ZyWALL USG 2000
Kurulum
Kullanım Kılavuzu ve
İçindekiler
Cihazı Tanıyalım USG 2000 04
1. Cihaz Arayüzüne Erişim 08
2. Internet Bağlantısı Ayarları 11
Senaryo 1 11
Seneryo 2 21
3. WAN Trunking (Birden Fazla WAN IP’sini
cihazda sonlandırmak ve Yük Paylaşımı) 25
4. Güvenlik Servislerinin Aktiflenmesi 28
5. Port Yönlendirme ve Firewall 30
6. VPN Kurulumu 38
a) IPSEC VPN Kurulumu 38
7. AppPatrol Uygulamaları 43
8. AntiX Menüleri 49
a) Anti Virus Tanımlamaları 49
b) IDP Menülerinin Kullanımı 53
c) Content Filter Uygulamaları 55
d) Anti-Spam Uygulamaları 66
9. ZyWALL’un Yedeklenmesi, Resetlenmesi, Reset Sonrası Ayarlarının Dönülmesi ve
FW Upgrade İşlemi Hakkında 71
10. LOG Menülerinin Kullanımı ve VANTAGE Report
Programının ZyWALL’daki Ayarları 75
11. ZyWALL’a Bağlanacak Bir AP ile Kablosuz
Kullanıcılarına Internet Sağlanması 79
İçindekiler 3
12. Yerel Ağdaki PC’lerin Iplerini Sabitlemek
(IP-MAC Binding) 80
13. 5651 Uyumlu ZyXEL LogAnalyzer Programı İçin
ZyWALL’da Yapılması Gerekenler 82
1. DHCP 83
2. Firewall 84
3. Log Settings 85
Cihazınızda 6 adet Gbit Ethernet portu mevcuttur. Portlar değişken ve fabrika çıkışındaki atamaları aşağıdaki şekilde yapılandırılmıştır.
P1 İç networkünüze (LAN1) switch üzerinden ağ paylaşımı yapacağınız port, üzerindeki ge1 interface’i 192.168.1.1 fabrika çıkış IP’sine sahip ve 192.168.1.
33’den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı.
P2 1.internet bacağı, bu fiziksel port üzerinde tanımlı ge2 interface’inde, ge2_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır.
P3 2.internet bacağı, bu fiziksel port üzerinde tanımlı ge3 interface’inde, ge3_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır.
P4 İç networkünüze (DMZ1) switch üzerinden ağ paylaşımı yapacağınız 2. port, üzerindeki tanımlı ge4 interface’i 192.168.2.1 fabrika çıkış IP’sine sahip ve DHCP Sunucu özelliği kapalı olarak tanımlı. 2. Bir lokal subnet ihtiyacınız var ise bu port üzerinden işlem yapabilirsiniz.
P5 İç networkünüze (DMZ2) switch üzerinden ağ paylaşımı yapacağınız 2. port, üzerindeki tanımlı ge5 interface’i 192.168.3.1 fabrika çıkış IP’sine sahip ve DHCP Sunucu özelliği kapalı olarak tanımlı. 3. Bir lokal subnet ihtiyacınız var ise bu port üzerinden işlem yapabilirsiniz.
P6 İç networkünüze (DMZ3) switch üzerinden ağ paylaşımı yapacağınız 3. port, üzerindeki tanımlı ge6 interface’i 192.168.4.1 fabrika çıkış IP’sine sahip ve DHCP Sunucu özelliği kapalı olarak tanımlı. 4. Bir lokal subnet ihtiyacınız var ise bu port üzerinden işlem yapabilirsiniz.
Cihazı Tanıyalım USG 2000
Cihazı Tanıyalım 5
Görüleceği üzere cihazınızda fabrika çıkış ayarlarınca 2 adet WAN portu olarak kullanılabilecek port (2. ve 3. Portlar) ve 4 adet farklı amaçlarla LAN portu olarak kullanılabilecek port (1. Port ve 4, 5 ve 6. portlar) bulunmaktadır.
Özellikle web server, file server, mail server gibi dışarıya da açık sunucularınıza ulaşan harici kullanıcıların iç networkünüze de ulaşma riskine karşı bu sunucuları gruplayıp DMZ bacağına bağlamanız önerilir.
Tabloda anlatılan örneğin 1.satırda USG100’de LAN1 diye ifade edilen Interfacelerin karşılıkları (cihaz modeline göre değişen isimleri ve Port numaraları) aşağıdaki tabloda belirtilmiştir.
DÖKÜMANDA KULLANILAN SCREENSHOTLAR USG 100’DEN ALINMIŞTIR. CİHAZ ARAYÜZLERİ TAMAMEN AYNIDIR. SADECE USG 100’DEKİ INTERFACELERIN KARŞILIĞI DİĞER MODELLERDE FARKLILIK GÖSTERMEKTEDİR.
Cihaz Cihaz Cihaz Cihaz
USG100 Port USG200 Port USG300 Port USG2000 Port
Lan1 3-4 Lan1 4 Ge1 1 Ge1 1
Lan2 5 Lan2 5 YOK YOK
Wan1 1 Wan1 1 Ge2 2 Ge2 2
Wan2 2 Wan2 2 Ge3 3 Ge3 3
OPT Yok OPT 3 OPT Yok OPT Yok
DMZ 6 DMZ 6 DMZ1/DMZ2 5-6 DMZ1/DMZ2/DMZ3 4-5-6
Wan1_ppp wan1 Wan1_ppp wan1 Ge2_ppp ge2 Ge2_ppp ge2 Wan2_ppp wan2 Wan2_ppp wan2 Ge3_ppp ge3 Ge3_ppp ge3
YOK Opt_ppp opt YOK YOK
Benzer şekilde ‘Public Ip’nizi wan1_ppp’de sonlandırınız’ ifadesiyle bahsedilen interface; USG 100 ve 200’de wan1_ppp interface’ini, USG 300 veya 1000’de ge2_ppp interface’ini göstermektedir.
Cihaz üzerinde ayrıca 2 adet dual personality olarak çalışan SFP ile Fiber hat sonlandırabileceğiniz veya 2 extra ethernet bağlantısı olarak kullanabileceğiniz port mevcuttur. Ön panelde ayrıca SEM modulu yer almaktadır. Bu modul cihaz performansını artırmaya yöneliktir.
SEM
Transceiver’ın Takılması
SFP ile Fiber bağlantısı yapılacak portlar P7 ve P8 olarak görünmektedir. P7 ve P8 üzerinde tanımlı ge7 ve ge8 interfaceleri LAN, WAN veya DMZ zonelarından bağımsızdır. İç networkünüzde fiber kullanılıyor ve iç network ile ZyWALL bağlantısını fiber üzerinden sağlamayı düşünüyorsanız, bu interfaceleri LAN veya DMZ zonelarına, servis sağlayıcınızdan gelen fiber hattın ucundaki gerçek IP’nizi ZyWALL’da sonlandırmak istiyorsanız WAN zone’una dahil edebilirsiniz.
Transceiver’ın Çıkarılması
Cihazı Tanıyalım 7
Usg cihazınızın kurulumu için herhangi bir Pc’ye 192.168.1.0 networkünden bir statik IP verdikten sonra bu Pc ile Zywall cihazınızın LAN1 portunu (ge1) bir Ethernet kablosu ile bağlayınız.
Browserınıza 192.168.1.1 yazarak cihazın arayüzüne ulaşınız. Sertifika ile ilgili uyarı ekranı karşınıza gelirse devam et ile kullanıcı adı şifre ekranına ulaşabilirsiniz.
1. Cihaz Arayüzüne Erişim
Cihaz Arayüzüne Erişim 9
Cihazın fabrika çıkış ayarlarınca kullanıcı adı admin ve şifresi 1234’dür.
Giriş yaptıktan sonra karşınıza gelen ekrandan cihazın şifresini değiştirebilirsiniz.
Dashboard menüsünde sizi aşağıdaki ekran karşılayacaktır. Bu menude cihazınızın ön panelindeki portların durumu; cihaz bilgileri (İsim, Mac Adresi, Seri No, FW), cihazın sistem kaynakları, DHCP, SSL VPN kullanıcılarına ait bilgiler, Sistem Saati ve Ayakta Kalma Zamanı, Cihaz üxerinde çalışan lisansı servislerin durumları gibi bilgiler yer almaktadır.
Burada sol taraftaki menülerde cihazın farklı ayarlarının yapıldığı menüler bulunmaktadır. Sağ taraftaki geniş ekransa bu soldaki menülere tıklandığında o menüyle ilgili ayarları karşınıza getirir. Sağ üst köşede de menüler ve cihazla ilgili yardım dosyalarına ulaşacağınız veya sihirbazlar ile kolay kurulum yapabileceğiniz ikonlar bulunmaktadır.
Zywall’un ilk olarak network ayarlarını yapmak için soldaki menülerden Configuration menusunde Network altındaki Interface menüsünü kullanacağız.
İlk olarak iç networkünüzdeki Pc’lerin IP’lerini, gateway veya DNS bilgilerini değiştirmek istemiyor iseniz, cihazı networkünüze uydurmak için ZyWALL’un iç networkünüze bağlantısını yapacak olan LAN bacağını edit ederek istediğiniz IP bloğuna çekiniz. Burada değişiklik yaptıktan sonra, cihaza yeni IP’sinden ulaşmanız gerekeceğini unutmayınız.
Internet Bağlantısı Ayarları 11
ZyWALL cihazınız öncesi yapınız; yukarıdaki şemada anlatılan; modeminizin sizi internete bağlayan WAN IP’sini aldığı ve arka tarafta da 192.168.1.0 private networkünü kullandıran sadece modem üzerinden kullanıcılara internet sağladığınız basit bir ağ olarak algılanabilir.
Yukarıdaki networke ilave edilecek ZyWALL’un kurulumu ve internet ayarları 2 senaryo halinde gösterilecektir.
INTERNET Modem
Public (WLAN) IP
88.34.45.43 Private (LAN) IP
192.168.1.1 192.168.1.33--- Switch PC’ler
Bu senaryoda Modeminizi DHCP sunucu özelliğini kapatarak operasyon modunu bridge (köprü) moduna alacağız. Interneti Zywall cihazında sonlandırıp WAN IP’mizi Zywall’un almasını sağlayacağız.
Senaryo 1
88.34.45.43 192.168.1.1 192.168.1.33---
INTERNET Modem Firewall Switch PC’ler
2. Internet Bağlantısı Ayarları
Modemi bridge mode’a almak için 192.168.1.0 networkünden bir IP’yi statik olarak konfigurasyonları yapacağınız Pc’ye veriniz. Pc ile modemi bir Ethernet kablosuyla biribirine bağlayınız. 192.168.1.1 ile modem arayüzüne giriniz.
Internet Bağlantısı Ayarları 13
ZyXEL modemlerde bu işlem; Yerel Alan Ağı DHCP Kurulumu menüsünden ilk olarak DHCP’nin hiçbirine çekilmesi, 2. olarak Geniş Alan Ağı menüsünden de modu köprüye çekip kapsüllemeyi RFC1483 olarak yapılandırılması ile gerçeklenir.
Modemi bridge mode’a aldıktan sonra modem artık Layer3 bazlı herhangi bir trafikten anlamayacaktır. Modemin halen IP’si mevcuttur. Fakat bu IP yalnızca direk olarak modeme bağlı aynı subnetten IP’ye sahip bir PC’den modeme ulaşmak için kullanılabilir. Modem artık yalnızca telefon hattı üzerinden gelen sinyali ethernete çevirmekten ve bu sinyali Zywall’a iletmekten sorumludur.
Modemden kullanıcılara giden kabloyu Zywall’un GE2 bacağına (ge2) takınız. 1.
Porttan (ge1) da bir kablo ile Zywall’u PC’nize bağlayınız. 192.168.1.1 ile Zywall’un arayüzüne bağlanınız. Burada Configuration-Object-ISP Account menüsü altındaki ge2_PPPoE_ACCOUNT satırına tıklayarak edit butonuna basınız.
Farklı marka modemlerde bu işlemleri gerçeklemek için üreticilerinden bilgi alınız.
Karşınıza gelen ekranda servis sağlayıcınızdan aldığınız kullanıcı adı şifre bilgilerini ilgili alanlara yazınız.
Bu ayarları kaydettikten sonra Configuration-Network-Interface menusundeki PPP tabına tıklayınız. Burada ge2_PPP interface’ini seçerek Edit’e basınız.
Internet Bağlantısı Ayarları 15
Karşınıza gelen pencerede Enable Interface’i işaretledikten sonra, Nailed-UP Bağlantı tipini seçip ISP Setting kısmında biraz önce servis sağlayıcıdan aldığınız kullanıcı adı şifre bilgilerinizi girdiğiniz ge2_PPPoE_ACCOUNT objectini seçiniz.
Ayarlarınızı kaydettikten sonra ge2_ppp aktif ve bağlı olarak gözükecektir.
GE2_ppp interface’inizin WAN IP’nizi alıp almadığını Monitor-System Status- Interface menusundeki Interface Summary bölümünden kontrol edebilirsiniz.
Internet Bağlantısı Ayarları 17
Eğer bağlantı sağlanamadıysa tekrar network menusundeki ge2_ppp menusune gelerek bu interface’i seçip connect butonu yardımıyla tekrar bağlanmayı deneyiniz.
2.bir DSL hattınız ikinci bir modeme bağlı ise aynı işlemi yapmak üzere bu modemin de DHCP’sini kapatarak, modemi bridge’e alınız ve bu modemden çıkan kabloyu WAN2 (ge3) bacağına 3. porta takarak yukarda bahsedilen işlemleri bu sefer ge3_ppp için yaparak, 2. WAN IP’sini de GE3_ppp interfaceine aldırabilirsiniz.
WAN IP’sini aldıktan sonra internete çıkışta problem yaşıyor iseniz, Zywall’un ge1 1 Nolu bacaktan iç networkünüze IP dağıtırken kullanıcılara vermiş olduğu
Burada cihazın Lan bacağından iç networkünüze DHCP sunucu özelliği ile dağıtacağınız IP’lerle beraber atanacak DNS sunucuları bilgilerini ilgili ekrana yazınız.
Internet Bağlantısı Ayarları 19
Cihazın rota tanımlarını kontrol etmek için Configuration_Network_Routing menüsündeki Policy route tablosunu inceleyeceğiz.
Burada incoming kısmında GE1’i gördüğünüz komut satırında Next-Hop olarak WAN TRUNK gözükmektedir. Mouse’unuzla TRUNK’ın üzerine gelince bu yapıya üye interfaceler ve yapının çalıştığı algorithma görüntülenebilmektedir.
Normalde bu rota WAN IP’sini aldığınızda Internet bağlantınızın sağlanması için yeterlidir. Zira yukarda bahsedildiği şekilde Internet ayarınızı yaptıysanız, WAN IP’nizi alan ge2_ppp interface’i de bu yapıya dahildir.
TRUNK yapısı ileriki sayfalarda ayrıca anlatılacaktır.
Bu route kuralı içerisinde next-hop kısmında Type Interface’e, Interface de ge2_ppp’ye çekerek kaydediniz.
Internet bağlantısı sağlanmıştır. 1. Porttan çıkan kabloyu switche ve onun üzerinden de PC’lere bağlayabilirsiniz.
Dikkat edilirse, bu senaryoda Cihazın LAN bacağı (1. Port ge1) ile ilgili herhangi bir ayar yapmadık. Fabrika ayarlarınca bu bacağın IP’si 192.168.1.1’dir ve bu arayüze bağlanacak IP’lere 192.168.1.33’den başlayarak otomatik olarak IP dağıtılacaktır. Talep edilirse Network Interface menüsünde Ethernet tabına gelinerek ge1 edit butonu ile düzenlenebilir. İç Networkte farklı bir IP bloğu ve dolayısıyla farklı DHCP ayarları, elle DNS girişleri yapılabilir.
Problem yaşamanızın başlıca sebebi olarak Bridge(köprü) moduna aldığınız modemin DHCP sunucu özelliğini kapatmamış olmanız gelmektedir. Bu durumda Modemin IP bazlı işlemleri anlayamamasına rağmen, bağlı olduğu WAN1 (ge2) bacağına bir IP aldırdığını göreceksiniz. TRUNK yapısında da hem ge2 hem ge2_ppp olduğundan herhangi bir yere gitmese de bağlı gözüken WAN1 bacağından (ge2) da trafiği çıkarmaya çalışacak ve paket kaybı sebebiyle bağlantı problemi yaşayacaksınız.
Internet Bağlantısı Ayarları 21
Dikkat edileceği üzere iç Networkte PC’lerin kullandığı Ip bloğunu değiştirmemek için modemde ve modemin ZyWALL’a bağlantısı olan GE2 bacağı arasında 10.10.10.0 gibi 2. bir Network tanımı yapılmıştır.
Modemin LAN IP’sini 10.10.10.1 IP’sine çekip ayarları kaydettikten sonra cihazınızın Configuration_Network_Interface_Ethernet menüsünden bu sefer cihazın modeme bakan bacağı olan WAN1(ge2) interface’ini yapılandıracağız.
Burada wan1(ge2)’i seçerek edit butonuna basarak ge2 arayüzüne ulaşıyoruz.
Senaryo 2
Public (WAN) IP
88.34.45.43 Private (LAN) IP
192.168.1.1 192.168.1.33---
INTERNET Modem Switch PC’ler
Burada Interneti sonlandırmış olduğunuz modemin operasyon modunda değişiklik yapmadan ZyWALL’u modem ile kullanıcılar arasına yerleştireceğiz. ZyWALL öncesi senaryoyu hatırlayalım
ZyWALL sonrasında
8.34.45.43 10.10.10.1 ge2
10.10.10.2 ge1
192.168.1.1 192.168.1.33---
INTERNET Modem Firewall Switch PC’ler
Burada Use Fixed IP Adres kısmını işaretleyerek modemin IP bloğundan bir IP’yi WAN1 (ge2) için giriyoruz ve gateway olarak da modemin IP’si olan 10.10.10.1’i kullanıyoruz. OK ile ayarları kaydediyoruz.
PC’lerin otomatik olarak alacağı IP bloğunu ZyWALL’un LAN1(GE1) bacağına verdikten ve Modem ile de Zywall’un bağlantısını sağlayan WAN1(ge2) bacağını modem ile aynı bloktan bir IP tanımladıktan sonra yapılması gereken işlem;
Zywall’un Lan1(ge1) bacağına gelen trafiğin WAN1(ge2)’e oradan da modeme ve internete ulaşabilmesi için bir yönlendirmedir. Bunun için Network menüsü altından Routing menüsü kullanılarak policy route girişi yapılacaktır.
Internet Bağlantısı Ayarları 23
Burada incoming kısmında lan1(Ge1) gözüken otomatik kural satırını edit butonu kullanılarak değiştireceğiz.
Bu menüde next-hop kısmında Type kısmını Trunk’dan Interface’e çekip alttaki Interface kısmında da wan1(ge2)’i seçip ayarları kaydediyoruz. Cihazınız belirtilen senaryoda LAN1(ge1 1. Port) arayüzüne gelen kendi iç Ipleri dışındaki trafiği WAN1(ge2) bacağına yönlendirmiştir. Ge2 bacağının da gateway’i modem IP’si olarak yapılandırıldığından Internet erişimi sağlanmıştır. Artık LAN1(ge1) bacağından PC’nize bağlı kabloyu switche ve onun üzerinden PC’lere aktarım yapabilirsiniz.
Bu senaryo kurulum ve ayarlar bakımından daha basit gözükse de önerilen bir kurulum değildir. ZyWALL cihazlarının session kapasitesi normal modemlerden yüksek olduğundan modemi bridge mode’a alıp Interneti ZyWALL’da sonlandırmak daha yaygın kullanımdır. Örnek olarak Port yönlendirmede de bu senaryo sıkıntılara yol açabilir. Mesela iç Network dışından içerideki bir sunucuya Remote Desktop bağlantısı yapılmak isteniyor. Bu durumda dışarıdan içeriye doğru tüm Portların modemde ZyWALL’un WAN IP(ge2)’sine yönlendirilmesi gerekecek ve ZyWALL’da da sunucu IP’sine yönlendirme tanımlamaları ayrıca yapılmak zorunda kalacaktır. Bir başka problem de VPN’de ortaya çıkabilir.
ZyWALL’un terminator olarak yapılandırılmak istendiği bir senaryoda ZyWALL üzerinde VPN tünelini sonlandırmak için modemin VPN passthrough özelliği olmalıdır. Aksi takdirde tünel kurulamaz. Her şeye rağmen bu konfigurasyon ile ZyWALL’u yapılandırır iseniz bahsedilen problemlerin aşılması konusunda yapılması gereken ileri düzey ayarlar ile ilgili ayrıntılı destek için bizlerle irtibata geçiniz.
Eğer WAN IP’sini 1. Senaryoda anlatıldığı üzere ZyWALL almış olsaydı, bu problemler ile uğraşmak zorunda kalmayacaktık.
Cihazın kurulumunun ilk kısmı olan internet bağlantısı şu ana kadar anlatılmıştır.
Cihazın ileri düzey ayarlarıysa aşağıdaki başlıklar altında incelenecektir.
Bu noktadan sonraki ayarlar her iki senaryo için ufak tefek farklar dışında aynıdır.
Biz aşağıdaki tanımlamaları modemlerin bridge mode’da olduğunu ve gerçek Ip’nin Zywall’un ge2_ppp interface’inde sonlandırıldığını kabul edeceğiz.
Değişiklikler fark edeceğiniz üzere modemin bridge modeda olduğu 1. Senaryo için kurallarda cihazın internet bağlantısı olan ge2_ppp ve/veya ge3_ppp’nin, 2.
Senaryo için ise ge2 ve/veya ge3’nin kullanımından ibarettir. Bu andan itibaren 1.
Senaryoya göre anlatılacak ayarlarda 2. Senaryoyu kullanıyorsanız ge2_ppp’nin yerine ge2 ve ge3_ppp’nin yerine ge3 seçmeniz yeterli olacaktır.
WAN Trunking 25
ZyWALL cihazınızda WAN IP’sini aldırıp halen Internete çıkamıyorsanız, aşağıdaki inkte ifade edilen adımları kontrol ediniz.
http://www.zyxel.com.tr/web/supPort_category.php?ProgramNo=PRG2008018
#SORU29
Birden fazla ADSL hattınızın olduğu bir ortamda bu hatları ZYWALL’da sonlandırıp yük paylaşımı yapmak istediğinizi düşünelim.
Her iki hat için de WAN ayarlarını yaptıktan sonra Network_Interface menüsü altındaki Trunk tabına geliniz.
3. WAN Trunking (Birden Fazla
WAN IP’sini Cihazda Sonlandırmak
ve Yük Paylaşımı)
Burada WAN_TRUNK satırının edit ile ayrıntılı ayarlar menüsüne giriş yapınız.
Burada bu trunk’a dahil olan interfaceler ve bu trunkın kullanacağı algoritma seçilebilir. Interfacelerden WAN çıkış noktalarımızı seçerek (Yukarda anlatılan senaryolara uygun olarak ge2_ppp ve ge3_ppp veya ge2 ve ge3 dışındakileri silebilirsiniz.) algoritmayı da tanımlayıp ayarları kaydediyoruz.
Burada; Least Load First (Müsait Band genişliği en yüksek olandan çık.), Spill Over (Sıralamada öncelikli Interface’in tamamı kullanılmadan diğer interface’den çıkma.) Weighted Round Robin (Çıkış Önceliği belirle.) algoritmalarından netwokünüze uygun olacak olan algoritmayı seçiniz.
1. Hattın düşmesi durumunda 2. Devreye girsin şeklinde tanım yapmak isteniyor ise 1. Hattı(ge2_ppp/ge2) active, 2. Hattı(ge3_ppp\ge3) da passive olarak seçmek gerekmektedir.
Bu noktadan sonra iç networkünüzden LAN1’e (ge1) gelecek trafiğin tanımlı algoritma çerçevesinde trunktan çıkmasını sağlamak için Network_Routing menüsünden policy route’u da kontrol etmemiz gerekiyor. Burada ilgili network için tanımlı kuralda next-hop Trunk ve Trunk da ayarlarını yaptığımız WAN_
TRUNK seçili olmalıdır. Değilse edit butonu ile ayarları düzeltiniz.
WAN Trunking 27
Trunk yapısı bazı noktalarda sizlere problem çıkarabilir. Gov uzantılı siteler ve banka sitelerine girişte trunking devredeyken siteye gönderdiğiniz paketlerin bir kısmı GE2/GE2_PPP gerçek IP’nizden bir kısmı da GE3/GE3_PPP gerçek Ip’nizden sunuculara geldiğinde bu paketleri güvenlik gereği discard edebilirler ve bağlantı problemleri yaşayabilirsiniz. Bunun için policy route menüsüne GE1 için geçerli rota kuralının üzerine sadece https servisini belirli tek bir interface’den (GE2_
ppp/GE2 veya GE3_ppp/GE3) çıkaracak şekilde bir next hop tanımı yapılmalıdır.
Trunking ile ilgili ileri düzey ayarlar ile ilgili bizlerle irtibata geçiniz.
Cihazınız ile birlikte satın almış olduğunuz AV,CF ve IDP gibi servisleri ilk defa aktiflemek için ilk olarak, Licensing menüsü altındaki Registration tabı kullanılarak cihazınızı talep ettiğiniz bir kullanıcı adı ve şifre ile myzyxel.com veritabanına kaydettirmeniz gerekmektedir. Bu ayarları yapar iken bu servislerin trial versiyonlarını da seçerek 1 aylık servisleri ilk aşamada yapılandırabilirsiniz.
Kayıt ettirdiğiniz cihazda aktiflediğiniz servislerin içeriğinin güncellenmesi için Update menüsünden otomatik veya manuel update işlemlerini yapabilirsiniz.
Deneme sürümleri kullanım süresini aşınca cihazınızla gelen servislerin orijinal lisans anahtarlarını girerek 1 yıllık korumanızı aktifleyebilirsiniz. Bunun için Licensing-Registration menüsündeki Services tabını kullanabilirsiniz.
4. Güvenlik Servislerinin Aktiflenmesi
Güvenlik Servislerinin Aktiflenmesi 29
Burada License Key kısmına elinizdeki ürün anahtarlarını girerek update butonuna basarak Icard’larınızla satın almış olduğunuz lisanslı servislerinizi aktifleyebilirsiniz.
Cihazınızı resetlemeniz ve yeniden kurmanız gerektiğinde lisans işlemleri için tek yapmanız gereken; internet bağlantısını sağladıktan sonra Licensing-Services tabındaki Service License Refresh butonuna basarak cihaz üzerinde aktiflediğiniz servislerin son durumunu otomatik olarak güncellemektir.
Myzyxel.com hesabınızın kullanıcı adını biliyor ve şifrenizi unuttuysanız, www.myzyxel.com sitesine kullanıcı adınızı yazıp şifremi unuttum seçeneği ile bu hesabı açarken kullandığınız mail adresine şifrenizin iletilmesini
Burada oluşturacağımız kuralı aktiflemek için Enable Rule’u seçip tanımlayıcı bir ifadeyle kurala isim veriyoruz. Incoming interface olarak dışarıdan geleceğimiz IP’yi alan interface’i GE2_ppp’yi seçiyoruz.
Zywall üzerinde port yönlendirme işlemleri için Network_NAT menüsü kullanılır.
Örnek olarak içerideki bir sunucuya iç network dışından bir Uzak masaüstü bağlantısı yapacağımızı düşünelim. Yapmak istediğimiz işlem ofis dışındaki bir IP’den mstsc (remote desktop connection) ekranına GE2_ppp gerçek IP’mizi (örnek:88.245.34.45) yazarak içerideki 192.168.1.x IP’li sunucuya ulaşmak.
Bunun için ilk olarak NAT menüsünde Add butonuna tıklayarak kural eklememiz gerekiyor.
5. Port Yönlendirme ve Firewall
Port Yönlendirme ve Firewall 31
Original Ip’ye any olarak giriş yapıp Mapped IP’ye içeride bağlanmak istediğimiz IP’yi yazıyoruz. Bunun için bu Ip’yi bir object olarak cihaza tanımlamamız gerekiyor. Sol üst köşeden Create object seçilerek karşınıza gelecek popup menüsü ekranında bu tanım yapılabilir.
Bu ekranda bu uygulamada ihtiyacımız olacak tek bir IP tanımlamak için Adress Type kısmında HOST seçilerek name kısmına tanımlayıcı bir isim ve IP adress kısmına da içeride ulaşmak istediğimiz cihazın Ip’sini tanımlıyoruz.
Bu ekranı kaydedince otomatik olarak kural ekranına dönüş yapacağız. Mapped IP kısmında oluşturmuş olduğumuz object’i seçiyoruz.
Port Yönlendirme ve Firewall 33
Port mapping Type kısmında Service, Port ve Ports seçilebilir. Port seçerek Original ve Mapped Port kısmına Remote Desktop Connection’ın kullandığı 3389 portunu yazınız.
Nat Loopback özelliğini devre dışı bırakarak ayarlarınızı kaydediniz.
Bu örnekte 3389 portunu yönlendiriyoruz. Eğer belirli bir port aralığını yönlendirmemiz gerekseydi, ports seçeneğini kullanmamız gerekirdi. Port olarak seçim yapıldığında ihtiyacımız olan 3389 portunu; hem Zywall gelişi hem de içerideki cihaza erişim için bu port kullanılacağından; hem original porta hem de mapped porta girmemiz gerekiyor.
Firewall’da WAN’dan LAN’a 3389 trafiği ile ilgili bir istisna kuralı oluşturmaz isek yapılan port yönlendirme işleminin herhangi bir faydası olmayacaktır. Bunun için Firewall menüsünden add butonuna basarak kural tanımlamamız gerekiyor.
Port Yönlendirme ve Firewall 35
Kuralı aktiflemek için Enable seçilir. Tanım için description kısmına bir isim verilir ve trafiğin yönü WAN’dan LAN’a doğru olduğu için From kısmı WAN to kısmı LAN olarak seçilir. Schedule,User, Source,Destination menüsü any olarak seçilir.
(Source kısmı create object ile tanımlanacak dış Ipler olarak seçilirse kaynak adresi belirli bir IP veya IPlerden gelirse ancak bu kuralın geçerli olacağı anlamına gelecek ve sadece belirli IP’lerin uzak bağlantı yapmasına izin veren bir kısıtlama yapılmış olacaktır. Destinationa herhangi bir hedef girişine gerek yoktur. Zaten sonuç olarak Zywall’a gelecek herhangi bir 3389 trafiği sadece bizim virtual server menüsünde tanımını yaptığımız sunucuya gidecektir. Service kısmında create object ile 3389 portu için servis tanımı yaparak bu kuralı sadece bu servis için tanımladığımızı bildireceğiz.
Bu popup menüsünde ayarları kaydettiğimizde kurala geri dönmüş olacağız ve son hali aşağıdaki gibi olacaktır.
Kuralı kaydettiğimizde Firewall genel menüsünde WAN’dan LAN’a tüm trafiği yasaklayan 2 numaralı kuralın üzerinde 3389 trafiğine izin verecek kural oluşmuş olacaktır. Firewall işleyişinde kuralların sıralaması önemlidir. Örneğin burada Zywall’a gelen trafik 3389 trafiği ise sırayla kontrol edeceği kurallardan 1 numaralı kurala uyduğu algılanacak ve ona göre işleme tabii olacaktır. Fakat bu trafik WAN’dan Lan’a farklı bir porttan trafik olsaydı, 1 numaralı kurala uymayacak, bunun dışındaki tüm trafik için 2 numaralı tüm portları kapatan kurala tabi olacaktır. Bu genel kuralın 3389 nolu port için oluşturduğumuz istisnai kuralın sıralamada üzerinde olduğunu varsayalım. Bu genel kural üstte olsaydı, 3389’dan da trafik gelse genel kurala uyacağı için yasaklanacak ve alttaki buna izin veren kurala bakılmayacaktı. Bu kural tamamen etkisiz hale gelirdi. Bu tip birbirini ezecek kuralların sıralamasını düzenlemek için sağdaki N butonu kullanınız.
Port Yönlendirme ve Firewall 37
Port yönlendirme ve Firewall ayarlarınızı yaptıktan sonra sonuç alınamadıysa aşağıdaki linkte belirtilen basamakları tekrar gözden geçiriniz.
http://www.zyxel.com.tr/web/support_category.php?ProgramNo=PRG2008018
#SORU31
Port yönlendirme ve Firewall kuralları ile ilgili ileri düzey ayarlar veya sıkıntı yaşadığınız spesifik senaryolar hakkında destek almak için bizlerle irtibata geçiniz.
Site to site IPSEC VPN kurulumunda karşı tarafın ayarlarını karşılayacak şekilde Zywall’da yapılması gereken ayarlar aşağıda anlatılacaktır. Buradaki ayarlar daha önce de belirtildiği gibi Zywall’un Wan bacağında GE2_ppp’de interneti sonlandırdığımız modemin bridge mode’da olduğu kabul edilerek yapılmıştır.
Route mode’da olan ve VPN passthrough özelliği olan bir modemin arkasındaki Zywall’da modem içerisinden geçen tünelin sonlandırılması ile ilgili farklı bir senaryo talep ediliyorsa, bu ayarlar ile ilgili bizlerle irtibata geçiniz.
Ipsec VPN kurulumu için VPN-IPsec VPN menüsü altındaki tablardan ilk olarak VPN Gateway tabını kullanarak faz1 ayarlarını yapacağız. Burada Add butonuna tıklayarak ayrıntılı ayarlar menüsünü açıyoruz.
VPN Gateway menüsü içerisinde Gateway’e bir isim verip iki tarafın da internete bakan WAN IP’lerini tanımlamış oluyoruz. My Adres kısmına WAN IP’mizi alan GE2_ppp’yi seçiyoruz. Peer Gateway Ip kısmına karşı tarafın Wan IP’si yazılıyor.
Authentication kısmı için her iki tarafta da aynı olacak şekilde bir Pre-shared Key girişi ve içerik doğrulama için de Local ve Peer ID type’ları IP olarak, contentler 0.0.0.0 olarak giriliyor.
6. VPN Kurulumu
a) IPSEC VPN Kurulumu
VPN Kurulumu 39
Güvenlik doğrulaması adına faz1 ayarları karşı tarafta da aynı olacak şekilde girilir. Biz burada şifre grubu DH1, Encryption olarak DES ve authentication olarak MD5’i tercih ettik. Ayarları ok ile kaydedip gateway oluşturma işlemini tamamlıyoruz.
Burada Bağlantı ismine bir giriş yapıp VPN gateway’i tanımladığımız gateway olarak seçiyoruz. Policy menüsünde de bu tüneli sonlandırdığımız iki cihazın arkasındaki subnetleri tanıtıyoruz. Local Policy kısmına LAN Subnet, Remote policy kısmına da karşı tarafın subnetini giriyoruz. Karşı tarafın subnetini de create object menüsü yardımıyla oluşturup girebildiğimize dikkat ediniz.
Sonrasında faz 2 ayarlarını yapıp tüneli tamamlamak için VPN connection tabında add butonuna tıklıyoruz.
VPN Kurulumu 41
Faz 2 encrypion ve authentication değerlerini de karşı tarafla aynı olacak şekilde seçiyoruz. Biz burada faz 2 için de DES ve MD5 algoritmalarını kullandık.
Ayarları kaydetmek üzere OK’e basınız ve tünnelin karşı tarafı için de benzer
Kuralı basit şekilde ifade edecek olursak, herhangi bir interface’e (interface any) herhangi bir saatte (Schedule any) herhangi bir trafik (service any) herhangi bir kullanıcıdan (user any) herhangi bir kaynak Ip’sinden (source any) gelip destination’ı karşı tarafın local subneti olan bir talep olursa (destination VPN faz 2 tanımı yaparken Remote subnet olarak tanımladığımız object) next hop olarak Type TUNNEL ve Tunnel de oluşturduğumuz Tünel seçilerek kural tamamlanır.
Böylece Zywall’a hedefi karşı tarafın subneti olan bir trafik için Trunk’ı veya GE2_ppp’yi kullanmasını değil, tüneli kullanması gerektiğini tanımlamış oluruz.
VPN bağlantı ile ilgili yaşadığınız problemler hakkında aşağıdaki linkten gerekli kontrolleri yapabilirsiniz.
http://www.zyxel.com.tr/web/support_category.php?ProgramNo=PRG2008018
#SORU32
Diğer VPN uygulamaları hakkında destek almak için bizlerle irtibata geçiniz.
AppPatrol Uygulamaları 43
Kullanıcıların en fazla yapmak istedikleri yönetimlerden biri de MSN bloklama, P2P uygulamaları engelleme gibi işlemler olarak karşımıza çıkar. Bunun için Firewall’dan bu programların kullandığı portları biliyor isek yasaklamak bir yöntemdir. Fakat farklı farklı portları kullanan programlara her bir port için kural oluşturmak pratik bir yöntem değildir. Bu noktada IDP lisansınız varsa, AppPatrol menüsünde sizin için cihazda tanımlanmış olan uygulama bazlı yasaklamaları port yerine imza üzerinden daha kolay yapabilirsiniz.
Örnek olarak belirli bir grup kullanıcının MSN’e girişini engeller iken bir başka gruba da izin verelim. İlk olarak AppPatrol menüsünde uygulamayı enable
7. AppPatrol Uygulamaları
Msn örneğine dönecek olursak, bunun için Instant Messenger tabını açıyoruz.
Burada msn satırını seçip edit’e basarak msn kullanımı kurallarını belirleyeceğiz.
AppPatrol Uygulamaları 45
Edit ile karşımıza gelen ekranda msn ile ilgili kuralın aktifleneceği enable kutusunu işaretleyerek, alt tarafta kurala göz atıyoruz. Burada msn için fabrika ayarları gereğince tüm kullanıcılara izin veren kuralı görüyoruz. Bu kural sadece edit edilebilir, silinemez. Bu noktada karar vermeniz gereken networkünüzdeki kullanıcıların çoğunluğunun msn’e girebileceği veya giremeyeceğidir. Biz çoğunluğa yasaklamak, ufak bir gruba da izin vermek istiyor olduğunuzu varsayalım. Bunun için tanımlı tüm network için default kuralı edit ederek izin ver yerine yasakla haline getirip, bu kuralın üzerine de izin vereceğimiz kişiler adına bir kural daha oluşturmamız gerekiyor. Aynı FW kurallarında olduğu gibi buradaki kurallarda da sıralama önemlidir. Specific belirli kişileri, belirli servisleri içeren kuralları her zaman için genel kapsamlı kuralın üzerine yerleştiriniz.
Şimdi biz tüm kullanıcılara msn’i yasaklaması için mevcut kuralı edit ediyoruz.
Kural içerisinde bu uygulama için forward olarak seçili Access menüsünü reject veya drop’a çekiyoruz. Bu şekilde kaydedip Msn menüsüne dönüyoruz. Burada kuralın herkese msn’i yasaklayacak şekilde değiştiğini görüyoruz. Şimdi de ADD’e basarak MSN’e girmesine izin vereceğimiz kullanıcılar için yeni bir kural ekliyoruz.
AppPatrol Uygulamaları 47
Kural sayfası açıldığında source kısmında msn’e giriş izni olacak IP’leri create object seçerek açılan popup menüsünden tanımlıyoruz.
Belirli bir IP bloğunu ifade edeceğimiz için range seçerek başlangıç ve bitiş IP’lerini girerek tanımlıyoruz.
Bu kuralı da kaydettiğimizde aşağıdaki gibi msn ile ilgili tanımlanmış kuralları göreceksiniz. Sonuç olarak kaynak IP’si MSN_IZINLI isimli object ile belirlenmiş IP’lerden gelen MSN talebi 1. kural gereği izin alarak msn girişi sağlayacak. Eğer bu IP’ler dışında bir IP’den MSN talebi gelirse 1. kurala uymadığı için alttaki kurala geçecek ve alttaki kural da ne olursa olsun MSN’i yasakla şeklinde tanımlı olduğundan bu kuralla eşleşen trafik MSN’i yasaklayacaktır.
AntiX Menüleri 49
a) Anti Virus Tanımlamaları
Cihazınızla satın almış olduğunuz AV 1 yıllık lisansını veya 1 aylık deneme sürümünü aktifledikten sonra networkünüzdeki ZyWALL üzerinden geçen tüm trafiği Virus korumasına almak için AntiX menüsündeki Anti-Virus menüsünü kullanacağız.
İlk yapılması gereken bu menüye ilk tıklandığında sağ tarafta karşınıza gelecek olan ekranda Anti-Virus ve Anti-Spyware özlliklerini aktiflemek için enable butonuna basıyoruz.
8. AntiX Menüleri
Black\White List menüsünde yapılabilecek uygulamalar veya bu menüyü ne şekilde kullanmamız gerektiğini açıklamak için şu örneği kullanalım. Exe uzantılı herhangi bir dosyanın networke erişimini engellemek için bu kısayolu black liste eklemek istiyoruz.
Black\White List tabına basılarak ADD butonu ile yeni kuralı kara listeye ekliyoruz.
(Benzer şekilde güvenilir uzantıları da whitelist’e basarak ekleyebilirsiniz.)
AntiX Menüleri 51
Bu menüde *.exe diyebileceğimiz gibi sadece exe yazarak da bu uzantılı dosyaların yasaklanmasını sağlayabiliriz. Bu listeye dosya eklemek genel AV kuralında blacklist ve Whitelist’i göz ardı et seçiliyse herhangi bir işe yaramayacaktır. Bu sebeple AV için tanımlı default kuralı edit ederek biraz inceleyelim.
General tabına dönüş yaparak policy kısmındaki kuralı edit edelim.
Burada kuralı aktifleyebileceğimiz veya pasif hale getirebileceğimiz enable sekmesi, virus taramasından geçirilecek trafiğin yönü, taranacak protokoller ve bulunan zararlı dosyalarda yapılacak işlem tanımlarının olduğu kısımlar mevcuttur. Ayrıca kara listeye veya güvenilir listeye eklemiş olduğumuz tanımları da kontrole ekle veya göz ardı et seçenekleri bulunmaktadır. Alt tarafta da bilinmeyen formatta sıkıştırılmış ve Zywall tarafından açılamayan dosyalar hakkında ne gibi bir işlem yapılmasını istediğimizi tanımlayabiliyoruz. (Zywall cihazı bilinen zip,rar gibi sıkıştırılmış dosyaları açabilme ve açtıktan sonta Virus taramasından geçirme özelliğine sahiptir.)
Cihazın Anti Virus operasyonu yukarıdaki gibi özetlenebilir. Bu örnekte eklemiş olduğumuz exe uzantılı dosyalara izin verme şeklindeki tanım bu dosyanın bilgisayarınıza ulaşamayacağı, kaydedemeyeceğiniz anlamına gelmeyecektir.
Sadece içeriği silinerek çalıştırılamaz hale gelecektir.
AntiX Menüleri 53
b) IDP Menülerinin Kullanımı
Intrusion Detection olarak algılanan dış ataklara karşı (ki bunlar ip atakları, DOS atakları ve spoof atakları gibi örneklenebilir.) cihazınız ile beraber almış olduğunuz IDP Icard ile aktiflediğiniz signature bazlı güvenlik aşağıdaki şekilde yapılandırılır.
Cihazınızda AntiX menüsü altındaki IDP menüsünde Enable işaretlenerek servis aktiflenir. Burada alt tarafta Lan subnetiniz yani iç networkünüz için fabrika çıkışında ayarlı olan LAN IDP profilinin çalıştığı görülmektedir.
Üstteki profile sekmesinden iç networkünüz için IDP servisi olarak tanımlı profile ulaşabilir, konu hakkında ayrıntılı bilgiye sahip iseniz edit edebilirsiniz. LAN_IDP olarak default tanımlı profilde bilinen atak tiplerinin çoğuna karşı tanım yapılmış ve aksiyon uyarma şeklindedir. Bu sebeple sadece ana menüdeki IDP’yi enable etmek bile tanımlı LAN_IDP profilini devreye sokacağından yeterli olacaktır. IDP
IDP hakkında ayrıntılı bilgi için bizlerle irtibata geçebilirsiniz.
AntiX Menüleri 55
c) Content Filter Uygulamaları
İç networkünüzdeki kullanıcıların internet erişimleri ile ilgili internet sayfalarının görüntülenmesi konusunda yönetimsel olarak Firewall’da 80 portu üzerinden LAN’dan WAN’a kısıtlama kuralı tanımlamak veya AppPatrol’da Common altından http trafiği ile ilgili kural tanımlamak her ne kadar bir çözüm olsa da, site bazlı şu kullanıcı grubu şu sitelere girebilsin, şunlara giremesin, şu kullanıcı grubu sadece şu sitelere girsin veya sınırsız yetkili grubum olsun şeklindeki talepler için tanım yapılacak adres Content Filter’dır. Burada AntiX menülerinde Content Filter menüsüne tıkladığınızda karşınıza gelen ilk ekran profillerin kullanıcı gruplarına atanacağı policy ekranıdır. Bu tanımda da anlaşılacağı üzere ilk olarak Content Filter profilleri tanımlamamız gerekir. Bunun için de profile tabını kullanacağız.
Add’a basarak yeni bir profil eklemek için giriş yapıyoruz. Karşımıza ilk gelen kısım kategori bazlı tanımların yapılacağı Category service kısmı. Burada filtreye bir isim veriyoruz. Alttaki kategoriler myzyxel.com tarafından tanımlanmış ve internet üzerindeki tüm sitelerin bu başlıklar altında sınıflandığı kısımdır. Burada yasaklamak istediğiniz kategorileri işaretliyoruz. Üst tarafta gördüğünüz kısımda ise bu seçilen kategorilerdeki sitelere rastlandığında ne yapılması gerektiğini bildiriyor ve loglarını tutup tutmamasını istediğimizi tanımlıyoruz. Buradaki matched web pages myzyxel.com veritabanında aşağıdaki kategorilerden birine göre sınıflandırılabilmiş siteler olarak ifade edilebilir. Unrated web pages alttaki kategorilerden herhangi birine girmeyen, sınıflandırılmamış bir siteyi ifade edebilir. When Content Filter Category Server is unavailable kısmı da CF sunucusuna ulaşılamadığı durumlarda internet erişiminin ne şekilde yapılması gerektiğine karşılık gelir. Burada content filter category sunucusuna ulaşılamadığı durumlarda bu filtre profiline tabi kullanıcıların internete çıkmamasını veya hiçbir kısıtlama olmadan çıkmasını block veya forward olarak tanımlayabiliriz.
Hangi kategorileri seçmeniz gerektiğine dair şüphe içerisinde iseniz, sayfanın alt tarafındaki kısımdan url adresini yazarak category sunucusundan sitenin categorisi hakkında sorgu yapabilirsiniz.
AntiX Menüleri 57
Burada yapacağınız sorgulama sonucu size milliyet.com.tr adresinin news/media category kısmına girdiğini belirtecektir. Bu kategori seçilirse tüm haber siteleri yasaklanacaktır. Kategori bazlı bu filtreleme bu şekilde çalışmaktadır. Bu tanımlardan sonra ayarları kaydedip profil menüsüne döneriz.
Burada Genel adıyla tanımlı profili seçip edit diyerek tekrar açalım. Kategori bazlı cihaz tarafından myzyxel.com veritabanından otomatik yapılan bu filtreleme dışında sizin de eklemek istediğiniz herhangi bir güvenilir site, yasaklı site veya keyword var ise Custom Service tabını kullanarak tanımlama yapabiliriz.
Örnek olarak veritabanında şirket siteniz veya sık kullandığınız bir site rate edilmemiş, herhangi bir kategoriye konmamış durumda ve siz category tarafında rate edilmeyen siteleri(unrated web pages) yasakla’yı seçtiniz. Bu durumda bu siteye filtrenin kategori bazlı kısmı erişimi engelleyecektir. Bu siteyi elle güvenilir site olarak eklemek için bu menüyü kullanabiliriz. Bu tanımdan sonra unrated web pages kısmı halen bloklanacak ama sizin güvenli sitelere eklemiş olduğunuz site kategorilendirilmemiş olmasına rağmen engellenmeyecektir.
Bir başka örnek news/media categorisini yasakladınız. Ama trusted web site kısmına www.milliyet.com.tr yi eklediniz. News/media kategorisindeki tüm siteler yasaklanacak fakat milliyet.com.tr güvenli siteler listesinde olduğundan bu kategoride olmasına rağmen yasaklanmayacaktır.
Tanımlamış olduğumuz (en azından kategori bazlı ayarlarını yapılandırdığımız) profilimizin edit ile içine girdiğimizde Custom Service kısmına basarak aşağıdaki ekranı açıyoruz.
AntiX Menüleri 59
Bu Custom Service menüsünün üst tarafında Allow web traffic for trusted web sites only şeklinde bir kısım mevcut. Bu filtreyi uygulayacağım kullanıcılar benim trusted web sites kısmına elle eklediğim adreslerden başka adrese girmesinler şeklinde yorumlanabilir. Sadece belirli sizin tanımladığınız sitelere girmesini istediğiniz kullanıcı gruplarınız yok ise (bu senaryo ile birebir örtüşen bir durum söz konusu değil ise) bunu işaretlemeyiniz. Zira bu seçenek işaretlendiğinde bu filtre profiline tabi kullanıcılar için, bu işlem tüm tanımlı kuralları ezecek ve sadece custom service kısmında trusted web sites kısmına ekli sitelere girebileceği için category bazlı yapılan tanımlamaların herhangi bir anlamı olmayacaktır. Sonrasında category bazlı filtreleme yapamıyorum şeklinde sıkça yapılan bu hata sonrası problem olarak karşınıza gelecektir.
Burada Custom Service’i de enable işaretleyerek yaptığımız kategori bazlı filtre profiline bizim de ekleme yapacağımızı bildiriyoruz. Sitelerin ActiveX kontrollerini, Java Appletleri ve Tracking Cookieleri eklemesini ve Proxy değiştirme çabalarını engellemek için Restricted WEB Features Kısmında gerekli kısımları işaretliyoruz.
Trusted web sites kısmına güvenilir siteleri yazıyoruz. Burada görüldüğü gibi milliyet.com.tr sitesi eklenmiş. Filtremizde bahsettiğimiz gibi news/category seçeneği seçilerek bu kategorilerdeki sayfalara girişi engellemiştik ama bu şekilde tanımlanırsa (kategori bazlı haber siteleri yasaklı, custom serviste bunun istinası olarak trusted web site’a siteyi eklersek) milliyet dışındaki tüm haber sitelerini yasakla demiş oluyoruz. Bir başka konfigurasyon da şöyle olsun NEWS/Media categorisi engellenecekler arasında seçilmemiş. Ama Profilin custom servis kısmında milliyet.com.tr yasaklı sitelerde (forbidden web sites kısmına) elle manuel girilmiş. Bu durumda da haber sitelerinin hepsine gir, milliyet.com.tr hariç demiş oluyoruz.
Profil tanımlamanın ayrıntılarını bir tarafa bırakıp tekrar senaryomuza dönelim.
Sıkı bir İçerik Filtreleme profiline tabi kullanıcılarımız ve full yetki ile internete çıkacak kullanıcılarımız olacağını bildirmiştik. Şu ana kadar sadece genel isimli
Burada kategori bazlı herhangi bir kutuyu işaretlemiyoruz ve custom servicede herhangi bir tanım yapmıyoruz. Kısacası herhangi bir kısıtlama yapmadık. Sadece Mudurler şeklinde isim verip enable ederek profili aktifliyoruz.
3. Filtre Profiline örnek olarak da son derece kısıtlı sadece yetkililer tarafından belirlenecek şirket web sitesi, vs. birkaç siteye girebilecek kullanıcılar için bir profil oluşturalım. Bunun için de aynı şekilde profil menusunde add’a basınız.
AntiX Menüleri 61
Daha önce de bahsedildiği gibi sadece Trusted Web Sites kısmına ekleyeceğim sitelere girilebilsin seçeneği tüm kuralları ezeceğinden Category bazlı herhangi bir tanım yapılmasına gerek yoktur. Direkt olarak Custom service kısmını açıyoruz. Burada bu profile bir isim verip Enable’ı işaretledikten sonra Allow Web Traffic for trusted web sites only kutucuğunu da seçiyoruz. Trusted Web Sites kısmındaki ADD butonunu kullanarak bu profile tabi tutulacak kullanıcıların girmesine izinli web sayfalarını ekleyiniz. Ayarları kaydedip bu 3. Profili de tamamlayınız.
Şu an 3 farklı kullanıcı tipimize uygulayacağımız içerik filtreleme profillerini ayrı
Açılan kural menüsünde Ipleri filtre profilleriyle eşleştirmemiz için ilgili alanlar bulunuyor. Biz senaryo gereği şöyle bir tanım yapıyor olacağız. Tüm networkümüze daha katı olan genel profilini uygula şeklinde bir kural ekledikten sonra, bu kuralın da üzerine belirttiğimiz full yetkili IP’lere Mudurler isimli profil kuralını uygula diyerek 2. bir kural ekleyeceğiz. Bir de müdürler grubundan olmasalar da farklı bir içerik filtrelemeye tabii tutulacak genel profilinin uygulanmayacağı sadece elle belirlenen sitelere girebilecek grup için hazırlanan 3. Bir profilimiz mevcuttu. Bu profili de ilgili grubuna atama yapacak kuralı da ekliyor olacağız.
Sonuç olarak 3 kullanıcı tipimiz mevcuttu. 3 adet profil oluşturduk ve ilgili IP objelerini bu profillere eşleyecek 3 adet policy kuralı oluşturuyor olacağız.
Burada ilk kural için Adres kısmını any’de bırakarak tüm subnetimiz için tanım yaptığımızı bildiriyoruz. Filter Profile’da da Genel isimli profili seçeceğiz.
AntiX Menüleri 63
Policy kısmında şu an bu kural eklenmiş olarak gözüküyor. 2. kuralımız için tekrar policy menüsünde ADD Butonuna basarak kural menüsünü açacağız. Burada adres kısmında create object seçilerek açılan popup menüsünde Mudurler profilini kullanacak full yetkili IP’lerin tanımını yapacağız.
Burada bu IP bloğuna tanımlayıcı bir isim verip belirli bir IP aralığı bildireceğimiz için RANGE’i seçip bu IP bloğunun başlangıç ve bitiş IP’lerini yazıyoruz. Burada tek bir IP tanımı yapıyor olsaydık RANGE yerine HOST seçilerek tanım yapacaktık.
Popup menüsünde OK ile ayarları kaydettiğimizde Adres Kısmında Serbest_
Mudurler kullanıcı grubu seçili olarak policy kuralına dönmüş olacağız. Filter profile’da da Mudurler isimli profili seçerek bu kuralı da kaydediyoruz. Benzer şekilde sadece şirket web sitesine izinli kullanıcıları da tanımlayıp bunlar için hazırlanmış olan profile eşleştiren üçüncü kuralı da benzer şekilde yapıyoruz.
Sonrasında general menüsüne döndüğümüzde ekran aşağıdaki şekilde olacaktır.
Burada policy kuralları gereği Zywall’a bir http trafiği paketi geldiğinde Content Filter servisi de aktif ise paketin kaynak adresine bağlı olarak uygun kural ile eşleşip o kuralda belirtilen Filtre uyarınca çıkışını sağlayacak veya reddedecektir.
AntiX Menüleri 65
(Bu noktada gene dikkat edilmesi gereken bu kuralların sıralamasıdır. Bir an için 3. kuralın üstte olduğunu düşünün. IntranetHariciYasaklilar veya Serbest_
Mudurler grubundan veya başka bir IP’den gelen trafik bu gruplar da LAN_
Subnet ifadesiyle kapsandığı için genel kurala uyacağından altında kalacak olan 2 tanımlı kuralın bir anlamı olmayacaktı.)
Cihaza gelen http talebi IntranetHariciYasaklilar diye tanımladığımız IP bloğundan ise 1 numaralı kural ile örtüşeceğinden Komple_Kisitli profiline uygun şekilde çıkacaktır. Bu grubun dışındaki bir IP’den talep gelirse 1 numaradaki kural ona hitap etmeyeceği için bir alt satırdaki kurala bakacaktır.
2. satırdaki kural ise tamamen serbest şekilde internette dolaşacak Müdürler grubu için hazırlanmış kuraldır. Buna göre gelen http talebi 1 numaralı kurala uymuyor ve 2 numaralı bu kurala uyacak şekilde Serbest_Mudurler olarak tanımı yapılmış IP’lerden gelirse bu kurala uygun şekilde hiçbir yasaklama olmayan Mudurler profiline tabi olacaktır.
3. satırdaki kural ise 1. Ve 2. Satırda bildirilen IP bloklarından olmayan ve dolayısıyla bu bloklara atanan profile ve kurala tabi olmayan iç networkünüzdeki kalan kullanıcıların tamamının kapsandığı kural olarak yerleştirilmiştir.
Content Filter ile ilgili son olarak birkaç şeye daha göz atmak gerekirse, Bu policyleri tanımlayıp Enable Content Filter’ı işaretleyip aktiflediğimizde İçerik filtrelemeyi belirttiğimiz senaryodaki kullanıcı tipleri ve bunlara uygulanacak filtre profilleri bazında devreye almış olacağız. Burada ayrıca Denied Access Message kısmında uygulanan content filterlar sebebiyle yasaklanan bir site olduğunda bu talebi yapan kullanıcı ekranında gözükecek uyarı mesajı girilebilir.
Örnek: ‘Ulaşmak istediğiniz site sistem yöneticiniz tarafından zararlı bulunmuştur.’ Redirect URL menüsünde ise herhangi bir URL adresi girişi
Son olarak Block web Access when no policy is applied seçeneğine değinmek gerekirse, bu kısım aktiflendiğinde eğer aşağıda policy kuralları herhangi bir Ip’yi içermiyor ve bu Ip’den bir trafik geldiyse, bu Ip’nin çıkışının engellenmesi içindir.
Kısacası bunu işaretleyip, aşağıda profil atamalarını yaptığım IP’ler dışında kurallarıma uymayan herhangi bir IP’nin internet çıkışını engelle demiş oluyoruz.
d) Anti-Spam Uygulamaları
AntiX menülerindeki bu kısım tamamıyla mail trafiği ile alakalıdır. Spam olarak ifade ettiğimiz istenmeyen maillerin kullanıcı inboxlarına ulaşıp ulaşmayacağı, ulaşırsa Spam addedilen maillerin Subject kısmına (SPAM) ibaresinin yerleştirilmesi gibi işlemler aktifleyeceğimiz AntiSPAM profili ayarlarıyla konfigure edilir. Burada genel profili incelemeden ilk olarak Anti-SPAM’ın ayrıntılı diğer menülerine bakalım.
AntiX Menüleri 67
DNSBlack list Checking kısmı,sizin www.dnsbl.org gibi bir dnsblack list sunucusundan aldığınız hizmeti cihaza tanımlamanız ve gelen mailleri bu sunucudaki veritabanına sorarak etiketleyip etiketlemeyeceğinizi belirlemek için kullanılır. Bu tip bir sunucudan alacağınız hizmet, size gelen mailin suffix kısmının (@zyxel.com.tr gibi) gerçekten de zyxel.com.tr domaininden gelip gelmediğini DNS kayıtlarından IP bazlı çözümleme de yaparak kontrol etmesi ve bunun karşılığında bu mail SPAM’dır veya değildir şeklinde cihaza bildirmesidir.
Bu noktada bu ekranda yapılacak ayarlar Enable DNS Black List Checking’in işaretlenip aktiflenmesi, DNSBL Domain List kısmında ADD’a basarak DNSBL hizmeti aldığınız sunucunun cihaza tanıtılması ve DNSBL sunucunuzdan Spam olduğu belirtilen mailler geldiğinde subject kısmına etiket eklemek için DNSBL Spam TAG kısmına subjectte gözükmesini istediğiniz ifadeyi yazmak olacaktır.
Fark edeceğiniz gibi bu menüde White List’i de seçerek aynı şekilde güvenilir adresler tanımı da yapılabilir. Örnek olarak bir müşterinizin mail adresinden gelecek maili bekliyorsunuz ama DNSBL sunucusundan aldığınız hizmet gereği müşterinizden gelecek bu mail adresi SPAM olarak algılanıyor ve siz de Zywall cihazınızda SPAM olarak sunucunuz tarafından algılanan mailleri iletmemeyi seçtiniz. Bu durumda beklediğiniz mail size hiç ulaşamayacaktır. Bunu engellemek için bu adresi güvenilir adreslere ekleyebilir ya da spam olarak ifade edilen mailleri etiketleyip göndermeyi seçebilirsiniz. Bu durumda beklediğiniz mail subject kısmında Spam etiketiyle beraber inboxınıza gelecektir. Eğer bu adresi whiteliste eklerseniz buradan gelecek mailler spam olarak zaten algılanmayacağı için extra bir ayar yapmanıza gerek kalmaz. ( Bu kısım sadece White List menüsünün kullanımı ve kullanım amaçları hakkında bilgi vermek içindir. SPAM olarak DNSBL sunucundan gelen veya karalisteden SPAM olarak algıla dediğiniz mailler geldiğinde Zywall’un cevabı hakkındaki ayarlar (inbox’a geçir, gönderme veya etiketleyip gönder gibi) aşağıda ayrıca anlatılacaktır.)
Kuralı oluştururken de belirli bir mail adresi veya adres grubu belirli bir subject içeriği gibi seçeneklerimiz olacak.
AntiX Menüleri 69
Biz zyxel.com.tr uzantılı mail adreslerinden gelen mailleri kara listeye ekleyelim.
Bunun için altta da görüldüğü gibi E-mail adres seçerek *@zyxel.com.tr şeklinde veya sadece zyxel.com.tr şeklinde tanımı yapıyoruz.
Bu ayarları kaydedip karalisteye bir kural eklemiş olduk. Karalisteyi de kontrol edecek şekilde profili akiflediğimizde @zyxel.com.tr uzantılı tüm kullanıcı mailleri spam olarak algılanacaktır.
Bunun için Anti-Spam menüsünün general tabında Enable Anti-spam seçeneğini işaretleyerek aktif duruma getiriyor ve yeni bir profil eklemek için Policy summary kısmında ADD’a basıyoruz.
DNSBL Checking kısmında cihazı nasıl bir harici sunucudan Spam kontrolü hizmeti alacağına dair tanımlamayı anlattık. Black\White List menülerinin kullanımı ve kullanım amaçlarından bahsettik. Şimdi de yapmış olduğumuz ayarlar sonucu spam olarak algılanan maillerin ne şekilde işlem göreceğine dair profil tanımına bakalım.
ZyWALL’un Yedeklenmesi 71
Bu menüde Anti-spam profilini aktiflemek için Enable policy’i işaretleyip kayıtlarını tutmak istiyorsak log’u seçiyoruz. E-mail direction kısmı from any to any olarak karşımıza geliyor. Bunun anlamı içeriden dışarıya veya içeriden içerideki bir başka kullanıcıya mail atmak istediğimizde veya dışarıdan içeriye bize bir mail geleceği kısımda Anti-spam’ın devrede olacağıdır. SMTP sunucumuz dışarıda ise POP3 protokollerini incele diyerek seçimimizi yapıyoruz. Tarama özelliklerinde daha önce ayrıntılı ayarlar olarak bahsettiğimiz DNSBL checking, Black List ve White List menülerinde yapılandırdığımız ayarları da göz önüne al veya dikkate alma diyebiliyoruz. Actions for Spam-mail kısmında SMTP ve POP3 üzerinden gelecek mail spam olarak algılandıysa cihazın ne şekilde davranması gerektiğini tanımlıyoruz. Burada Drop deyip SPAM maillerin inbox’a düşmesini engelleyebilir (ki bu spam olarak yanlışlıkla nitelendirilen fakat beklediğimiz bazı maillerin de bize ulaşmasını engellemiş olacak), forward seçilerek işlem yapmadan bu maillerin de iletilmesini veya Forward with tag seçilerek subject kısmına etiket ekleyerek mailbox’a uyarıyla beraber düşmesini sağlayabiliriz.
Anti-Spam ile ilgili ileri düzey ayarlar hakkında bizlerle irtibata geçiniz.
Zywall cihazınız üzerinde birçok ayar yaptınız ve cihazın yedeğini almak
9. ZyWALL’un Yedeklenmesi,
Resetlenmesi, Reset Sonrası
Ayarlarının Dönülmesi ve FW
Upgrade İşlemi Hakkında
Cihazınızı bir sebeple resetlediğinizi varsayalım. Örnek olarak iç networkünüzde 10.0.0.0 subnetini kullanıyorsunuz. Ve Zywall’un GE1 bacağına 10.0.0.254 IP’sini vermiştiniz. Cihaza bu IP’yi yazarak bağlanıyordunuz ve şifrenizi de değiştirmiştiniz. Cihaz fabrika ayarlarına döndüğü için cihaz arayüzüne GE1 bacağına 192.168.1.1 ile ulaşacağınızı ve cihaz şifresinin admin 1234 olacağını unutmayınız. File managerdan startup-config.conf dosyasını döndükten sonra her şey tekrar eski haline gelecek ve cihaza değişmiş IP’niz ve şifreniz ile ulaşacaksınız.
Burada Configuration File tabında 3 adet .conf uzantılı dosya görüyorsunuz.
Bunlardan system-default.conf cihazın ilk açılırkenki fabrika çıkış ayarlarıdır.
Lastgood.conf cihazın başarılı bir başlangıç işleminden sonra kaydedilmiş ayarlardır. Windows işletim sistemlerindeki bilinen ve düzgün çalışan son ayarlarla çalıştır gibi algılanabilir. Cihaz boot ederken bu dosyayı çalıştırdıktan sonra tüm ayarlarınızın olduğu startup-config.conf dosyasını çalıştırır. Bu dosyanın yedeğini almak; yapmış olduğunuz tüm ayarları olası bir problem sonucu cihazı resetledikten sonra ayarlarınızı geri dönmek için yeterli olacaktır.
Bunun için startup-config.conf dosyasına tıklayıp download butonu yardımıyla dosyayı bilgisayarınıza kaydediniz. Herhangi bir anda bu dosyadan ayarlarınızı geri almak için; alttaki upload configuration file kısmında Browse butonu yardımıyla bu dosyanın bilgisayarda kaydetmiş olduğunuz yerini göstererek upload butonuna basarak işlemi başlatınız. Bu noktada cihaz size mevcut conf.
dosyasının değiştirileceğini bildirip, üzerine yazılmasını onaylayıp onaylamadığınızı soracaktır. Cihaz tekrar açıldığında ayarlarınız yeniden geri gelmiş olacaktır.
ZyWALL’un Yedeklenmesi 73
Cihazınızı resetlemek için cihazın ön panelinde bulunan reset butonuna sivri uçlu bir nesne ile power led’i hızlıca yanıp sönmeye başlayana kadar basılı tutabilirsiniz. Aynı zamanda cihazın arayüzüne ulaşabiliyorsanız, yazılımsal olarak reset işlemini file manager’daki system-default.conf dosyasını çalıştırarak da yapabilirsiniz. Bunun için system-default.conf dosyasını seçerek Apply run butonuna basınız. İşlem sonrası cihaz fabrika ayarlarına dönecektir.
Cihaza ait yeni güncellemeler FW dosyası olarak tanımlanan .bin uzantılı dosyalarda bulunur. Bu FW’lere ftp.zyxel.com ve ftp.zyxel.com.tr adreslerinden ulaşabilirsiniz. Bu bin dosyalarını cihaza atmak için öncelikle yukarda belirttiğimiz şekilde cihaz ayarlarınızın yedeğini alınız. Sonrasında Firmware Package tabındaki browse ve upload butonları yardımıyla bahsedilen sitelerden bilgisayarınıza kaydetmiş olduğunuz ilgili .bin uzantılı dosyayı gösteriniz ve çalıştırınız. FW upgrade işlemi cihaz ayarlarınızda değişikliğe yol açmaz, cihazın kendi yazılımını güncellemeye yarar. Bu noktada işlem sonrası cihaza erişim her zamanki ayarlarınızla olacaktır. Cihaz arayüzünü açtığınızda status menüsündeki Firmware kısmından cihazın FW’inin değişip değişmediğini, işlemin başarılı olup olmadığını kontrol edebilirsiniz.
FW upgrade’i sonrası cihazı bahsedilen şekillerden biriyle resetlemeniz ve sonrasında kaydetmiş olduğunuz ayarlarınızı geri dönerek işlemi tamamlamanız önerilir.
LOG Menülerinin Kullanımı 75
Zywall cihazındaki trafiği gözlemlemek için cihazın tuttuğu logları kendi menüsü içerisinden görüntüleyebilir, mail adresinize mail olarak belirli aralıklar ile gönderilmesini sağlayabilir veya cihazla birlikte gelen VANTAGE Report yazılımını kuracağınız bir PC’de saklayabilirsiniz.
İlk olarak cihaz menülerindeki log menüsüne bakalım.
10. LOG Menülerinin Kullanımı ve
VANTAGE Report Programının
ZyWALL’daki Ayarları
Maintenance menüsü altındaki log menüsünü açtığımızda yukarıdaki ekran karşımıza gelecektir. Burada Display kısmından görüntülemek istediğiniz trafik tipini seçebilirsiniz. Ayrıca Show Filter butonuna bastığınızda gelecek olan seçeneklerden görüntülemek istediğiniz logları filtreleyebilirsiniz. Örnek olarak lokaldeki belirli bir IP’nin dolayısıyla bu IP’ye sahip kullanıcının Pc’sinden oluşturulan veya bu Pc’ye giden trafiğini gözetlemek istiyor isek show filtera bastıktan sonra karşımıza gelecek olan menüden source (kaynak) adress veya destination (hedef) adres kısmına bu IP’yi yazarak sadece bu IP’den oluşan trafiğin loglarının görüntülenmesini sağlayabiliriz.
Cihaz loglarını mail ile veya Vantage Report yazılımı ile başka bir ortama aktarmak için Configuration menusu altındaki Logs&Report alt menusunun log setting tabını kullanacağız.
LOG Menülerinin Kullanımı 77
