiflediğiniz servislerin son durumunu otomatik olarak güncelleyebilirsiniz.

*Myzyxel.com hesabınızın kullanıcı adını biliyor ve şifrenizi unuttuysanız, www.myzyxel.com sitesine kullanıcı adınızı yazıp şifremi unuttum seçeneği ile bu hesabı açarken kullandığınız mail adresine şifrenizin iletilmesini sağlayabilirsiniz. Hem kullanıcı adı hem şifrenizi unuttuysanız destek@zyxel.com.tr adresine durumu açıklayan bir mail ile bu hesapla kaydettirmiş olduğunuz cihazınızın MAC adresini ve seri numarasını iletiniz. Seri numarası ve MAC adresini cihazın arayüzünde status menüsünden veya cihazınızın altındaki barcode’dan kontrol edebilirsiniz. Registration işlemleri ile ilgili yaşadığınız problemler ile ilgili bizlerle irtibata geçiniz.

(21)

5.Port Yönlendirme ve Firewall

Zywall üzerinde port yönlendirme işlemleri için Network_Virtual Server menüsü kullanılır. Örnek olarak içerideki bir sunucuya iç network dışından bir Uzak masaüstü bağlantısı yapacağımızı düşünelim. Yapmak istediğimiz işlem ofis dışındaki bir IP’den mstsc (remote desktop connection) ekranına gerçek IP’mizi(örnek:88.245.34.45) yazarak içerideki 192.168.1.x IP’li sunucuya ulaşmak.

Bunun için ilk olarak virtual server menüsünde sağ taraftaki artı butonuna tıklayarak kural eklememiz gerekiyor.

Burada oluşturacağımız kuralı aktiflemek için Enable Rule’u seçip tanımlayıcı bir ifadeyle kurala isim veriyoruz. Incoming interface olarak dışarıdan geleceğimiz IP’yi alan interface’i wan1_ppp’yi seçiyoruz.

(22)

www.zyxel.com.tr

Original Ip’ye any olarak giriş yapıp Mapped IP’ye içeride bağlanmak istediğimiz IP’yi yazıyoruz. Bunun için bu Ip’yi bir object olarak cihaza tanımlamamız gerekiyor. Create object seçilerek karşınıza gelecek popup menüsü ekranında bu tanım yapılabilir.

(23)

Bu ekranda bu uygulamada ihtiyacımız olacak tek bir IP tanımlamak için Adress Type kısmında HOST seçilerek name kısmına tanımlayıcı bir isim ve IP adress kısmına da içeride ulaşmak istediğimiz cihazın Ip’sini tanımlıyoruz.

Bu ekranı kaydedince otomatik olarak Virtual Server kural ekranına dönüş yapacağız.

Port mapping Type kısmında Service, Port ve Ports seçilebilir.

Service seçerek buradan port bazında cihazda otomatik tanımlı servislerden ihtiyacımız olanı bulabilir veya create object’i kullanarak bu trafiğin kullanacağı portu tanımlayarak seçebiliriz.

(24)

www.zyxel.com.tr

(25)

Bu örnekte 3389 portunu yönlendiriyoruz. Eğer belirli bir port aralığını yönlendirmemiz gerekseydi, ports seçeneğini kullanmamız gerekirdi. Port olarak seçim yapıldığında ihtiyacımız olan 3389 portunu; hem Zywall gelişi hem de içerideki cihaza erişim için bu port kullanılacağından; hem original porta hem de mapped porta girmemiz gerekiyor. Policy Route menüsüne otomatik bir rota girilmesi için de NAT 1:1 mapping seçilmeli ve ayarlar kaydedilmelidir.

Dışarıdan içeriye doğru Zywall’a gelecek olan 3389 trafiğini ilgili sunucuya yönlendirdik fakat bu noktada göz önüne alınması gereken bir diğer faktör de Firewall davranışıdır. Fabrika ayarları gereğince LAN’dan WAN’a doğru (içeriden dışarıya) tüm trafik açık durumda iken WAN’dan LAN’a (dışarıdan içeriye); ki bu örnekte de Zywall’a dışarıdan içeriye bir trafik söz konusu; tüm trafik kapalıdır.

(26)

www.zyxel.com.tr

Firewall’da WAN’dan LAN’a 3389 trafiği ile ilgili bir istisna kuralı oluşturmaz isek yapılan port yönlendirme işleminin herhangi bir faydası olmayacaktır. Bunun için Firewall menüsünden sağdaki artı butonuna basarak kural tanımlamamız gerekiyor.

(27)

Kuralı aktiflemek için Enable seçilir. Tanım için description kısmına bir isim verilir ve trafiğin yönü WAN’dan LAN’a doğru olduğu için From kısmı WAN to kısmı LAN1 olarak seçilir. Schedule,User, Source,Destination menüsü any olarak seçilir.(Source kısmı create object ile tanımlanacak dış Ipler olarak seçilirse kaynak adresi belirli bir IP veya IPlerden gelirse ancak bu kuralın geçerli olacağı anlamına gelecek ve kısıtlama yapılmış olacaktır. Destinationa herhangi bir hedef girişine gerek yoktur. Zaten sonuç olarak Zywall’a gelecek herhangi bir 3389 trafiği sadece bizim virtual server menüsünde tanımını yaptığımız sunucuya gidecektir.) Service kısmında create object ile 3389 portu için servis tanımı yaparak bu kuralı sadece bu servis için tanımladığımızı bildireceğiz.

Bu popup menüsünde ayarları kaydettiğimizde kurala geri dönmüş olacağız ve son hali aşağıdaki gibi olacaktır.

(28)

www.zyxel.com.tr

Kuralı kaydettiğimizde Firewall genel menüsünde WAN’dan LAN’a tüm trafiği yasaklayan 2 numaralı kuralın üzerinde 3389 trafiğine izin verecek kural oluşmuş olacaktır. Firewall işleyişinde kuralların sıralaması önemlidir. Örneğin burada Zywall’a gelen trafik 3389 trafiği ise sırayla kontrol edeceği kurallardan 1 numaralı kurala uyduğu algılanacak ve ona göre işleme tabii olacaktır. Fakat bu trafik WAN’dan Lan’a farklı bir porttan trafik olsaydı, 1 numaralı kurala uymayacak, bunun dışındaki tüm trafik için 2 numaralı tüm portları kapatan kurala tabi olacaktır. Bu genel kuralın 3389 nolu port için oluşturduğumuz istisnai kuralın sıralamada üzerinde olduğunu varsayalım. Bu genel kural üstte olsaydı, 3389’dan da trafik gelse genel kurala uyacağı için yasaklanacak ve alttaki buna izin veren kurala bakılmayacaktı. Bu kural tamamen etkisiz hale gelirdi. Bu tip birbirini ezecek kuralların sıralamasını düzenlemek için sağdaki N butonu kullanınız.

(29)

Port yönlendirme ve Firewall kuralları ile ilgili ileri düzey ayarlar veya sıkıntı yaşadığınız spesifik senaryolar hakkında destek almak için bizlerle irtibata geçiniz.

6.VPN KURULUMU

a-) IPSEC VPN kurulumu

Site to site IPSEC VPN kurulumunda karşı tarafın ayarlarını karşılayacak şekilde Zywall’da yapılması gereken ayarlar aşağıda anlatılacaktır. Buradaki ayarlar daha önce de belirtildiği gibi Zywall’un Wan bacağında Wan1_ppp’de interneti sonlandırdığımız modemin bridge mode’da olduğu kabul edilerek yapılmıştır. Route mode’da olan ve VPN passthrough özelliği olan bir modemin arkasındaki Zywall’da modem içerisinden geçen tünelin sonlandırılması ile ilgili farklı bir senaryo talep ediliyorsa, bu ayarlar ile ilgili bizlerle irtibata geçiniz.

Ipsec VPN kurulumu için VPN-IPsec VPN menüsü altındaki tablardan ilk olarak VPN Gateway tabını kullanarak faz1 ayarlarını yapacağız. Burada Add VPN gateway butonuna tıklayarak ayrıntılı ayarlar menüsünü açıyoruz.

(30)

www.zyxel.com.tr

VPN Gateway menüsü içerisinde Gateway’e bir isim verip iki tarafın da internete bakan WAN IP’lerini tanımlamış oluyoruz. My Adres kısmına WAN IP’mizi alan WAN1_ppp’yi seçiyoruz. Peer Gateway Ip kısmına karşı tarafın Wan IP’si yazılıyor.

Authentication kısmı için her iki tarafta da aynı olacak şekilde bir Pre-shared Key girişi ve içerik doğrulama için de Local ve Peer ID type’ları IP olarak, contentler 0.0.0.0 olarak giriliyor.

(31)

Güvenlik doğrulaması adına faz1 ayarları karşı tarafta da aynı olacak şekilde girilir. Biz burada Encryption olarak DES ve authentication olarak MD5’i tercih ettik. Ayarları ok ile kaydedip gateway oluşturma işlemini tamamlıyoruz.

(32)

www.zyxel.com.tr

Sonrasında faz 2 ayarlarını yapıp tüneli tamamlamak için VPN connection tabında add connection butonuna tıklıyoruz.

Burada Bağlantı ismine bir giriş yapıp VPN gateway’i tanımladığımız gateway olarak seçiyoruz. Policy menüsünde de bu tünel ile bağlayacağımız tüneli sonlandırdığımız iki cihazın arkasındaki subnetleri tanıtıyoruz. Local Policy kısmına LAN1 Subnet, Remote

(33)

policy kısmına da karşı tarafın subnetini giriyoruz. Karşı tarafın subnetini de create object menüsü yardımıyla oluşturup girebildiğimize dikkat ediniz.

Faz 2 encrypion ve authentication değerlerini de karşı tarafla aynı olacak şekilde seçiyoruz. Biz burada faz 2 için de DES ve MD5 algoritmalarını kullandık.

(34)

www.zyxel.com.tr

Ayarları kaydedip çıktığımızda ve karşı tarafta da tünelin bu tarafındaki ayarları karşılayacak şekilde ayarların yapıldığını düşünürsek, ping komutu ile tünel ayağa kaldırılmaya hazırdır. Pinglere cevap aldığınızda, VPN tünelinin bağlantı simgesinin bağlı duruma geçtiğini ve tünelin SA Monitor ekranından görüntülenebildiğini göreceksiniz.

Karşı taraftan Zywall’un bacağına kadar tünel üzerinden ping atılabiliyor fakat arkasındaki networke ulaşılamıyor ise karşı taraftan gelen paketin dönüşü için

(35)

Zywall’a policy route girilmesi gerekebilir. Bunun için NETWORK_Routing menüsü altında policy route’a add butonu kullanılarak kural eklemesi yapılır.

Kuralı basit şekilde ifade edecek olursak, herhangi bir interface’e(interface any) herhangi bir saatte(Schedule any) herhangi bir trafik(service any) herhangi bir kullanıcıdan(user any) herhangi bir kaynak Ip’sinden(source any) gelip destination’ı karşı tarafın local subneti olan bir talep olursa (destination VPN faz 2 tanımı yaparken Remote subnet olarak tanımladığımız object) next hop olarak Type TUNNEL ve Tunnel de oluşturduğumuz Tünel seçilerek kural tamamlanır. Böylece Zywall’a hedefi karşı tarafın subneti olan bir trafik için Trunk’ı veya wan1_ppp’yi kullanmasını değil, tüneli kullanması gerektiğini tanımlamış oluruz.

b-)SSL VPN KURULUMU

(36)

www.zyxel.com.tr

Zywall cihazınızda SSL VPN sonlandırıp web uygulamaları ve dosya paylaşımı gibi işlemleri

uzaktan bağlanan kullanıcılara eriştirebiliriniz. Öncelikle bu kullanıcılar için SSL VPN ile cihaza bağlanmaları adına user tanımı yapılması gerekiyor. Daha sonra SSL VPN ile yapılacak uygulama için SSL application tanımı yapılacaktır. İlk önce Object menüsü altında user menüsünden kullanıcı tanımı yapılacaktır.

Artı butonuna tıklayarak yeni kullanıcı ekleyelim.

Daha sonra Object Menüsü altında SSL Application’da artı butonuna tıklayarak uygulama oluşturmamız gerekiyor.

(37)

Burada tanımlı uygulamalardan Web application veya File sharing’i senaryonuzu göz önüne alarak oluşturun.

(38)

www.zyxel.com.tr

(39)

Daha sonra VPN_SSL VPN menüsüne gelerek Access pivilege’de artı butonu yardımıyla bağlantı yapacak kullanıcılar ile ilgili yapılan tanımlamaları cihaza giriyoruz.

(40)

www.zyxel.com.tr

Burada SSL VPN’i aktiflemek için enable’ı işaretleyip, User/Group kısmına SSL VPN için tanımladığımız kullanıcıları ve SSL APPlication List kısmına da tanımladığımız SSL uygulamasını giriyoruz.

Network extension kısmında Enable Network Extension’ı seçerek dışarıdan bağlanacak kullanıcıların networkümüzün devamı olarak görülmesini Assign IP pool ile de belirttiğimiz aralıkta bağlanacak kullanıcıların kendi subnetimizden Ip alabilmesini sağlıyoruz. Bunun için create object seçip gelen popup menüsünü kullanıyoruz.

Network List kısmında da SSL VPN ile bağlantı yapan kullanıcıların hangi Ip’lere veya subnetlere ulaşabileceğini tanımlıyoruz.

(41)

Bu tanımlamalar yapıldıktan sonra dışarıdan bir IP’ye sahip bir PC ile bağlantı testini yapınız. Interneti olan bu makinede browser üzerinden Zywall’a wan1_ppp Ip’sini yazarak bağlanınız. Gelen kullanıcı adı ve şifre ekranına tanımlanmış SSL kullanıcılarından birinin hesap adı ve şifresini girerek, Log into SSL VPN seçeneğini tıklayarak giriş yapınız. Burada karşınıza gelecek Simulator size tanımını yapmış olduğunız IP havuzundan bir Ip vermeye çalışacaktır. IP’yi başarılı şekilde aldıktan sonra uygulamanıza erişebilirsiniz.

(42)

www.zyxel.com.tr

7.AppPatrol Uygulamaları

Kullanıcıların en fazla yapmak istedikleri yönetimlerden biri de MSN bloklama, P2P uygulamaları engelleme gibi işlemler olarak karşımıza çıkar. Bunun için Firewall’dan bu programların kullandığı portları biliyor isek yasaklamak bir yöntemdir. Fakat farklı farklı portları kullanan programlara her bir port için kural oluşturmak pratik bir yöntem değildir. Bu noktada AppPatrol menüsünde sizin için cihazda tanımlanmış olan uygulama bazlı yasaklamaları daha kolay yapabilirsiniz.

(43)

Örnek olarak belirli bir grup kullanıcının MSN’e girişini engeller iken bir başka gruba da izin verelim. İlk olarak AppPatrol menüsünde uygulamayı enable ediyoruz.

Common tabında port bazlı servisleri yasaklamak için tanımlanmış servisleri görebilirsiniz. Bu menüden mail trafiğini,internet ve ftp erişimini düzenleyecek kurallar tanımlayabilirsiniz.

(44)

www.zyxel.com.tr

Msn örneğine dönecek olursak, bunun için Instant Messenger tabını açıyoruz.

Burada msn satırında modify’a basarak msn kullanımı kurallarını belirleyeceğiz.

Modify ile karşımıza gelen ekranda msn ile ilgili kuralın aktifleneceği enable kutusunu işaretleyerek, alt tarafta kurala göz atıyoruz. Burada msn için fabrika ayarları gereğince tüm kullanıcılara izin veren kuralı görüyoruz. Bu kural sadece edit edilebilir, silinemez. Bu noktada karar vermeniz gereken networkünüzdeki kullanıcıların çoğunluğunun msn’e girebileceği veya giremeyeceğidir. Biz çoğunluğa yasaklamak, ufak bir gruba da izin vermek istiyor olduğunuzu varsayalım. Bunun için tanımlı tüm network için default kuralı edit ederek izin ver yerine yasakla haline getirip, bu kuralın üzerine de izin vereceğimiz kişiler adına bir kural daha oluşturmamız gerekiyor. Aynı FW kurallarında olduğu gibi buradaki kurallarda da sıralama önemlidir. Specific belirli kişileri, belirli servisleri içeren kuralları her zaman için genel kapsamlı kuralın üzerine yerleştiriniz.

(45)

Şimdi biz tüm kullanıcılara msn’i yasaklaması için mevcut kuralı edit ediyoruz.

(46)

www.zyxel.com.tr

Kural içerisinde bu uygulama için forward olarak seçili Access menüsünü reject veya drop’a çekiyoruz. Bu şekilde kaydedip Msn menüsüne dönüyoruz. Burada kuralın herkese msn’i yasaklayacak şekilde değiştiğini görüyoruz. Şimdi de artıya basarak MSN’e girmesine izin vereceğimiz kullanıcılar için yeni bir kural ekliyoruz.

Kural sayfası açıldığında source kısmında msn’e giriş izni olacak IP’leri create object seçerek açılan popup menüsünden tanımlıyoruz.

(47)

Belirli bir IP bloğunu ifade edeceğimiz için range seçerek başlangıç ve bitiş IP’lerini girerek tanımlıyoruz.

Object’i tanımlayıp kaydettiğimizde kural içerisine dönmüş olacağız. Kuralda source adres olarak tanımlamış olduğunuz IP’yi göreceksiniz. Access kısmında da forwardı seçip kuralı kaydediyoruz.

(48)

www.zyxel.com.tr

Bu kuralı da kaydettiğimizde aşağıdaki gibi msn ile ilgili tanımlanmış kuralları göreceksiniz. Sonuç olarak kaynak IP’si MSN_IZINLI isimli object ile belirlenmiş IP’lerden gelen MSN talebi 1. kural gereği izin alarak msn girişi sağlayacak. Eğer bu IP’ler dışında bir IP’den MSN talebi gelirse 1. kurala uymadığı için alttaki kurala geçecek ve alttaki kural da ne olursa olsun MSN’i yasakla şeklinde tanımlı olduğundan bu kuralla eşleşen trafik MSN’i yasaklayacaktır.

(49)

8. AntiX Menüleri

a) Anti Virus Tanımlamaları

Cihazınızla satın almış olduğunuz AV 1 yıllık lisansını veya 1 aylık deneme sürümünü aktifledikten sonra tüm networkünüzdeki trafiği Virus korumasına almak için AntiX menüsündeki Anti-Virus menüsünü kullanacağız.

İlk yapılması gereken bu menüye ilk tıklandığında sağ tarafta karşınıza gelecek olan ekranda Anti-Virus ve Anti-Spyware özlliklerini aktiflemek için enable butonuna basıyoruz.

Bu servisi aktifleyerek fabrika çıkışı ayarlar gereğince tanımlı herhangi bir adresten(LAN’dan WAN’a, LAN’dan LAN’a, WAN’dan LAN’a veya WAN’dan WAN’a) herhangi bir adrese tüm http,ftp,mail ve IMAP trafiğinizi kontrol edecek default policy’deki kuralı aktiflemiş oluyoruz.

Black\White List menüsünde yapılabilecek uygulamalar veya bu menüyü ne şekilde kullanmamız gerektiğini açıklamak için şu örneği kullanalım. Exe uzantılı herhangi bir dosyanın networke erişimini engellemek için bu kısayolu black liste eklemek istiyoruz.

(50)

www.zyxel.com.tr

Black\White List tabına basılarak sağdaki artıdan yeni kuralı kara listeye ekliyoruz.

(Benzer şekilde güvenilir uzantıları da whitelist’e basarak ekleyebilirsiniz.)

(51)

Bu menüde *.exe diyebileceğimiz gibi sadece exe yazarak da bu uzantılı dosyaların yasaklanmasını sağlayabiliriz. Bu listeye dosya eklemek genel AV kuralında blacklist ve Whitelist’i göz ardı et seçiliyse herhangi bir işe yaramayacaktır. Bu sebeple AV için tanımlı default kuralı edit ederek biraz inceleyelim.

General tabına dönüş yaparak policy kısmındaki kuralı modify edelim.

(52)

www.zyxel.com.tr

Burada kuralı aktifleyebileceğimiz veya pasif hale getirebileceğimiz enable sekmesi, virus taramasından geçirilecek trafiğin yönü, taranacak protokoller ve bulunan zararlı dosyalarda yapılacak işlem tanımlarının olduğu kısımlar mevcuttur. Ayrıca karalisteye veya güvenilir listeye eklemiş olduğumuz tanımları da kontole ekle veya göz ardı et seçenekleri bulunmaktadır. Alt tarafta da bilinmeyen formatta sıkıştırılmış ve Zywall tarafından açılamayan dosyalar hakkında ne gibi bir işlem yapılmasını istediğimizi tanımlayabiliyoruz. (Zywall cihazı bilinen zip,rar gibi sıkıştırılmış dosyaları açabilme ve açtıktan sonta Virus taramasından geçirme özelliğine sahiptir.)

Cihazın Anti Virus operasyonu yukarıdaki gibi özetlenebilir. Bu örnekte eklemiş olduğumuz exe uzantılı dosyalara izin verme şeklindeki tanım bu dosyanın bilgisayarınıza ulaşamayacağı, kaydedemeyeceğiniz anlamına gelmeyecektir. Sadece içeriği silinerek çalıştırılamaz hale gelecektir.

b) IDP Menülerinin Kullanımı

Intrusion Detection olarak algılanan dış ataklara karşı (ki bunlar ip atakları,DOS atakları ve spoof atakları gibi örneklenebilir.) cihazınız ile beraber almış olduğunuz IDP Icard ile aktiflediğiniz signature bazlı güvenlik aşağıdaki şekilde yapılandırılır.

Cihazınızda AntiX menüsü altındaki IDP menüsünde Enable işaretlenerek servis aktiflenir. Burada alt tarafta Lan subnetiniz yani iç netorkünüz için fabrika çıkışında ayarlı olan LAN IDP profilinin çalıştığı görülmektedir.

(53)

Üstteki profile sekmesinden iç networkünüz için IDP servisi olarak tanımlı profile ulaşabilir, konu hakkında ayrıntılı bilgiye sahip iseniz edit edebilirsiniz. LAN_IDP olarak default tanımlı profilde bilinen atak tiplerinin çoğuna karşı tanım yapılmış ve aksiyon uyarma şeklindedir. Bu sebeple sadece ana menüdeki IDP’yi enable etmek bile tanımlı LAN_IDP profilini devreye sokacağından yeterli olacaktır. IDP atakları geldiğinde cihaz arayüzüne girildiğinde karşılama ekranı olan Status menüsünde Top 5 intrusions &Virus detections kısmına bu ataklar düşecektir. Ayrıca Maintenance menüsü altındaki Logs menüsünde de display kısmını IDP seçerek logları görüntüleyebiliriz. İki kısımda da saldırı tipi saldırı ID’si SID görüntülendikten sonra IDP menüsündeki Profile gelerek buradaki LAN_IDP profilini edit edip saldırı tipini ilgili menü altında bulup buna karşılık cihazın vereceği aksiyonu belirleyebiliriz.

IDP hakkında ayrıntı bilgi için bizlerle irtibata geçebilirsiniz.

(54)

www.zyxel.com.tr

(55)

c) Content Filter Uygulamaları

İç networkünüzdeki kullanıcıların internet erişimleri ile ilgili internet sayfalarının görüntülenmesi konusunda yönetimsel olarak Firewall’da 80 portu üzerinden LAN’dan WAN’a kısıtlama kuralı tanımlamak veya AppPatrol’da Common altından http trafiği ile ilgili kural tanımlamak her ne kadar bir çözüm olsa da, site bazlı şu kullanıcı grubu şu sitelere girebilsin, şunlara giremesin, şu kullanıcı grubu sadece şu sitelere girsin veya sınırsız yetkili grubum olsun şeklindeki talepler için tanım yapılacak adres Content Filter’dır. Burada AntiX menülerinde Content Filter menüsüne tıkladığınızda karşınıza gelen ilk ekran profillerin kullanıcı gruplarına atanacağı policy ekranıdır. Bu tanımda da anlaşılacağı üzere ilk olarak Content Filter profilleri tanımlamamız gerekir.

Bunun için de profile tabını kullanacağız.

Burada kaç adet kullanıcı grubu oluşturmamız gerektiğini göz önüne alarak o kadar sayıda profil oluşturmamız gerekiyor. Örnek olarak belirli bir kullanıcı grubuna internette full yetki, diğer kullanıcılara da internete sıkı bir içerik filtreleme sonrası bu içerik filtrelemenin dışında kalacak siteler için çıkış yetkisi verelim. Bunun için iki adet profil tanımı yapmamız gerekiyor. Artıya basarak yeni bir profil eklemek için giriş yapıyoruz. Karşımıza ilk gelen kısım kategori bazlı tanımların yapılacağı Category service kısmı. Burada filtreye bir isim veriyoruz. Alttaki kategoriler myzyxel.com tarafından tanımlanmış ve internet üzerindeki tüm sitelerin bu başlıklar altında sınıflandığı kısımdır. Burada yasaklamak istediğiniz kategorileri işaretliyoruz. Üst tarafta gördüğünüz kısımda ise bu seçilen kategorilerdeki sitelere rastlandığında ne yapılması gerektiğini bildiriyor ve loglarını tutup tutmamasını istediğimizi tanımlıyoruz.

Buradaki matched web pages myzyxel.com veritabanında aşağıdaki kategorilerden birine göre sınıflandırılabilmiş siteler olarak ifade edilebilir. Unrated web pages alttaki kategorilerden herhangi birine girmeyen, sınıflandırılmamış bir siteyi ifade edebilir.

(56)

www.zyxel.com.tr

When Content Filter Category Server is unavailable kısmı da CF sunucusuna ulaşılamadığı durumlarda internet erişiminin ne şekilde yapılması gerektiğine karşılık gelir. Burada content filter category sunucusuna ulaşılamadığı durumlarda bu filtre profiline tabi kullanıcıların internete çıkmamasını veya hiçbir kısıtlama olmadan çıkmasını block veya forward olarak tanımlayabiliriz.

Hangi kategorileri seçmeniz gerektiğine dair şüphe içerisinde iseniz, sayfanın alt tarafındaki kısımdan url adresini yazarak category sunucusundan sitenin categorisi hakkında sorgu yapabilirsiniz.

Burada yapacağınız sorgulama sonucu size milliyet.com.tr adresinin news/media category kısmına girdiğini belirtecektir. Bu kategori seçilirse tüm haber siteleri yasaklanacaktır. Kategory bazlı bu filtreleme bu şekilde çalışmaktadır. Bu tanımlardan sonra ayarları kaydedip profil menüsüne döneriz. Burada filtre1 adıyla tanımlı profili sağdan edit diyerek tekrar açalım. Kategori bazlı cihaz tarafından myzyxel.com veritabanından otomatik yapılan bu filtreleme dışında sizin de eklemek istediğiniz herhangi bir güvenilir site, yasaklı site veya keyword var ise Custom Service tabını kullanarak tanımlama yapabiliriz. Örnek olarak veritabanında şirket siteniz veya sık kullandığınız bir site rate edilmemiş, herhangi bir kategoriye konmamış ve siz

(57)

category tarafında rate edilmeyen siteleri(unrated web pages) yasaklayı seçtiniz. Bu durumda bu siteye filtrenin kategori bazlı kısmı erişimi engelleyecektir. Bu siteyi elle güvenilir site olarak eklemek için bu menüyü kullanabiliriz. Bu tanımdan sonra unrated web pages kısmı halen bloklanacak ama sizin güvenli sitelere eklemiş olduğunuz site kategorilendirilmemiş olmasına rağmen engellenmeyecektir. Bir başka örnek news/media categorisini yasakladınız. Ama trusted web site kısmına www.milliyet.com.tr yi eklediniz. News/media kategorisindeki tüm siteler yasaklanacak fakat milliyet.com.tr güvenli siteler listesinde olduğundan bu kategoride olmasına rağmen yasaklanmayacaktır.

Bu tanımların yapıldığı Custom Service menüsünü biraz inceleyelim.

Tanımlamış olduğumuz (en azından kategori bazlı ayarlarını yapılandırdığımız) profilimizin edit ile içine girdiğimizde Custom Service kısmına basarak aşağıdaki ekranı açıyoruz.

(58)

www.zyxel.com.tr

Burada Custom Service’i de enable işaretleyerek yaptığımız kategori bazlı filtre profiline bizim de ekleme yapacağımızı bildiriyoruz. Sitelerin ActiveX kontrollerini,Java Appletleri ve Tracking Cookieleri eklemesini ve Proxy değiştirme çabalarını engellemek için Restricted WEB Features Kısmında gerekli kısımları işaretliyoruz.

Trusted web sites kısmına güvenilir siteleri yazıyoruz. Burada görüldüğü gibi milliyet.com.tr sitesi eklenmiş. Filtremizde bahsettiğimiz gibi news/category seçeneği seçilerek bu kategorilerdeki sayfalara girişi engellemiştik ama bu şekilde tanımlanırsa (kategori bazlı haber siteleri yasaklı, custom serviste bunun istinası olarak trusted web site’a siteyi eklersek) milliyet dışındaki tüm haber sitelerini yasakla demiş oluyoruz. Bir başka konfigurasyon da şöyle olsun NEWS/Media categorisi engellenecekler arasında seçilmemiş. Ama Profilin custom servis kısmında milliyet.com.tr yasaklı sitelerde (forbidden web sites kısmına) elle manuel girilmiş. Bu durumda da haber sitelerinin hepsine gir, milliyet.com.tr hariç demiş oluyoruz.

Ayrıca keyword blocking kısmında da eklenen kelimeyi içeren sitelerin erişimini yasakla demiş oluyoruz.

****Bu Custom Service menüsünün üst tarafında Allow web traffic for trusted web sites only Ģeklinde bir kısım mevcut. Bu filtreyi uygulayacağım kullanıcılar benim trusted web sites kısmına elle eklediğim adreslerden baĢka adrese girmesinler Ģeklinde yorumlanabilir. Sadece belirli sizin tanımladığınız sitelere girmesini istediğiniz kullanıcı gruplarınız yok ise (bu senaryo ile birebir örtüĢen bir durum söz konusu değil ise) bunu iĢaretlemeyiniz. Zira bu seçenek iĢaretlendiğinde bu filtre profiline tabi kullanıcılar, bu iĢlem tüm tanımlı kuralları ezecek ve sadece custom service kısmında trusted web sites kısmına ekli sitelere girebileceği için category bazlı yapılan tanımlamaların herhangi bir anlamı olmayacak ve category bazlı filtreleme yapamıyorum Ģeklinde sıkça yapılan bu hata sonrası problem olarak karĢınıza gelecektir.

(59)

Profil tanımlamanın ayrıntılarını bir tarafa bırakıp tekrar senaryomuza dönelim. Sıkı bir İçerik Filtreleme profiline tabi kullanıcılarımız ve full yetki ile internete çıkacak kullanıcılarımız olacağını bildirmiştik. Şu ana kadar sadece filtre1 isimli tek profil tanımladık. 2. profil tanımını da full yetki ile internete çıkacaklar için yapmamız gerekiyor. Bu tanımlama için profile menüsünde zaten filtre1’i görüyoruz. 2.yi de aynı şekilde eklemek için artıya basıyoruz.

Burada kategori bazlı herhangi bir kutuyu işaretlemiyoruz ve custom servicede herhangi bir tanım yapmıyoruz. Kısacası herhangi bir kısıtlama yapmadık. Sadece filtre2 şeklinde isim verip enable ederek profili aktifliyoruz.

Şu an elimizde 2 farklı kullanıcı tipimize uygulayacağımız içerik filtreleme profillerini ayrı ayrı oluşturduk. Fark edeceğiniz gibi henüz sadece profilleri oluşturduk bunları herhangi bir kullanıcı grubuna IP bazlı atama yapmadık. Bunun için de şu ana kadasr ilgilenmediğimiz Content Filter menüsünün general tabını kullanıyor olacağız. Burada alt taraftaki policy kısmında tanımlanmış kuralları hitap ettikleri IP’lere tamak için kural eklememiz gerekiyor. Bunun için Policy menüsündeki artıya tıklıyoruz.

(60)

www.zyxel.com.tr

Açılan kural menüsünde Ipleri filtre profilleriyle eşleştirmemiz için ilgili alanlar bulunuyor. Biz senaryo gereği şöyle bir tanım yapıyor olacağız. Tüm networkümüze daha katı olan filtre1 profilini uygula şeklinde bir kural ekledikten sonra, bu kuralın da üzerine belirttiğimiz full yetkili IP’lere filtre2 kuralını uygula diyerek 2. bir kural ekleyeceğiz. Burada ilk kural için Adres kısmını any’de bırakarak tüm subnetimiz için tanım yaptığımızı bildiriyoruz. Filter Profile’da da filtre1’i seçerek bu subnete filtre1 uygulanacağını söylüyoruz. Ayarları kaydedip general menüsüne dönüyoruz.

(61)

Policy kısmında şu an bu kural eklenmiş olarak gözüküyor. 2. kuralımız için tekrar policy menüsünde sağ taraftaki artıya basarak kural menüsünü açacağız. Burada farklı olacak kısım bu filtre2 profilinin sadece belirli bir IP bloğuna uygulanacak olmasıdır. Bunun için adres kısmında create object seçilerek açılan popup menüsünde filtre2’yi kullanacak full yetkili IP’lerin tanımını yapacağız.

Burada bu IP bloğuna tanımlayıcı bir isim verip belirli bir IP aralığı bildireceğimiz için RANGE’i seçip bu IP bloğunun başlangıç ve bitiş IP’lerini yazıyoruz. Burada tek bir IP tanımı yapıyor olsaydık RANGE yerine HOST seçilerek tanım yapacaktık.

(62)

www.zyxel.com.tr

Popup menüsünde OK ile ayarları kaydettiğimizde Adres Kısmında Internet_fullyetki kullanıcı grubu seçili olarak policy kuralına dönmüş olacağız. Filter profile’da da Filtre2 seçerek bu kuralı da kaydediyoruz. Sonrasında general menüsüne döndüğümüzde ekran aşağıdaki şekilde olacaktır.

Burada policy kuralları gereği Zywall’a bir http trafiği paketi geldiğinde Content Filter servisi de aktif ise paketin kaynak adresine bağlı olarak uygun kural ile eşleşip o kuralda belirtilen Filtre uyarınca çıkışını sağlayacak veya reddedecektir. Burada cihaza gelen http talebi Internet_fullyetki diye tanımladığımız IP bloğundan ise 1 numaralı kural ile örtüşeceğinden filtre2 ile çıkacaktır. Bu grubun dışındaki bir IP’den talep gelirse 1 numaradaki kural ona hitap etmeyeceği için bir alt satırdaki kurala bakacak.

Bu satırdaki kuralda kaynak tüm network yani herhangi bir IP olduğundan 1. kurala uymayan pakete karşılık verecektir ve filtre1 uyarınca internet erişimine karar verilecektir. (Bu noktada gene dikkat edilmesi gereken bu kuralların sıralamasıdır. Bir an için 2. kuralın üstte olduğunu düşünün. Internet_fullyetki grubundan veya başka bir IP’den gelen trafik bu genel kurala uyacağından altında kalacak olan sadece Internet_fullyetki grubu için tanımlı kuralın bir anlamı olmayacaktı.)

Content Filter ile ilgili son olarak birkaç şeye daha göz atmak gerekirse, Bu policyleri tanımlayıp Enable Content Filter’ı işaretleyip aktiflediğimizde İçerik filtrelemeyi belirttiğimiz senaryodaki kullanıcı tipleri ve bunlara uygulanacak filtre profilleri bazında devreye almış olacağız. Burada ayrıca Denied Access Message kısmında uygulanan content filterlar sebebiyle yasaklanan bir site olduğunda bu talebi yapan

(63)

kullanıcı ekranında gözükecek uyarı mesajı girilebilir. Örnek: ‘Ulaşmak istediğiniz site sistem yöneticiniz tarafından zararlı bulunmuştur.’ Redirect URL menüsünde ise herhangi bir URL adresi girişi yapıldığında(örnek olarak şirket sitesi) yasaklanan siteler sonrası gelecek uyarıyla beraber buraya girmiş olduğunuz siteye kullanıcıyı yönlendirebilirsiniz.

Son olarak Block web Access when no policy is applied seçeneğine değinmek gerekirse, bu kısım aktiflendiğinde eğer aşağıda policy kuralları herhangi bir Ip’yi içermiyor ve bu Ip’den bir trafik geldiyse, bu Ip’nin çıkışının engellenmesi içindir.

Kısacası bunu işaretleyip, aşağıda profil atamalarını yaptığım IP’ler dışında kurallarıma uymayan herhangi bir IP’nin internet çıkışını engelle demiş oluyoruz.