ZyWALL USG Kurulum ve Kullanım Kılavuzu USG 1000

Transkript

1 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu USG 1000

2 2 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu İçindekiler Cihazı Tanıyalım USG Cihaz Arayüzüne Erişim Internet Bağlantısı Ayarları 09 Senaryo 1 09 Seneryo WAN Trunking (Birden Fazla WAN IP sini cihazda sonlandırmak ve Yük Paylaşımı) Güvenlik Servislerinin Aktiflenmesi Port Yönlendirme ve Firewall VPN Kurulumu 36 a) IPSEC VPN Kurulumu AppPatrol Uygulamaları AntiX Menüleri 47 a) Anti Virus Tanımlamaları 47 b) IDP Menülerinin Kullanımı 51 c) Content Filter Uygulamaları 53 d) Anti-Spam Uygulamaları ZyWALL un Yedeklenmesi, Resetlenmesi, Reset Sonrası Ayarlarının Dönülmesi ve FW Upgrade İşlemi Hakkında LOG Menülerinin Kullanımı ve VANTAGE Report Programının ZyWALL daki Ayarları ZyWALL a Bağlanacak Bir AP ile Kablosuz Kullanıcılarına Internet Sağlanması 75

3 İçindekiler Yerel Ağdaki PC lerin Iplerini Sabitlemek (IP-MAC Binding) Uyumlu ZyXEL LogAnalyzer Programı İçin ZyWALL da Yapılması Gerekenler DHCP Firewall Log Settings 81

4 4 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Cihazı Tanıyalım USG 1000 Cihazınızda 5 adet Ethernet Portu mevcuttur. Portlar değişken ve fabrika çıkışındaki atamaları aşağıdaki şekilde yapılandırılmıştır. Ge1 İç Networkünüze (LAN1) switch üzerinden ağ paylaşımı yapacağınız 1.Port, fabrika çıkış IP sine sahip ve den başlayarak iç Networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. Ge2 1. Internet bacağı, bu fiziksel Port üzerinde ge2_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır. Ge3 2. Internet bacağı, bu fiziksel Port üzerinde ge3_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır. Ge4 İç Networkünüze (DMZ1) switch üzerinden ağ paylaşımı yapacağınız 2. Port, fabrika çıkış IP sine sahip ve den başlayarak iç Networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. 2. Bir lokal subnet ihtiyacınız var ise bu Port üzerinden işlem yapabilirsiniz. Ge5 İç Networkünüze (DMZ2) switch üzerinden ağ paylaşımı yapacağınız 3. Port, fabrika çıkış IP sine sahip ve den başlayarak iç Networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. 3. Bir lokal subnet ihtiyacınız var ise bu Port üzerinden işlem yapabilirsiniz. Görüleceği üzere cihazınızda 2 adet WAN Portu olarak kullanılabilecek Port (2. ve 3. Portlar) ve 3 adet farklı amaçlarla LAN Portu olarak kullanılabilecek Port (1. Port ve 4 ile 5. Portlar) bulunmaktadır.

5 Cihazı Tanıyalım 5 Özellikle web server, file server, mail server gibi dışarıya da açık sunucularınıza ulaşan harici kullanıcıların iç Networkünüze de ulaşma riskine karşı bu sunucuları gruplayıp DMZ bacağına bağlamanız önerilir. DÖKÜMANDA KULLANILAN SCREENSHOTLAR USG 100 DEN ALINMIŞTIR. CİHAZ ARAYÜZLERİ TAMAMEN AYNIDIR. SADECE USG 100 DEKİ INTERFACELERIN KARŞILIĞI USG300 VE USG 1000 DE FARKLILIK GÖSTERMEKTEDİR. Interfacelerin karşılıkları (cihaz modeline göre değişen isimleri ve Port numaraları) aşağıdaki tabloda belirtilmiştir. Cihaz Cihaz Cihaz Cihaz USG100 Port USG200 Port USG300 Port USG1000 Port Lan1 3-4 Lan1 4 Ge1 1 Ge1 1 Lan2 5 Lan2 5 YOK Wan1 1 Wan1 1 Ge2 2 Ge2 2 Wan2 2 Wan2 2 Ge3 3 Ge3 3 OPT Yok OPT 3 OPT Yok OPT Yok DMZ 6 DMZ 6 DMZ1/DMZ2 5-6 DMZ1/DMZ2 4-5 Wan1_ppp wan1 Wan1_ppp wan1 Ge2_ppp ge2 Ge2_ppp ge2 Wan2_ppp wan2 Wan2_ppp wan2 Ge3_ppp ge3 Ge3_ppp ge3 Opt_ppp opt YOK YOK YOK YOK Tabloda anlatılan örneğin 1.satırda USG 100 de LAN1 diye ifade edilen interface in USG 200 de de LAN1 olarak tanımlı olduğu, USG 300 ve USG 1000 de ise ge1 olarak tanımlandığıdır. Ayrıca görüleceği üzere Lan1 için ayrılmış olan Port; USG 100 de 3. Veya 4. Port iken USG 200 de 4. Port, USG 300 ve 1000 de 1. Porttur. Cihaz kurulumu sırasında Lan1 ifadesinin geçtiği durumlarda dikkat edilmesi gereken; Cihaz USG 100 veya 200 ise cihaz arayüzünde de Lan1 olarak interface in gözükeceği, ama USG 300 veya 1000 ise ge1 in kastedildiğidir. Benzer şekilde Public Ip nizi wan1_ppp de sonlandırınız ifadesiyle bahsedilen interface; USG 100 ve 200 de wan1_ppp interface ini, USG 300 veya 1000 de ge2_ppp interface ini göstermektedir.

6 6 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 1. Cihaz Arayüzüne Erişim USG cihazınızın kurulumu için herhangi bir PC ye Networkünden bir statik IP verdikten sonra bu PC ile ZyWALL cihazınızın LAN1 Portunu (ge1) bir Ethernet kablosu ile bağlayınız. Browserınıza yazarak cihazın ara yüzüne ulaşınız. Sertifika ile ilgili uyarı ekranı karşınıza gelirse devam et ile kullanıcı adı şifre ekranına ulaşabilirsiniz.

7 Cihaz Arayüzüne Erişim 7 Cihazın fabrika çıkış ayarlarınca kullanıcı adı admin ve şifresi 1234 dür. Giriş yaptıktan sonra karşınıza gelen ekrandan cihazın şifresini değiştirebilirsiniz.

8 8 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Dashboard menüsünde sizi aşağıdaki ekran karşılayacaktır. Bu menude cihazınızın ön panelindeki Portların durumu; cihaz bilgileri(isim, Mac Adresi, Seri No, FW), cihazın sistem kaynakları, DHCP, SSL VPN kullanıcılarına ait bilgiler, Sistem Saati ve Ayakta Kalma Zamanı, Cihaz üxerinde çalışan lisansı servislerin durumları gibi bilgiler yer almaktadır. Burada sol taraftaki menülerde cihazın farklı ayarlarının yapıldığı menüler bulunmaktadır. Sağ taraftaki geniş ekransa bu soldaki menülere tıklandığında o menüyle ilgili ayarları karşınıza getirir. Sağ üst köşede de menüler ve cihazla ilgili yardım dosyalarına ulaşacağınız veya sihirbazlar ile kolay kurulum yapabileceğiniz ikonlar bulunmaktadır. ZyWALL un ilk olarak Network ayarlarını yapmak için soldaki menülerden Configuration menusunde Network altındaki Interface menüsünü kullanacağız. İlk olarak iç Networkünüzdeki PC lerin IP lerini, gateway veya DNS bilgilerini değiştirmek istemiyor iseniz, cihazı Networkünüze uydurmak için ZyWALL un iç Networkünüze bağlantısını yapacak olan LAN bacağını edit ederek istediğiniz IP bloğuna çekiniz. Burada değişiklik yaptıktan sonra, cihaza yeni IP sinden ulaşmanız gerekeceğini unutmayınız.

9 Internet Bağlantısı Ayarları 9 2. Internet Bağlantısı Ayarları INTERNET Modem Switch Public (WLAN) IP Private (LAN) IP PC ler ZyWALL cihazınız öncesi yapınız; yukarıdaki şemada anlatılan; modeminizin sizi Internete bağlayan WAN IP sini aldığı ve arka tarafta da private Networkünü kullandıran sadece modem üzerinden kullanıcılara Internet sağladığınız basit bir ağ olarak algılanabilir. Yukarıdaki Networke ilave edilecek ZyWALL un kurulumu ve Internet ayarları 2 senaryo halinde gösterilecektir. Senaryo 1 INTERNET Modem Firewall Switch PC ler Bu senaryoda Modeminizi DHCP sunucu özelliğini kapatarak operasyon modunu bridge (köprü) moduna alacağız. Interneti ZyWALL cihazında sonlandırıp WAN IP mizi ZyWALL un almasını sağlayacağız. Burada görüleceği gibi PC ler otomatik veya statik IP kullanıyor ve gatewayleri olarak girili ise bir başka deyişle iç Networkte x gibi Ipler kullanılıyor ise, ZyWALL bu senaryoda devreye alındığında PCler tarafında herhangi bir değişikliğe gerek kalmayacaktır.

10 10 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Modemi bridge mode a almak için Networkünden bir IP yi statik olarak konfigurasyonları yapacağınız PC ye veriniz. PC ile modemi bir Ethernet kablosuyla biribirine bağlayınız ile modem arayüzüne giriniz.

11 Cihaz Arayüzüne Erişim 11 ZyXEL modemlerde bu işlem; Yerel Alan Ağı DHCP Kurulumu menüsünden ilk olarak DHCP nin hiçbirine çekilmesi, 2. olarak Geniş Alan Ağı menüsünden de modu köprüye çekip kapsüllemeyi RFC1483 olarak yapılandırılması ile gerçeklenir. Farklı marka modemlerde bu işlemleri gerçeklemek için üreticilerinden bilgi alınız. Modemi bridge mode a aldıktan sonra modem artık Layer3 bazlı herhangi bir trafikten anlamayacaktır. Modemin halen IP si mevcuttur. Fakat bu IP yalnızca direk olarak modeme bağlı aynı subnetten IP ye sahip bir PC den modeme ulaşmak için kullanılabilir. Modem artık yalnızca telefon hattı üzerinden gelen sinyali ethernete çevirmekten ve bu sinyali ZyWALL a iletmekten sorumludur. Modemden kullanıcılara giden kabloyu ZyWALL un GE2 bacağına (ge2) takınız. 1. Porttan (ge1) da bir kablo ile ZyWALL u PC nize bağlayınız ile ZyWALL un arayüzüne bağlanınız. Burada Configuration-Object-ISP Account menüsü altındaki ge2_pppoe_account satırına tıklayarak edit butonuna basınız.

12 12 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Karşınıza gelen ekranda servis sağlayıcınızdan aldığınız kullanıcı adı şifre bilgilerini ilgili alanlara yazınız. Bu ayarları kaydettikten sonra Configuration-Network-Interface menusundeki PPP tabına tıklayınız. Burada ge2_ppp interface ini seçerek Edit e basınız.

13 Cihaz Arayüzüne Erişim 13 Karşınıza gelen pencerede Enable Interface i işaretledikten sonra, Nailed-UP Bağlantı tipini seçip ISP Setting kısmında biraz önce servis sağlayıcıdan aldığınız kullanıcı adı şifre bilgilerinizi girdiğiniz ge2_pppoe_account objectini seçiniz.

14 14 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Ayarlarınızı kaydettikten sonra ge2_ppp aktif ve bağlı olarak gözükecektir. GE2_ppp interface inizin WAN IP nizi alıp almadığını Monitor-System StatusInterface menusundeki Interface Summary bölümünden kontrol edebilirsiniz.

15 Cihaz Arayüzüne Erişim 15 Eğer bağlantı sağlanamadıysa tekrar Network menusundeki ge2_ppp menusune gelerek bu interface i seçip connect butonu yardımıyla tekrar bağlanmayı deneyiniz. 2.bir DSL hattınız ikinci bir modeme bağlı ise aynı işlemi yapmak üzere bu modemin de DHCP sini kapatarak, modemi bridge e alınız ve bu modemden çıkan kabloyu WAN2 (ge3) bacağına 3. Porta takarak yukarda bahsedilen işlemleri bu sefer ge3_ppp için yaparak, 2. WAN IP sini de GE3_ppp interfaceine aldırabilirsiniz. WAN IP sini aldıktan sonra Internete çıkışta problem yaşıyor iseniz, ZyWALL un ge1 1 Nolu bacaktan iç Networkünüze IP dağıtırken kullanıcılara vermiş olduğu DNS leri değiştirmeniz ve cihazın route tanımlamaları ile ilgili bir problem olup olmadığını kontrol etmeniz önerilir. Cihazın DHCP sunucu olarak Ip dağıtacağı sırada vermiş olduğu DNS leri elle değiştirmek için Ethernet menusunden LAN1 interface ini (ge1) edit ederek aşağıdaki ekrana ulaşırız;

16 16 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada cihazın Lan bacağından iç Networkünüze DHCP sunucu özelliği ile dağıtacağınız IP lerle beraber atanacak DNS sunucuları bilgilerini ilgili ekrana yazınız.

17 Cihaz Arayüzüne Erişim 17 Cihazın rota tanımlarını kontrol etmek için Configuration_Network_Routing menüsündeki Policy route tablosunu inceleyeceğiz. Burada incoming kısmında GE1 i gördüğünüz komut satırında Next-Hop olarak WAN TRUNK gözükmektedir. Mouse unuzla TRUNK ın üzerine gelince bu yapıya üye interfaceler ve yapının çalıştığı algorithma görüntülenebilmektedir. Normalde bu rota WAN IP sini aldığınızda Internet bağlantınızın sağlanması için yeterlidir. Zira yukarda bahsedildiği şekilde Internet ayarınızı yaptıysanız, WAN IP nizi alan ge2_ppp interface i de bu yapıya dahildir. Internete çıkışta problem yaşıyorsanız, bu kuralı edit ederek, next-hop u interface ge2_ppp olarak değiştirerek rotayı TRUNK yapısından çıkarıp diğer interfacelerin de talep sırasında kontrolünü ve cihazın boş yere yükünü engelleyebilirsiniz.

18 18 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Problem yaşamanızın başlıca sebebi olarak Bridge(köprü) moduna aldığınız modemin DHCP sunucu özelliğini kapatmamış olmanız gelmektedir. Bu durumda Modemin IP bazlı işlemleri anlayamamasına rağmen, bağlı olduğu WAN1 (ge2) bacağına bir IP aldırdığını göreceksiniz. TRUNK yapısında da hem ge2 hem ge2_ppp olduğundan herhangi bir yere gitmese de bağlı gözüken WAN1 bacağından (ge2) da trafiği çıkarmaya çalışacak ve paket kaybı sebebiyle bağlantı problemi yaşayacaksınız. TRUNK yapısı ileriki sayfalarda ayrıca anlatılacaktır. Bu route kuralı içerisinde next-hop kısmında Type Interface e, Interface de ge2_ppp ye çekerek kaydediniz. Internet bağlantısı sağlanmıştır. 1. Porttan çıkan kabloyu switche ve onun üzerinden de PC lere bağlayabilirsiniz. Dikkat edilirse, bu senaryoda Cihazın LAN bacağı (1. Port ge1) ile ilgili herhangi bir ayar yapmadık. Fabrika ayarlarınca bu bacağın IP si dir ve bu arayüze bağlanacak IP lere den başlayarak otomatik olarak IP dağıtılacaktır. Talep edilirse Network Interface menüsünde Ethernet tabına gelinerek ge1 edit butonu ile düzenlenebilir. İç Networkte farklı bir IP bloğu ve dolayısıyla farklı DHCP ayarları, elle DNS girişleri yapılabilir.

19 Cihaz Arayüzüne Erişim 19 Senaryo 2 Burada Interneti sonlandırmış olduğunuz modemin operasyon modunda değişiklik yapmadan ZyWALL u modem ile kullanıcılar arasına yerleştireceğiz. ZyWALL öncesi senaryoyu hatırlayalım INTERNET Modem Switch Public (WAN) IP Private (LAN) IP PC ler ZyWALL sonrasında INTERNET Modem Firewall Switch ge2 ge PC ler Dikkat edileceği üzere iç Networkte PC lerin kullandığı Ip bloğunu değiştirmemek için modemde ve modemin ZyWALL a bağlantısı olan GE2 bacağı arasında gibi 2. bir Network tanımı yapılmıştır. Modemin LAN IP sini IP sine çekip ayarları kaydettikten sonra cihazınızın Configuration_Network_Interface_Ethernet menüsünden bu sefer cihazın modeme bakan bacağı olan WAN1(ge2) interface ini yapılandıracağız. Burada wan1(ge2) i seçerek edit butonuna basarak ge2 arayüzüne ulaşıyoruz.

20 20 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada Use Fixed IP Adres kısmını işaretleyerek modemin IP bloğundan bir IP yi WAN1 (ge2) için giriyoruz ve gateway olarak da modemin IP si olan i kullanıyoruz. OK ile ayarları kaydediyoruz. PC lerin otomatik olarak alacağı IP bloğunu ZyWALL un LAN1(GE1) bacağına verdikten ve Modem ile de ZyWALL un bağlantısını sağlayan WAN1(ge2) bacağını modem ile aynı bloktan bir IP tanımladıktan sonra yapılması gereken işlem; ZyWALL un Lan1(ge1) bacağına gelen trafiğin WAN1(ge2) e oradan da modeme ve Internete ulaşabilmesi için bir yönlendirmedir. Bunun için Network menüsü altından Routing menüsü kullanılarak policy route girişi yapılacaktır.

21 Cihaz Arayüzüne Erişim 21 Burada incoming kısmında lan1(ge1) gözüken otomatik kural satırını edit butonu kullanılarak değiştireceğiz.

22 22 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Bu menüde next-hop kısmında Type kısmını Trunk dan Interface e çekip alttaki Interface kısmında da wan1(ge2) i seçip ayarları kaydediyoruz. Cihazınız belirtilen senaryoda LAN1(ge1 1. Port) arayüzüne gelen kendi iç Ipleri dışındaki trafiği WAN1(ge2) bacağına yönlendirmiştir. Ge2 bacağının da gateway i modem IP si olarak yapılandırıldığından Internet erişimi sağlanmıştır. Artık LAN1(ge1) bacağından PC nize bağlı kabloyu switche ve onun üzerinden PC lere aktarım yapabilirsiniz. Bu senaryo kurulum ve ayarlar bakımından daha basit gözükse de önerilen bir kurulum değildir. ZyWALL cihazlarının session kapasitesi normal modemlerden yüksek olduğundan modemi bridge mode a alıp Interneti ZyWALL da sonlandırmak daha yaygın kullanımdır. Örnek olarak Port yönlendirmede de bu senaryo sıkıntılara yol açabilir. Mesela iç Network dışından içerideki bir sunucuya Remote Desktop bağlantısı yapılmak isteniyor. Bu durumda dışarıdan içeriye doğru tüm Portların modemde ZyWALL un WAN IP(ge2) sine yönlendirilmesi gerekecek ve ZyWALL da da sunucu IP sine yönlendirme tanımlamaları ayrıca yapılmak zorunda kalacaktır. Bir başka problem de VPN de ortaya çıkabilir. ZyWALL un terminator olarak yapılandırılmak istendiği bir senaryoda ZyWALL üzerinde VPN tünelini sonlandırmak için modemin VPN passthrough özelliği olmalıdır. Aksi takdirde tünel kurulamaz. Her şeye rağmen bu konfigurasyon ile ZyWALL u yapılandırır iseniz bahsedilen problemlerin aşılması konusunda yapılması gereken ileri düzey ayarlar ile ilgili ayrıntılı destek için bizlerle irtibata geçiniz. Eğer WAN IP sini 1. Senaryoda anlatıldığı üzere ZyWALL almış olsaydı, bu problemler ile uğraşmak zorunda kalmayacaktık. Cihazın kurulumunun ilk kısmı olan Internet bağlantısı şu ana kadar anlatılmıştır. Cihazın ileri düzey ayarlarıysa aşağıdaki başlıklar altında incelenecektir. Bu noktadan sonraki ayarlar her iki senaryo için ufak tefek farklar dışında aynıdır. Biz aşağıdaki tanımlamaları modemlerin bridge mode da olduğunu ve gerçek Ip nin ZyWALL un ge2_ppp interface inde sonlandırıldığını kabul edeceğiz. Değişiklikler fark edeceğiniz üzere modemin bridge modeda olduğu 1. Senaryo için kurallarda cihazın Internet bağlantısı olan ge2_ppp ve/veya ge3_ppp nin, 2. Senaryo için ise ge2 ve/veya ge3 nin kullanımından ibarettir. Bu andan itibaren 1. Senaryoya göre anlatılacak ayarlarda 2. Senaryoyu kullanıyorsanız ge2_ppp nin yerine ge2 ve ge3_ppp nin yerine ge3 seçmeniz yeterli olacaktır.

23 WAN Trunking 23 ZyWALL cihazınızda WAN IP sini aldırıp halen Internete çıkamıyorsanız, aşağıdaki inkte ifade edilen adımları kontrol ediniz. #SORU29 3. WAN Trunking (Birden Fazla WAN IP sini Cihazda Sonlandırmak ve Yük Paylaşımı) Birden fazla ADSL hattınızın olduğu bir ortamda bu hatları ZYWALL da sonlandırıp yük paylaşımı yapmak istediğinizi düşünelim. Her iki hat için de WAN ayarlarını yaptıktan sonra Network_Interface menüsü altındaki Trunk tabına geliniz.

24 24 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada WAN_TRUNK satırının edit ile ayrıntılı ayarlar menüsüne giriş yapınız. Burada bu trunk a dahil olan interfaceler ve bu trunkın kullanacağı algoritma seçilebilir. Interfacelerden WAN çıkış noktalarımızı seçerek (Yukarda anlatılan senaryolara uygun olarak ge2_ppp ve ge3_ppp veya ge2 ve ge3 dışındakileri silebilirsiniz.) algoritmayı da tanımlayıp ayarları kaydediyoruz. Burada; Least Load First (Müsait Band genişliği en yüksek olandan çık.), Spill Over (Sıralamada öncelikli Interface in tamamı kullanılmadan diğer interface den çıkma.) Weighted Round Robin (Çıkış Önceliği belirle.) algoritmalarından netwokünüze uygun olacak olan algoritmayı seçiniz. 1. Hattın düşmesi durumunda 2. Devreye girsin şeklinde tanım yapmak isteniyor ise 1. Hattı(ge2_ppp/ge2) active, 2. Hattı(ge3_ppp\ge3) da passive olarak seçmek gerekmektedir. Bu noktadan sonra iç Networkünüzden LAN1 e (ge1) gelecek trafiğin tanımlı algoritma çerçevesinde trunktan çıkmasını sağlamak için Network_Routing menüsünden policy route u da kontrol etmemiz gerekiyor. Burada ilgili Network için tanımlı kuralda next-hop Trunk ve Trunk da ayarlarını yaptığımız WAN_TRUNK seçili olmalıdır. Değilse edit butonu ile ayarları düzeltiniz.

25 WAN Trunking 25 Trunk yapısı bazı noktalarda sizlere problem çıkarabilir. Gov uzantılı siteler ve banka sitelerine girişte trunking devredeyken siteye gönderdiğiniz paketlerin bir kısmı GE2/GE2_PPP gerçek IP nizden bir kısmı da GE3/GE3_PPP gerçek Ip nizden sunuculara geldiğinde bu paketleri güvenlik gereği discard edebilirler ve bağlantı problemleri yaşayabilirsiniz. Bunun için policy route menüsüne GE1 için geçerli rota kuralının üzerine sadece https servisini belirli tek bir interface den (GE2_ ppp/ge2 veya GE3_ppp/GE3) çıkaracak şekilde bir next hop tanımı yapılmalıdır. Trunking ile ilgili ileri düzey ayarlar ile ilgili bizlerle irtibata geçiniz.

26 26 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 4. Güvenlik Servislerinin Aktiflenmesi Cihazınız ile birlikte satın almış olduğunuz AV,CF ve IDP gibi servisleri ilk defa aktiflemek için ilk olarak, Licensing menüsü altındaki Registration tabı kullanılarak cihazınızı talep ettiğiniz bir kullanıcı adı ve şifre ile myzyxel.com veritabanına kaydettirmeniz gerekmektedir. Bu ayarları yapar iken bu servislerin trial versiyonlarını da seçerek 1 aylık servisleri ilk aşamada yapılandırabilirsiniz. Kayıt ettirdiğiniz cihazda aktiflediğiniz servislerin içeriğinin güncellenmesi için Update menüsünden otomatik veya manuel update işlemlerini yapabilirsiniz. Deneme sürümleri kullanım süresini aşınca cihazınızla gelen servislerin orijinal lisans anahtarlarını girerek 1 yıllık korumanızı aktifleyebilirsiniz. Bunun için Licensing-Registration menüsündeki Services tabını kullanabilirsiniz.

27 Güvenlik Servislerinin Aktiflenmesi 27 Burada License Key kısmına elinizdeki ürün anahtarlarını girerek update butonuna basarak Icard larınızla satın almış olduğunuz lisanslı servislerinizi aktifleyebilirsiniz. Cihazınızı resetlemeniz ve yeniden kurmanız gerektiğinde lisans işlemleri için tek yapmanız gereken; Internet bağlantısını sağladıktan sonra Licensing-Services tabındaki Service License Refresh butonuna basarak cihaz üzerinde aktiflediğiniz servislerin son durumunu otomatik olarak güncellemektir. Myzyxel.com hesabınızın kullanıcı adını biliyor ve şifrenizi unuttuysanız, sitesine kullanıcı adınızı yazıp şifremi unuttum seçeneği ile bu hesabı açarken kullandığınız mail adresine şifrenizin iletilmesini sağlayabilirsiniz. Hem kullanıcı adı hem şifrenizi unuttuysanız adresine durumu açıklayan bir mail ile bu hesapla kaydettirmiş olduğunuz cihazınızın MAC adresini ve seri numarasını iletiniz. Seri numarası ve MAC adresini cihazın arayüzünde status menüsünden veya cihazınızın altındaki barcode dan kontrol edebilirsiniz. Registration işlemleri ile ilgili yaşadığınız problemler ile ilgili aşağıdaki linkte verilen adımları kontrol ediniz veya bizlerle irtibata geçiniz. #SORU30

28 28 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 5. Port Yönlendirme ve Firewall ZyWALL üzerinde Port yönlendirme işlemleri için Network_NAT menüsü kullanılır. Örnek olarak içerideki bir sunucuya iç Network dışından bir Uzak masaüstü bağlantısı yapacağımızı düşünelim. Yapmak istediğimiz işlem ofis dışındaki bir IP den mstsc (remote desktop connection) ekranına GE2_ppp gerçek IP mizi (örnek: ) yazarak içerideki x IP li sunucuya ulaşmak. Bunun için ilk olarak NAT menüsünde Add butonuna tıklayarak kural eklememiz gerekiyor. Burada oluşturacağımız kuralı aktiflemek için Enable Rule u seçip tanımlayıcı bir ifadeyle kurala isim veriyoruz. Incoming interface olarak dışarıdan geleceğimiz IP yi alan interface i GE2_ppp yi seçiyoruz.

29 Port Yönlendirme ve Firewall 29 Original Ip ye any olarak giriş yapıp Mapped IP ye içeride bağlanmak istediğimiz IP yi yazıyoruz. Bunun için bu Ip yi bir object olarak cihaza tanımlamamız gerekiyor. Sol üst köşeden Create object seçilerek karşınıza gelecek popup menüsü ekranında bu tanım yapılabilir.

30 30 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Bu ekranda bu uygulamada ihtiyacımız olacak tek bir IP tanımlamak için Adress Type kısmında HOST seçilerek name kısmına tanımlayıcı bir isim ve IP adress kısmına da içeride ulaşmak istediğimiz cihazın Ip sini tanımlıyoruz. Bu ekranı kaydedince otomatik olarak kural ekranına dönüş yapacağız. Mapped IP kısmında oluşturmuş olduğumuz object i seçiyoruz.

31 Port Yönlendirme ve Firewall 31 Port mapping Type kısmında Service, Port ve Ports seçilebilir. Port seçerek Original ve Mapped Port kısmına Remote Desktop Connection ın kullandığı 3389 Portunu yazınız. Nat Loopback özelliğini devre dışı bırakarak ayarlarınızı kaydediniz. Bu örnekte 3389 Portunu yönlendiriyoruz. Eğer belirli bir Port aralığını yönlendirmemiz gerekseydi, Ports seçeneğini kullanmamız gerekirdi. Port olarak seçim yapıldığında ihtiyacımız olan 3389 Portunu; hem ZyWALL gelişi hem de içerideki cihaza erişim için bu Port kullanılacağından; hem original Porta hem de mapped Porta girmemiz gerekiyor. Dışarıdan içeriye doğru ZyWALL a gelecek olan 3389 trafiğini ilgili sunucuya yönlendirdik fakat bu noktada göz önüne alınması gereken bir diğer faktör de Firewall davranışıdır. Fabrika ayarları gereğince LAN dan WAN a doğru (içeriden dışarıya) tüm trafik açık durumda iken WAN dan LAN a (dışarıdan içeriye); ki bu örnekte de ZyWALL a dışarıdan içeriye bir trafik söz konusu; tüm trafik kapalıdır.

32 32 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Firewall da WAN dan LAN a 3389 trafiği ile ilgili bir istisna kuralı oluşturmaz isek yapılan Port yönlendirme işleminin herhangi bir faydası olmayacaktır. Bunun için Firewall menüsünden add butonuna basarak kural tanımlamamız gerekiyor.

33 Port Yönlendirme ve Firewall 33 Kuralı aktiflemek için Enable seçilir. Tanım için description kısmına bir isim verilir ve trafiğin yönü WAN dan LAN a doğru olduğu için From kısmı WAN to kısmı LAN olarak seçilir. Schedule,User, Source,Destination menüsü any olarak seçilir. (Source kısmı create object ile tanımlanacak dış Ipler olarak seçilirse kaynak adresi belirli bir IP veya IPlerden gelirse ancak bu kuralın geçerli olacağı anlamına gelecek ve sadece belirli IP lerin uzak bağlantı yapmasına izin veren bir kısıtlama yapılmış olacaktır. Destinationa herhangi bir hedef girişine gerek yoktur. Zaten sonuç olarak ZyWALL a gelecek herhangi bir 3389 trafiği sadece bizim virtual server menüsünde tanımını yaptığımız sunucuya gidecektir. Service kısmında create object ile 3389 Portu için servis tanımı yaparak bu kuralı sadece bu servis için tanımladığımızı bildireceğiz.

34 34 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Bu popup menüsünde ayarları kaydettiğimizde kurala geri dönmüş olacağız ve son hali aşağıdaki gibi olacaktır Kuralı kaydettiğimizde Firewall genel menüsünde WAN dan LAN a tüm trafiği yasaklayan 2 numaralı kuralın üzerinde 3389 trafiğine izin verecek kural oluşmuş olacaktır. Firewall işleyişinde kuralların sıralaması önemlidir. Örneğin burada ZyWALL a gelen trafik 3389 trafiği ise sırayla kontrol edeceği kurallardan 1 numaralı kurala uyduğu algılanacak ve ona göre işleme tabii olacaktır. Fakat bu trafik WAN dan Lan a farklı bir Porttan trafik olsaydı, 1 numaralı kurala uymayacak, bunun dışındaki tüm trafik için 2 numaralı tüm Portları kapatan kurala tabi olacaktır. Bu genel kuralın 3389 nolu Port için oluşturduğumuz istisnai kuralın sıralamada üzerinde olduğunu varsayalım. Bu genel kural üstte olsaydı, 3389 dan da trafik gelse genel kurala uyacağı için yasaklanacak ve alttaki buna izin veren kurala bakılmayacaktı. Bu kural tamamen etkisiz hale gelirdi. Bu tip birbirini ezecek kuralların sıralamasını düzenlemek için sağdaki N butonu kullanınız.

35 Port Yönlendirme ve Firewall 35 Port yönlendirme ve Firewall ayarlarınızı yaptıktan sonra sonuç alınamadıysa aşağıdaki linkte belirtilen basamakları tekrar gözden geçiriniz. #SORU31 Port yönlendirme ve Firewall kuralları ile ilgili ileri düzey ayarlar veya sıkıntı yaşadığınız spesifik senaryolar hakkında destek almak için bizlerle irtibata geçiniz.

36 36 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 6. VPN Kurulumu a) IPSEC VPN Kurulumu Site to site IPSEC VPN kurulumunda karşı tarafın ayarlarını karşılayacak şekilde ZyWALL da yapılması gereken ayarlar aşağıda anlatılacaktır. Buradaki ayarlar daha önce de belirtildiği gibi ZyWALL un Wan bacağında GE2_ppp de Interneti sonlandırdığımız modemin bridge mode da olduğu kabul edilerek yapılmıştır. Route mode da olan ve VPN passthrough özelliği olan bir modemin arkasındaki ZyWALL da modem içerisinden geçen tünelin sonlandırılması ile ilgili farklı bir senaryo talep ediliyorsa, bu ayarlar ile ilgili bizlerle irtibata geçiniz. Ipsec VPN kurulumu için VPN-IPsec VPN menüsü altındaki tablardan ilk olarak VPN Gateway tabını kullanarak faz1 ayarlarını yapacağız. Burada Add butonuna tıklayarak ayrıntılı ayarlar menüsünü açıyoruz. VPN Gateway menüsü içerisinde Gateway e bir isim verip iki tarafın da Internete bakan WAN IP lerini tanımlamış oluyoruz. My Adres kısmına WAN IP mizi alan GE2_ppp yi seçiyoruz. Peer Gateway Ip kısmına karşı tarafın Wan IP si yazılıyor. Authentication kısmı için her iki tarafta da aynı olacak şekilde bir Pre-shared Key girişi ve içerik doğrulama için de Local ve Peer ID type ları IP olarak, contentler olarak giriliyor.

37 VPN Kurulumu 37 Güvenlik doğrulaması adına faz1 ayarları karşı tarafta da aynı olacak şekilde girilir. Biz burada şifre grubu DH1, Encryption olarak DES ve authentication olarak MD5 i tercih ettik. Ayarları ok ile kaydedip gateway oluşturma işlemini tamamlıyoruz.

38 38 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Sonrasında faz 2 ayarlarını yapıp tüneli tamamlamak için VPN connection tabında add butonuna tıklıyoruz. Burada Bağlantı ismine bir giriş yapıp VPN gateway i tanımladığımız gateway olarak seçiyoruz. Policy menüsünde de bu tüneli sonlandırdığımız iki cihazın arkasındaki subnetleri tanıtıyoruz. Local Policy kısmına LAN Subnet, Remote policy kısmına da karşı tarafın subnetini giriyoruz. Karşı tarafın subnetini de create object menüsü yardımıyla oluşturup girebildiğimize dikkat ediniz.

39 VPN Kurulumu 39 Faz 2 encrypion ve authentication değerlerini de karşı tarafla aynı olacak şekilde seçiyoruz. Biz burada faz 2 için de DES ve MD5 algoritmalarını kullandık. Ayarları kaydetmek üzere OK e basınız ve tünnelin karşı tarafı için de benzer ayarları yaparak tünelin ayakta olduğunu görünüz. Karşı taraftan ZyWALL un bacağına kadar tünel üzerinden ping atılabiliyor fakat arkasındaki Networke ulaşılamıyor ise karşı taraftan gelen paketin dönüşü için ZyWALL a policy route girilmesi gerekebilir. Bunun için NETWORK_Routing menüsü altında policy route a add butonu kullanılarak kural eklemesi yapılır.

40 40 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Kuralı basit şekilde ifade edecek olursak, herhangi bir interface e (interface any) herhangi bir saatte (Schedule any) herhangi bir trafik (service any) herhangi bir kullanıcıdan (user any) herhangi bir kaynak Ip sinden (source any) gelip destination ı karşı tarafın local subneti olan bir talep olursa (destination VPN faz 2 tanımı yaparken Remote subnet olarak tanımladığımız object) next hop olarak Type TUNNEL ve Tunnel de oluşturduğumuz Tünel seçilerek kural tamamlanır. Böylece ZyWALL a hedefi karşı tarafın subneti olan bir trafik için Trunk ı veya GE2_ppp yi kullanmasını değil, tüneli kullanması gerektiğini tanımlamış oluruz. VPN bağlantı ile ilgili yaşadığınız problemler hakkında aşağıdaki linkten gerekli kontrolleri yapabilirsiniz. #SORU32 Diğer VPN uygulamaları hakkında destek almak için bizlerle irtibata geçiniz.

41 AppPatrol Uygulamaları AppPatrol Uygulamaları Kullanıcıların en fazla yapmak istedikleri yönetimlerden biri de MSN bloklama, P2P uygulamaları engelleme gibi işlemler olarak karşımıza çıkar. Bunun için Firewall dan bu programların kullandığı Portları biliyor isek yasaklamak bir yöntemdir. Fakat farklı farklı Portları kullanan programlara her bir Port için kural oluşturmak pratik bir yöntem değildir. Bu noktada IDP lisansınız varsa, AppPatrol menüsünde sizin için cihazda tanımlanmış olan uygulama bazlı yasaklamaları Port yerine imza üzerinden daha kolay yapabilirsiniz. Örnek olarak belirli bir grup kullanıcının MSN e girişini engeller iken bir başka gruba da izin verelim. İlk olarak AppPatrol menüsünde uygulamayı enable ediyoruz. Common tabında Port bazlı servisleri yasaklamak için tanımlanmış servisleri görebilirsiniz. Bu menüden mail trafiğini,internet ve ftp erişimini düzenleyecek, facebook, flicker, twitter gibi uygulamaları engelleyecek kurallar tanımlayabilirsiniz.

42 42 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Msn örneğine dönecek olursak, bunun için Instant Messenger tabını açıyoruz. Burada msn satırını seçip edit e basarak msn kullanımı kurallarını belirleyeceğiz.

43 AppPatrol Uygulamaları 43 Edit ile karşımıza gelen ekranda msn ile ilgili kuralın aktifleneceği enable kutusunu işaretleyerek, alt tarafta kurala göz atıyoruz. Burada msn için fabrika ayarları gereğince tüm kullanıcılara izin veren kuralı görüyoruz. Bu kural sadece edit edilebilir, silinemez. Bu noktada karar vermeniz gereken Networkünüzdeki kullanıcıların çoğunluğunun msn e girebileceği veya giremeyeceğidir. Biz çoğunluğa yasaklamak, ufak bir gruba da izin vermek istiyor olduğunuzu varsayalım. Bunun için tanımlı tüm Network için default kuralı edit ederek izin ver yerine yasakla haline getirip, bu kuralın üzerine de izin vereceğimiz kişiler adına bir kural daha oluşturmamız gerekiyor. Aynı FW kurallarında olduğu gibi buradaki kurallarda da sıralama önemlidir. Specific belirli kişileri, belirli servisleri içeren kuralları her zaman için genel kapsamlı kuralın üzerine yerleştiriniz.

44 44 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Şimdi biz tüm kullanıcılara msn i yasaklaması için mevcut kuralı edit ediyoruz. Kural içerisinde bu uygulama için forward olarak seçili Access menüsünü reject veya drop a çekiyoruz. Bu şekilde kaydedip Msn menüsüne dönüyoruz. Burada kuralın herkese msn i yasaklayacak şekilde değiştiğini görüyoruz. Şimdi de ADD e basarak MSN e girmesine izin vereceğimiz kullanıcılar için yeni bir kural ekliyoruz.

45 AppPatrol Uygulamaları 45 Kural sayfası açıldığında source kısmında msn e giriş izni olacak IP leri create object seçerek açılan popup menüsünden tanımlıyoruz. Belirli bir IP bloğunu ifade edeceğimiz için range seçerek başlangıç ve bitiş IP lerini girerek tanımlıyoruz Object i tanımlayıp kaydettiğimizde kural içerisine dönmüş olacağız. Kuralda source adres olarak tanımlamış olduğunuz IP yi göreceksiniz. Access kısmında da forwardı seçip kuralı kaydediyoruz.

46 46 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Bu kuralı da kaydettiğimizde aşağıdaki gibi msn ile ilgili tanımlanmış kuralları göreceksiniz. Sonuç olarak kaynak IP si MSN_IZINLI isimli object ile belirlenmiş IP lerden gelen MSN talebi 1. kural gereği izin alarak msn girişi sağlayacak. Eğer bu IP ler dışında bir IP den MSN talebi gelirse 1. kurala uymadığı için alttaki kurala geçecek ve alttaki kural da ne olursa olsun MSN i yasakla şeklinde tanımlı olduğundan bu kuralla eşleşen trafik MSN i yasaklayacaktır.

47 AntiX Menüleri AntiX Menüleri a) Anti Virus Tanımlamaları Cihazınızla satın almış olduğunuz AV 1 yıllık lisansını veya 1 aylık deneme sürümünü aktifledikten sonra Networkünüzdeki ZyWALL üzerinden geçen tüm trafiği Virus korumasına almak için AntiX menüsündeki Anti-Virus menüsünü kullanacağız. İlk yapılması gereken bu menüye ilk tıklandığında sağ tarafta karşınıza gelecek olan ekranda Anti-Virus ve Anti-Spyware özlliklerini aktiflemek için enable butonuna basıyoruz. Bu servisi aktifleyerek fabrika çıkışı ayarlar gereğince tanımlı herhangi bir adresten(lan dan WAN a, LAN dan LAN a, WAN dan LAN a veya WAN dan WAN a) herhangi bir adrese tüm http,ftp,mail ve IMAP trafiğinizi kontrol edecek default policy deki kuralı aktiflemiş oluyoruz.

48 48 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Black\White List menüsünde yapılabilecek uygulamalar veya bu menüyü ne şekilde kullanmamız gerektiğini açıklamak için şu örneği kullanalım. Exe uzantılı herhangi bir dosyanın Networke erişimini engellemek için bu kısayolu black liste eklemek istiyoruz. Black\White List tabına basılarak ADD butonu ile yeni kuralı kara listeye ekliyoruz. (Benzer şekilde güvenilir uzantıları da whitelist e basarak ekleyebilirsiniz.)

49 AntiX Menüleri 49 Bu menüde *.exe diyebileceğimiz gibi sadece exe yazarak da bu uzantılı dosyaların yasaklanmasını sağlayabiliriz. Bu listeye dosya eklemek genel AV kuralında blacklist ve Whitelist i göz ardı et seçiliyse herhangi bir işe yaramayacaktır. Bu sebeple AV için tanımlı default kuralı edit ederek biraz inceleyelim. General tabına dönüş yaparak policy kısmındaki kuralı edit edelim.

50 50 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada kuralı aktifleyebileceğimiz veya pasif hale getirebileceğimiz enable sekmesi, virus taramasından geçirilecek trafiğin yönü, taranacak protokoller ve bulunan zararlı dosyalarda yapılacak işlem tanımlarının olduğu kısımlar mevcuttur. Ayrıca kara listeye veya güvenilir listeye eklemiş olduğumuz tanımları da kontrole ekle veya göz ardı et seçenekleri bulunmaktadır. Alt tarafta da bilinmeyen formatta sıkıştırılmış ve ZyWALL tarafından açılamayan dosyalar hakkında ne gibi bir işlem yapılmasını istediğimizi tanımlayabiliyoruz. (ZyWALL cihazı bilinen zip,rar gibi sıkıştırılmış dosyaları açabilme ve açtıktan sonta Virus taramasından geçirme özelliğine sahiptir.) Cihazın Anti Virus operasyonu yukarıdaki gibi özetlenebilir. Bu örnekte eklemiş olduğumuz exe uzantılı dosyalara izin verme şeklindeki tanım bu dosyanın bilgisayarınıza ulaşamayacağı, kaydedemeyeceğiniz anlamına gelmeyecektir. Sadece içeriği silinerek çalıştırılamaz hale gelecektir.

51 AntiX Menüleri 51 b) IDP Menülerinin Kullanımı Intrusion Detection olarak algılanan dış ataklara karşı (ki bunlar ip atakları, DOS atakları ve spoof atakları gibi örneklenebilir.) cihazınız ile beraber almış olduğunuz IDP Icard ile aktiflediğiniz signature bazlı güvenlik aşağıdaki şekilde yapılandırılır. Cihazınızda AntiX menüsü altındaki IDP menüsünde Enable işaretlenerek servis aktiflenir. Burada alt tarafta Lan subnetiniz yani iç Networkünüz için fabrika çıkışında ayarlı olan LAN IDP profilinin çalıştığı görülmektedir. Üstteki profile sekmesinden iç Networkünüz için IDP servisi olarak tanımlı profile ulaşabilir, konu hakkında ayrıntılı bilgiye sahip iseniz edit edebilirsiniz. LAN_IDP olarak default tanımlı profilde bilinen atak tiplerinin çoğuna karşı tanım yapılmış ve aksiyon uyarma şeklindedir. Bu sebeple sadece ana menüdeki IDP yi enable etmek bile tanımlı LAN_IDP profilini devreye sokacağından yeterli olacaktır. IDP atakları geldiğinde cihaz arayüzüne girildiğinde karşılama ekranı olan Status menüsünde Top 5 intrusions &Virus detections kısmına bu ataklar düşecektir. Ayrıca Maintenance menüsü altındaki Logs menüsünde de display kısmını IDP seçerek logları görüntüleyebiliriz. İki kısımda da saldırı tipi saldırı ID si SID görüntülendikten sonra IDP menüsündeki Profile gelerek buradaki LAN_IDP profilini edit edip saldırı tipini ilgili menü altında bulup buna karşılık cihazın vereceği aksiyonu belirleyebiliriz.

52 52 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu IDP hakkında ayrıntılı bilgi için bizlerle irtibata geçebilirsiniz.

53 AntiX Menüleri 53 c) Content Filter Uygulamaları İç Networkünüzdeki kullanıcıların Internet erişimleri ile ilgili Internet sayfalarının görüntülenmesi konusunda yönetimsel olarak Firewall da 80 Portu üzerinden LAN dan WAN a kısıtlama kuralı tanımlamak veya AppPatrol da Common altından http trafiği ile ilgili kural tanımlamak her ne kadar bir çözüm olsa da, site bazlı şu kullanıcı grubu şu sitelere girebilsin, şunlara giremesin, şu kullanıcı grubu sadece şu sitelere girsin veya sınırsız yetkili grubum olsun şeklindeki talepler için tanım yapılacak adres Content Filter dır. Burada AntiX menülerinde Content Filter menüsüne tıkladığınızda karşınıza gelen ilk ekran profillerin kullanıcı gruplarına atanacağı policy ekranıdır. Bu tanımda da anlaşılacağı üzere ilk olarak Content Filter profilleri tanımlamamız gerekir. Bunun için de profile tabını kullanacağız. Burada kaç adet kullanıcı grubu oluşturmamız gerektiğini göz önüne alarak o kadar sayıda profil oluşturmamız gerekiyor. Örnek olarak belirli bir kullanıcı grubuna Internette full yetki, diğer kullanıcılara da Internete sıkı bir içerik filtreleme sonrası bu içerik filtrelemenin dışında kalacak siteler için çıkış yetkisi verelim. Bir gruba da sadece belirlenen sitelere girme yetkisi verdiğimiz daha sıkı bir filtre uygulayalım. Bunun için üç adet profil tanımı yapmamız gerekiyor.

54 54 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Add a basarak yeni bir profil eklemek için giriş yapıyoruz. Karşımıza ilk gelen kısım kategori bazlı tanımların yapılacağı Category service kısmı. Burada filtreye bir isim veriyoruz. Alttaki kategoriler myzyxel.com tarafından tanımlanmış ve Internet üzerindeki tüm sitelerin bu başlıklar altında sınıflandığı kısımdır. Burada yasaklamak istediğiniz kategorileri işaretliyoruz. Üst tarafta gördüğünüz kısımda ise bu seçilen kategorilerdeki sitelere rastlandığında ne yapılması gerektiğini bildiriyor ve loglarını tutup tutmamasını istediğimizi tanımlıyoruz. Buradaki matched web pages myzyxel.com veritabanında aşağıdaki kategorilerden birine göre sınıflandırılabilmiş siteler olarak ifade edilebilir. Unrated web pages alttaki kategorilerden herhangi birine girmeyen, sınıflandırılmamış bir siteyi ifade edebilir. When Content Filter Category Server is unavailable kısmı da CF sunucusuna ulaşılamadığı durumlarda Internet erişiminin ne şekilde yapılması gerektiğine karşılık gelir. Burada content filter category sunucusuna ulaşılamadığı durumlarda bu filtre profiline tabi kullanıcıların Internete çıkmamasını veya hiçbir kısıtlama olmadan çıkmasını block veya forward olarak tanımlayabiliriz. Hangi kategorileri seçmeniz gerektiğine dair şüphe içerisinde iseniz, sayfanın alt tarafındaki kısımdan url adresini yazarak category sunucusundan sitenin categorisi hakkında sorgu yapabilirsiniz.

55 AntiX Menüleri 55 Burada yapacağınız sorgulama sonucu size milliyet.com.tr adresinin news/media category kısmına girdiğini belirtecektir. Bu kategori seçilirse tüm haber siteleri yasaklanacaktır. Kategori bazlı bu filtreleme bu şekilde çalışmaktadır. Bu tanımlardan sonra ayarları kaydedip profil menüsüne döneriz. Burada Genel adıyla tanımlı profili seçip edit diyerek tekrar açalım. Kategori bazlı cihaz tarafından myzyxel.com veritabanından otomatik yapılan bu filtreleme dışında sizin de eklemek istediğiniz herhangi bir güvenilir site, yasaklı site veya keyword var ise Custom Service tabını kullanarak tanımlama yapabiliriz. Örnek olarak veritabanında şirket siteniz veya sık kullandığınız bir site rate edilmemiş, herhangi bir kategoriye konmamış durumda ve siz category tarafında rate edilmeyen siteleri (unrated web pages) yasakla yı seçtiniz. Bu durumda bu siteye filtrenin kategori bazlı kısmı erişimi engelleyecektir. Bu siteyi elle güvenilir site olarak eklemek için bu menüyü kullanabiliriz. Bu tanımdan sonra unrated web pages kısmı halen bloklanacak ama sizin güvenli sitelere eklemiş olduğunuz site kategorilendirilmemiş olmasına rağmen engellenmeyecektir. Bir başka örnek news/media categorisini yasakladınız. Ama trusted web site kısmına yi eklediniz. News/media kategorisindeki tüm siteler yasaklanacak fakat milliyet.com.tr güvenli siteler listesinde olduğundan bu kategoride olmasına rağmen yasaklanmayacaktır. Bu uygulamanın tam tersi de örneklenebilir. Category tarafında News\Media kategorisine izin verip, Custom Servis te yi Forbidden Web Sites kısmına eklersek, bir önceki uygulamanın tam zıttı olacak şekilde tüm haber siteleri izinli, yalnızca yasaklı olacaktır. Bu tanımların yapıldığı Custom Service menüsünü biraz inceleyelim.

56 56 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Tanımlamış olduğumuz (en azından kategori bazlı ayarlarını yapılandırdığımız) profilimizin edit ile içine girdiğimizde Custom Service kısmına basarak aşağıdaki ekranı açıyoruz.

57 AntiX Menüleri 57 Burada Custom Service i de enable işaretleyerek yaptığımız kategori bazlı filtre profiline bizim de ekleme yapacağımızı bildiriyoruz. Sitelerin ActiveX kontrollerini, Java Appletleri ve Tracking Cookieleri eklemesini ve Proxy değiştirme çabalarını engellemek için Restricted WEB Features Kısmında gerekli kısımları işaretliyoruz. Trusted web sites kısmına güvenilir siteleri yazıyoruz. Burada görüldüğü gibi milliyet.com.tr sitesi eklenmiş. Filtremizde bahsettiğimiz gibi news/category seçeneği seçilerek bu kategorilerdeki sayfalara girişi engellemiştik ama bu şekilde tanımlanırsa (kategori bazlı haber siteleri yasaklı, custom serviste bunun istinası olarak trusted web site a siteyi eklersek) milliyet dışındaki tüm haber sitelerini yasakla demiş oluyoruz. Bir başka konfigurasyon da şöyle olsun NEWS/Media categorisi engellenecekler arasında seçilmemiş. Ama Profilin custom servis kısmında milliyet.com.tr yasaklı sitelerde (forbidden web sites kısmına) elle manuel girilmiş. Bu durumda da haber sitelerinin hepsine gir, milliyet.com.tr hariç demiş oluyoruz. Bu Custom Service menüsünün üst tarafında Allow web traffic for trusted web sites only şeklinde bir kısım mevcut. Bu filtreyi uygulayacağım kullanıcılar benim trusted web sites kısmına elle eklediğim adreslerden başka adrese girmesinler şeklinde yorumlanabilir. Sadece belirli sizin tanımladığınız sitelere girmesini istediğiniz kullanıcı gruplarınız yok ise (bu senaryo ile birebir örtüşen bir durum söz konusu değil ise) bunu işaretlemeyiniz. Zira bu seçenek işaretlendiğinde bu filtre profiline tabi kullanıcılar için, bu işlem tüm tanımlı kuralları ezecek ve sadece custom service kısmında trusted web sites kısmına ekli sitelere girebileceği için category bazlı yapılan tanımlamaların herhangi bir anlamı olmayacaktır. Sonrasında category bazlı filtreleme yapamıyorum şeklinde sıkça yapılan bu hata sonrası problem olarak karşınıza gelecektir. Profil tanımlamanın ayrıntılarını bir tarafa bırakıp tekrar senaryomuza dönelim. Sıkı bir İçerik Filtreleme profiline tabi kullanıcılarımız ve full yetki ile Internete çıkacak kullanıcılarımız olacağını bildirmiştik. Şu ana kadar sadece genel isimli tek profil tanımladık. 2. profil tanımını da full yetki ile Internete çıkacaklar için yapmamız gerekiyor. Bu tanımlama için profile menüsünde zaten genel i görüyoruz. 2.yi de aynı şekilde eklemek için add a basıyoruz.

58 58 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada kategori bazlı herhangi bir kutuyu işaretlemiyoruz ve custom servicede herhangi bir tanım yapmıyoruz. Kısacası herhangi bir kısıtlama yapmadık. Sadece Mudurler şeklinde isim verip enable ederek profili aktifliyoruz. 3. Filtre Profiline örnek olarak da son derece kısıtlı sadece yetkililer tarafından belirlenecek şirket web sitesi, vs. birkaç siteye girebilecek kullanıcılar için bir profil oluşturalım. Bunun için de aynı şekilde profil menusunde add a basınız.

59 AntiX Menüleri 59 Daha önce de bahsedildiği gibi sadece Trusted Web Sites kısmına ekleyeceğim sitelere girilebilsin seçeneği tüm kuralları ezeceğinden Category bazlı herhangi bir tanım yapılmasına gerek yoktur. Direkt olarak Custom service kısmını açıyoruz. Burada bu profile bir isim verip Enable ı işaretledikten sonra Allow Web Traffic for trusted web sites only kutucuğunu da seçiyoruz. Trusted Web Sites kısmındaki ADD butonunu kullanarak bu profile tabi tutulacak kullanıcıların girmesine izinli web sayfalarını ekleyiniz. Ayarları kaydedip bu 3. Profili de tamamlayınız. Şu an 3 farklı kullanıcı tipimize uygulayacağımız içerik filtreleme profillerini ayrı ayrı oluşturduk. Fark edeceğiniz gibi henüz sadece profilleri oluşturduk bunları herhangi bir kullanıcı grubuna IP bazlı atama yapmadık. Bunun için de şu ana kadar ilgilenmediğimiz Content Filter menüsünün General tabını kullanıyor olacağız. Burada alt taraftaki policy kısmında tanımlanmış kuralları hitap ettikleri IP lere atamak için kural eklememiz gerekiyor. Bunun için Policy menüsündeki ADD a tıklıyoruz.

60 60 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Açılan kural menüsünde Ipleri filtre profilleriyle eşleştirmemiz için ilgili alanlar bulunuyor. Biz senaryo gereği şöyle bir tanım yapıyor olacağız. Tüm Networkümüze daha katı olan genel profilini uygula şeklinde bir kural ekledikten sonra, bu kuralın da üzerine belirttiğimiz full yetkili IP lere Mudurler isimli profil kuralını uygula diyerek 2. bir kural ekleyeceğiz. Bir de müdürler grubundan olmasalar da farklı bir içerik filtrelemeye tabii tutulacak genel profilinin uygulanmayacağı sadece elle belirlenen sitelere girebilecek grup için hazırlanan 3. Bir profilimiz mevcuttu. Bu profili de ilgili grubuna atama yapacak kuralı da ekliyor olacağız. Sonuç olarak 3 kullanıcı tipimiz mevcuttu. 3 adet profil oluşturduk ve ilgili IP objelerini bu profillere eşleyecek 3 adet policy kuralı oluşturuyor olacağız. Burada ilk kural için Adres kısmını any de bırakarak tüm subnetimiz için tanım yaptığımızı bildiriyoruz. Filter Profile da da Genel isimli profili seçeceğiz.

61 AntiX Menüleri 61 Policy kısmında şu an bu kural eklenmiş olarak gözüküyor. 2. kuralımız için tekrar policy menüsünde ADD Butonuna basarak kural menüsünü açacağız. Burada adres kısmında create object seçilerek açılan popup menüsünde Mudurler profilini kullanacak full yetkili IP lerin tanımını yapacağız.

62 62 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada bu IP bloğuna tanımlayıcı bir isim verip belirli bir IP aralığı bildireceğimiz için RANGE i seçip bu IP bloğunun başlangıç ve bitiş IP lerini yazıyoruz. Burada tek bir IP tanımı yapıyor olsaydık RANGE yerine HOST seçilerek tanım yapacaktık. Popup menüsünde OK ile ayarları kaydettiğimizde Adres Kısmında Serbest_ Mudurler kullanıcı grubu seçili olarak policy kuralına dönmüş olacağız. Filter profile da da Mudurler isimli profili seçerek bu kuralı da kaydediyoruz. Benzer şekilde sadece şirket web sitesine izinli kullanıcıları da tanımlayıp bunlar için hazırlanmış olan profile eşleştiren üçüncü kuralı da benzer şekilde yapıyoruz. Sonrasında general menüsüne döndüğümüzde ekran aşağıdaki şekilde olacaktır. Burada policy kuralları gereği ZyWALL a bir http trafiği paketi geldiğinde Content Filter servisi de aktif ise paketin kaynak adresine bağlı olarak uygun kural ile eşleşip o kuralda belirtilen Filtre uyarınca çıkışını sağlayacak veya reddedecektir.

63 AntiX Menüleri 63 Cihaza gelen http talebi IntranetHariciYasaklilar diye tanımladığımız IP bloğundan ise 1 numaralı kural ile örtüşeceğinden Komple_Kisitli profiline uygun şekilde çıkacaktır. Bu grubun dışındaki bir IP den talep gelirse 1 numaradaki kural ona hitap etmeyeceği için bir alt satırdaki kurala bakacaktır. 2. satırdaki kural ise tamamen serbest şekilde Internette dolaşacak Müdürler grubu için hazırlanmış kuraldır. Buna göre gelen http talebi 1 numaralı kurala uymuyor ve 2 numaralı bu kurala uyacak şekilde Serbest_Mudurler olarak tanımı yapılmış IP lerden gelirse bu kurala uygun şekilde hiçbir yasaklama olmayan Mudurler profiline tabi olacaktır. 3. satırdaki kural ise 1. Ve 2. Satırda bildirilen IP bloklarından olmayan ve dolayısıyla bu bloklara atanan profile ve kurala tabi olmayan iç Networkünüzdeki kalan kullanıcıların tamamının kapsandığı kural olarak yerleştirilmiştir. (Bu noktada gene dikkat edilmesi gereken bu kuralların sıralamasıdır. Bir an için 3. kuralın üstte olduğunu düşünün. IntranetHariciYasaklilar veya Serbest_ Mudurler grubundan veya başka bir IP den gelen trafik bu gruplar da LAN_ Subnet ifadesiyle kapsandığı için genel kurala uyacağından altında kalacak olan 2 tanımlı kuralın bir anlamı olmayacaktı.) Content Filter ile ilgili son olarak birkaç şeye daha göz atmak gerekirse, Bu policyleri tanımlayıp Enable Content Filter ı işaretleyip aktiflediğimizde İçerik filtrelemeyi belirttiğimiz senaryodaki kullanıcı tipleri ve bunlara uygulanacak filtre profilleri bazında devreye almış olacağız. Burada ayrıca Denied Access Message kısmında uygulanan content filterlar sebebiyle yasaklanan bir site olduğunda bu talebi yapan kullanıcı ekranında gözükecek uyarı mesajı girilebilir. Örnek: Ulaşmak istediğiniz site sistem yöneticiniz tarafından zararlı bulunmuştur. Redirect URL menüsünde ise herhangi bir URL adresi girişi yapıldığında (örnek olarak şirket sitesi) yasaklanan siteler sonrası gelecek uyarıyla beraber buraya girmiş olduğunuz siteye kullanıcıyı yönlendirebilirsiniz.

64 64 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Son olarak Block web Access when no policy is applied seçeneğine değinmek gerekirse, bu kısım aktiflendiğinde eğer aşağıda policy kuralları herhangi bir Ip yi içermiyor ve bu Ip den bir trafik geldiyse, bu Ip nin çıkışının engellenmesi içindir. Kısacası bunu işaretleyip, aşağıda profil atamalarını yaptığım IP ler dışında kurallarıma uymayan herhangi bir IP nin Internet çıkışını engelle demiş oluyoruz. d) Anti-Spam Uygulamaları AntiX menülerindeki bu kısım tamamıyla mail trafiği ile alakalıdır. Spam olarak ifade ettiğimiz istenmeyen maillerin kullanıcı inboxlarına ulaşıp ulaşmayacağı, ulaşırsa Spam addedilen maillerin Subject kısmına (SPAM) ibaresinin yerleştirilmesi gibi işlemler aktifleyeceğimiz AntiSPAM profili ayarlarıyla konfigure edilir. Burada genel profili incelemeden ilk olarak Anti-SPAM ın ayrıntılı diğer menülerine bakalım.

65 AntiX Menüleri 65 DNSBlack list Checking kısmı, sizin gibi bir dnsblack list sunucusundan aldığınız hizmeti cihaza tanımlamanız ve gelen mailleri bu sunucudaki veritabanına sorarak etiketleyip etiketlemeyeceğinizi belirlemek için kullanılır. Bu tip bir sunucudan alacağınız hizmet, size gelen mailin suffix kısmının gibi) gerçekten de zyxel.com.tr domaininden gelip gelmediğini DNS kayıtlarından IP bazlı çözümleme de yaparak kontrol etmesi ve bunun karşılığında bu mail SPAM dır veya değildir şeklinde cihaza bildirmesidir. Bu noktada bu ekranda yapılacak ayarlar Enable DNS Black List Checking in işaretlenip aktiflenmesi, DNSBL Domain List kısmında ADD a basarak DNSBL hizmeti aldığınız sunucunun cihaza tanıtılması ve DNSBL sunucunuzdan Spam olduğu belirtilen mailler geldiğinde subject kısmına etiket eklemek için DNSBL Spam TAG kısmına subjectte gözükmesini istediğiniz ifadeyi yazmak olacaktır. Bunun dışında siz de manuel olarak bazı domainlerden mail almak istemiyor iseniz ve bunların tanımını yapmak istiyorsanız, Black/WhiteList tabını kullanabilirsiniz. Örneğin BlackListe bir mail grubu ekleyelim. Bunun için enable black list checking kısmını işaretleyerek blacklist kontrolünü aktifliyor ve blackliste eklediğimiz adresten gelecek maillerin subject kısmına eklenecek etiketi de yazıyoruz. Adres grubunu karalisteye eklemek için de Rule Summary kısmında artıya basarak ekliyoruz.

66 66 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Fark edeceğiniz gibi bu menüde White List i de seçerek aynı şekilde güvenilir adresler tanımı da yapılabilir. Örnek olarak bir müşterinizin mail adresinden gelecek maili bekliyorsunuz ama DNSBL sunucusundan aldığınız hizmet gereği müşterinizden gelecek bu mail adresi SPAM olarak algılanıyor ve siz de ZyWALL cihazınızda SPAM olarak sunucunuz tarafından algılanan mailleri iletmemeyi seçtiniz. Bu durumda beklediğiniz mail size hiç ulaşamayacaktır. Bunu engellemek için bu adresi güvenilir adreslere ekleyebilir ya da spam olarak ifade edilen mailleri etiketleyip göndermeyi seçebilirsiniz. Bu durumda beklediğiniz mail subject kısmında Spam etiketiyle beraber inboxınıza gelecektir. Eğer bu adresi whiteliste eklerseniz buradan gelecek mailler spam olarak zaten algılanmayacağı için extra bir ayar yapmanıza gerek kalmaz. (Bu kısım sadece White List menüsünün kullanımı ve kullanım amaçları hakkında bilgi vermek içindir. SPAM olarak DNSBL sunucundan gelen veya karalisteden SPAM olarak algıla dediğiniz mailler geldiğinde ZyWALL un cevabı hakkındaki ayarlar (inbox a geçir, gönderme veya etiketleyip gönder gibi) aşağıda ayrıca anlatılacaktır.) Kuralı oluştururken de belirli bir mail adresi veya adres grubu belirli bir subject içeriği gibi seçeneklerimiz olacak

67 AntiX Menüleri 67 Biz zyxel.com.tr uzantılı mail adreslerinden gelen mailleri kara listeye ekleyelim. Bunun için altta da görüldüğü gibi adres seçerek şeklinde veya sadece zyxel.com.tr şeklinde tanımı yapıyoruz. Bu ayarları kaydedip karalisteye bir kural eklemiş olduk. Karalisteyi de kontrol edecek şekilde profili uzantılı tüm kullanıcı mailleri spam olarak algılanacaktır.

68 68 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu DNSBL Checking kısmında cihazı nasıl bir harici sunucudan Spam kontrolü hizmeti alacağına dair tanımlamayı anlattık. Black\White List menülerinin kullanımı ve kullanım amaçlarından bahsettik. Şimdi de yapmış olduğumuz ayarlar sonucu spam olarak algılanan maillerin ne şekilde işlem göreceğine dair profil tanımına bakalım. Bunun için Anti-Spam menüsünün general tabında Enable Anti-spam seçeneğini işaretleyerek aktif duruma getiriyor ve yeni bir profil eklemek için Policy summary kısmında ADD a basıyoruz.

69 ZyWALL un Yedeklenmesi 69 Bu menüde Anti-spam profilini aktiflemek için Enable policy i işaretleyip kayıtlarını tutmak istiyorsak log u seçiyoruz. direction kısmı from any to any olarak karşımıza geliyor. Bunun anlamı içeriden dışarıya veya içeriden içerideki bir başka kullanıcıya mail atmak istediğimizde veya dışarıdan içeriye bize bir mail geleceği kısımda Anti-spam ın devrede olacağıdır. SMTP sunucumuz dışarıda ise POP3 protokollerini incele diyerek seçimimizi yapıyoruz. Tarama özelliklerinde daha önce ayrıntılı ayarlar olarak bahsettiğimiz DNSBL checking, Black List ve White List menülerinde yapılandırdığımız ayarları da göz önüne al veya dikkate alma diyebiliyoruz. Actions for Spam-mail kısmında SMTP ve POP3 üzerinden gelecek mail spam olarak algılandıysa cihazın ne şekilde davranması gerektiğini tanımlıyoruz. Burada Drop deyip SPAM maillerin inbox a düşmesini engelleyebilir (ki bu spam olarak yanlışlıkla nitelendirilen fakat beklediğimiz bazı maillerin de bize ulaşmasını engellemiş olacak), forward seçilerek işlem yapmadan bu maillerin de iletilmesini veya Forward with tag seçilerek subject kısmına etiket ekleyerek mailbox a uyarıyla beraber düşmesini sağlayabiliriz. Anti-Spam ile ilgili ileri düzey ayarlar hakkında bizlerle irtibata geçiniz. 9. ZyWALL un Yedeklenmesi, Resetlenmesi, Reset Sonrası Ayarlarının Dönülmesi ve FW Upgrade İşlemi Hakkında ZyWALL cihazınız üzerinde birçok ayar yaptınız ve cihazın yedeğini almak oluşabilecek herhangi bir olumsuzlukta, bu ayarları yedekten dönerek; tekrar kurulum ve ayarları yaparak zaman kaybetmemek istiyoruz. Bunun için Maintenance menüsünde File Manager menüsünü kullanacağız.

70 70 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada Configuration File tabında 3 adet.conf uzantılı dosya görüyorsunuz. Bunlardan system-default.conf cihazın ilk açılırkenki fabrika çıkış ayarlarıdır. Lastgood.conf cihazın başarılı bir başlangıç işleminden sonra kaydedilmiş ayarlardır. Windows işletim sistemlerindeki bilinen ve düzgün çalışan son ayarlarla çalıştır gibi algılanabilir. Cihaz boot ederken bu dosyayı çalıştırdıktan sonra tüm ayarlarınızın olduğu startup-config.conf dosyasını çalıştırır. Bu dosyanın yedeğini almak; yapmış olduğunuz tüm ayarları olası bir problem sonucu cihazı resetledikten sonra ayarlarınızı geri dönmek için yeterli olacaktır. Bunun için startup-config.conf dosyasına tıklayıp download butonu yardımıyla dosyayı bilgisayarınıza kaydediniz. Herhangi bir anda bu dosyadan ayarlarınızı geri almak için; alttaki upload configuration file kısmında Browse butonu yardımıyla bu dosyanın bilgisayarda kaydetmiş olduğunuz yerini göstererek upload butonuna basarak işlemi başlatınız. Bu noktada cihaz size mevcut conf. dosyasının değiştirileceğini bildirip, üzerine yazılmasını onaylayıp onaylamadığınızı soracaktır. Cihaz tekrar açıldığında ayarlarınız yeniden geri gelmiş olacaktır. Cihazınızı bir sebeple resetlediğinizi varsayalım. Örnek olarak iç Networkünüzde subnetini kullanıyorsunuz. Ve ZyWALL un GE1 bacağına IP sini vermiştiniz. Cihaza bu IP yi yazarak bağlanıyordunuz ve şifrenizi de değiştirmiştiniz. Cihaz fabrika ayarlarına döndüğü için cihaz arayüzüne GE1 bacağına ile ulaşacağınızı ve cihaz şifresinin admin 1234 olacağını unutmayınız. File managerdan startup-config.conf dosyasını döndükten sonra her şey tekrar eski haline gelecek ve cihaza değişmiş IP niz ve şifreniz ile ulaşacaksınız.

71 ZyWALL un Yedeklenmesi 71 Cihazınızı resetlemek için cihazın ön panelinde bulunan reset butonuna sivri uçlu bir nesne ile power led i hızlıca yanıp sönmeye başlayana kadar basılı tutabilirsiniz. Aynı zamanda cihazın arayüzüne ulaşabiliyorsanız, yazılımsal olarak reset işlemini file manager daki system-default.conf dosyasını çalıştırarak da yapabilirsiniz. Bunun için system-default.conf dosyasını seçerek Apply run butonuna basınız. İşlem sonrası cihaz fabrika ayarlarına dönecektir. Cihaza ait yeni güncellemeler FW dosyası olarak tanımlanan.bin uzantılı dosyalarda bulunur. Bu FW lere ftp.zyxel.com ve ftp.zyxel.com.tr adreslerinden ulaşabilirsiniz. Bu bin dosyalarını cihaza atmak için öncelikle yukarda belirttiğimiz şekilde cihaz ayarlarınızın yedeğini alınız. Sonrasında Firmware Package tabındaki browse ve upload butonları yardımıyla bahsedilen sitelerden bilgisayarınıza kaydetmiş olduğunuz ilgili.bin uzantılı dosyayı gösteriniz ve çalıştırınız. FW upgrade işlemi cihaz ayarlarınızda değişikliğe yol açmaz, cihazın kendi yazılımını güncellemeye yarar. Bu noktada işlem sonrası cihaza erişim her zamanki ayarlarınızla olacaktır. Cihaz arayüzünü açtığınızda status menüsündeki Firmware kısmından cihazın FW inin değişip değişmediğini, işlemin başarılı olup olmadığını kontrol edebilirsiniz. FW upgrade i sonrası cihazı bahsedilen şekillerden biriyle resetlemeniz ve sonrasında kaydetmiş olduğunuz ayarlarınızı geri dönerek işlemi tamamlamanız önerilir.

72 72 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 10. LOG Menülerinin Kullanımı ve VANTAGE Report Programının ZyWALL daki Ayarları ZyWALL cihazındaki trafiği gözlemlemek için cihazın tuttuğu logları kendi menüsü içerisinden görüntüleyebilir, mail adresinize mail olarak belirli aralıklar ile gönderilmesini sağlayabilir veya cihazla birlikte gelen VANTAGE RePort yzılımını kuracağınız bir PC de saklayabilirsiniz. İlk olarak cihaz menülerindeki log menüsüne bakalım. Maintenance menüsü altındaki log menüsünü açtığımızda yukarıdaki ekran karşımıza gelecektir. Burada Display kısmından görüntülemek istediğiniz trafik tipini seçebilirsiniz. Ayrıca Show Filter butonuna bastığınızda gelecek olan seçeneklerden görüntülemek istediğiniz logları filtreleyebilirsiniz. Örnek olarak lokaldeki belirli bir IP nin dolayısıyla bu IP ye sahip kullanıcının PC sinden oluşturulan veya bu PC ye giden trafiğini gözetlemek istiyor isek show filtera bastıktan sonra karşımıza gelecek olan menüden source (kaynak) adress veya

73 LOG Menülerinin Kullanımı 73 destination (hedef) adres kısmına bu IP yi yazarak sadece bu IP den oluşan trafiğin loglarının görüntülenmesini sağlayabiliriz. Cihaz loglarını mail ile veya Vantage RePort yazılımı ile başka bir ortama aktarmak için Configuration menusu altındaki Logs&RePort alt menusunun log setting tabını kullanacağız.

74 74 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu Burada System log kısmını modify ederek karşınıza gelecek menüde mail adresinizi ve SMTP sunucu ayarlarını doldurup; göndermek istediğiniz trafik tipleriyle ilgili kutuları işaretleyerek belirli aralıklarla logların mail adresinize gönderilmesini sağlayabilirsiniz. Vantage RePort yazılımını kurduğunuz PC ye logları SYSLOG yardımıyla göndermek için Remote Server 1 kısmını modify ederek yazılımı kurduğunuz PC nin IP sini girmeniz ve gönderilecek log tiplerini seçmeniz yeterlidir. (***Vantage RePort Yazılımını kurduğunuz PC de SQL tabanlı çalışan bir servis olmamasına, Kurulum yapılan PC nin Firewall unun devre dışı olduğuna ve üzerinde çalışan Anti-virus programı olmadığına dikkat ediniz.) Cihaz üzerinden günlük raporların veya anlık alertlerin mail adresinize gelmesi için Configuration menusu altındaki Logs&RePort alt menusunun Daily RePort kısmını kullanıyor olacağız. Burada da benzer şekilde mail atılacak adres bilgileri doldurulmalı ve rapor olarak gönderilecek uygulamalar seçilmelidir. Vantage RePort programının veya log menüsünün ayrıntılı ayarlarıyla ilgili bizlerle irtibata geçiniz.

75 Kablosuz Kullanıcılarına Internet Sağlanması ZyWALL a Bağlanacak Bir AP ile Kablosuz Kullanıcılarına Internet Sağlanması Ağınızdaki kablosuz kullanıcılarına ZyWALL üzerinden Internet erişimi sağlamak üzere bir AP kullanmanız gerekmektedir. Bu noktada yapılması gereken AP in DHCP Client(İstemci) modunda çalışabilen bir cihaz olmasıdır. Cihazın herhangi bir Portuna AP yi kablo ile bağlayınız. Bu Port kablolu kullanıcılarınızın da bağlı olduğu zaten IP dağıtabilen DHCP sunucusu aktif GE1 interface(1 nolu Port) olabileceği gibi, kablosuz kullanıcıları farklı bir subnette tanımlamak ister iseniz 4,5 ve 6 nolu Portları da kullanabilirsiniz. Bu noktada AP eğer ge1 e bağlanırsa kablolu PC ler gibi x gibi bir IP yi ZyWALL dan alacaktır. AP nin kablosuz ayarlarını yaptığınızda, AP nin SSID sini görüp bağlanan kablosuz kullanıcılar ZyWALL un AP nin de bağlı olduğu GE1 interface i üzerinden kablolu kullanıcılar ve AP gibi x gibi bir IP alırlar. GE1 e bağlı tüm PC lerin Internete çıkışı için zaten bir adet rota tanımını cihaz kuruluşunda yaptığımızdan başka bir işleme gerek yoktur. Konuyla ilgili bir başka senaryo da şu şekilde olsun. Ziyaretçiler için bir kablosuz ağ oluşturulup onlara Internet bağlantısı sağlamak istiyoruz aynı zamanda da iç Networke ulaşmalarını engellememiz gerekiyor. Bu durumda cihazda örneğin 5 nolu Portta DMZ1_Subnet olarak tanımlı (Lan_Subnet ten (1 nolu Porttan) ayrı bir Porta) bir AP bağlayıp, bu AP nin SSID sini misafirler için konfigure ediniz. Sonrasında bu kullanıcılar gibi IP ler alacaktır. DMZ1_Subnet in Internete çıkması için tanımlı rota yoksa, bu subnet için Policy Route menusunde bir rota tanımı yapınız ve sonrasında Firewall da oluşturacağınız 2 adet kural ile LAN dan DMZ ye veya DMZ den LAN A doğru trafiği yasaklayınız.

76 76 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 12. Yerel Ağdaki PC lerin Iplerini Sabitlemek (IP-MAC Binding) Cihazımızda şu ana kadar IP bazlı kurallar oluşturduk. Localdeki kullanıcıların farklı Ip bloğundan elle IP girip kendilerine tanımlanan kısıtlamaları alt etmesini engellemek için MAC adreslerini aldıkları IP lere eşleştirip, tablodaki MAC adresi belirtilen IP den gelmediği sürece cihaz üzerinden tüm trafiği yasaklanacaktır. Bu özellik IP/MAC Binding olarak tanımlanır. Cihazınızda bu tanımları yapmak üzere ilk olarak Networkteki tüm Ip alan cihazlarınızın MAC adreslerini bir kereliğine ZyWALL a girmeniz gerekmektedir. Örneğin cihazınız GE1 bacağına bağlı Networkteki cihazların MAC adreslerini girmek için Network altındaki IP\MAC Binding menusune girerek burada GE1 in olduğu satırı edit etmemiz gerekmektedir.

77 Yerel Ağdaki PC lerin Iplerini Sabitlemek 77 GE1 arayüzü için IP/MAC Binding menusu aşağıdaki gibi karşınıza gelecektir. Burada ilk olarak yapılması gereken Static DHCP Bindings kısmında ADD a basarak bahsedildiği üzere tüm Networkünüzdeki IP alan cihazların MAC adreslerini girmelisiniz. Tüm MAC adresleri ve bunlara karşılık gelen IP ler girildikten sonra Enable IP/MAC Binding işaretlenir. Eğer IP adresini değiştirerek tanımlı kurallar dışına çıkmaya çalışan kullanıcılarınızı loglamak istiyorsanız, ayrıca Enable Logs for IP\MAC Binding Violation kısmını da işaretleyebilirsiniz.

78 78 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 60 Add a tıkladığınızda MAC adreslerine karşılık IP leri yazacağınız ekran aşağıdaki gibidir. Unutulmaması gereken husus bu listeye eklenmeyen cihazlar IP-MAC eşleştirme aktiflendiğinde tanımsız oldukları için ZyWALL benzer şekilde tanımlı bir MAC adresi tanımı dışındaki bir IP den gelmeye çalışır gibi algılayacak olduğundan bunu da bir IP\MAC binding Violation olarak değerlendirip, ZyWALL üzerinden çıkış yaptırmayacaktır Uyumlu ZyXEL LogAnalyzer Programı için ZyWALL da Yapılması Gerekenler ZyXEL Log Analyzer Programını yüklediğiniz PC deki ayarlar hakkında programın kullanım kılavuzunu inceleyiniz. Burada anlatılacak olan kısım programın çalıştığı PC ye ZyWALL un log gönderebilmesi için yapılması gereken ayarlardır.

79 ZyWALL da Yapılması Gerekenler yasası gereği tutulması istenen logları yazılımınızda digital ortama imzalı şekilde taşıyabilip saklayabilmeniz için 1. ZyWALL un DHCP sini kullanmanız gerekmektedir. Kullanıcı PC lerine statik IP verilmemelidir. 2. ZyWALL un Firewall u devre dışı bırakılmamalı ve Firewall da en üst sırada LAN dan WAN a tüm trafiği loglayacak kural oluşturulmalıdır. 3. Programı kurmuş olduğunuz PC ye SYSLOG üzerinden logları göndermek üzere ZyWALL da log setting ayarlarının yapılmış olması ve ilgili log tiplerinin (DHCP,Firewall, talep edilirse CF, Forward Web sites, Blocked Web Sites) işaretlenmiş olması gerekmektedir. 1. DHCP

80 80 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu 2. Firewall

81 ZyWALL da Yapılması Gerekenler Log Settings Aynı ekranın devamında seçili olması gerekenler

82 82 ZyWALL USG 1000 Kurulum ve Kullanım Kılavuzu