ZyWALL USG 100 KURULUMU

Cihazı Tanıyalım USG 100 ZyWALL USG 100 KURULUMU Cihazınızda 7 adet Ethernet portu mevcuttur. Portlar sabit ve atamaları aşağıdaki şekilde yapılandırılmıştır. P1_WAN1 1.internet bacağı, bu fiziksel port üzerinde wan1_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır. P2_WAN2 2.internet bacağı, bu fiziksel port üzerinde wan2_ppp adlı pppoe oturumunu sonlandırabileceğiniz bir dahili interface tanımı da yapılmıştır. P3_LAN1 İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 1.port, 192.168.1.1 fabrika çıkış IP sine sahip ve 192.168.1.33 den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. P4_LAN1 İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 2.port, 192.168.1.1 fabrika çıkış IP sine sahip ve 192.168.1.33 den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. P5_LAN2 İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 3.port, 192.168.2.1 fabrika çıkış IP sine sahip ve 192.168.2.33 den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. 2. Bir lokal subnet ihtiyacınız var ise bu port üzerinden işlem yapabilirsiniz. P6_EXT_WLAN İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 4.port, 10.59.0.1 fabrika çıkış IP sine sahip ve 10.59.0.33 den başlayarak iç networkünüzdeki Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 1

makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. Özellikle kablosuz bir AP ile ZyWALL üzerinden kablosuz internet dağıtılması düşünülüyor ise kullanılabilir. P7_DMZ İç networkünüze switch üzerinden ağ paylaşımı yapacağınız 5.port, 192.168.3.1 fabrika çıkış IP sine sahip ve 192.168.3.33 den başlayarak iç networkünüzdeki makinelere IP dağıtmak üzere DHCP Sunucu olarak tanımlı. Özellikle web server, file server, mail server gibi dışarıya da açık sunucularınıza ulaşan harici kullanıcıların iç networkünüze de ulaşma riskine karşı bu sunucuları gruplayıp DMZ bacağına bağlamanız önerilir. Görüleceği üzere cihazınızda 2 adet WAN portu olarak kullanılabilecek port (1. ve 2. Portlar) ve 5 adet farklı amaçlarla LAN portu olarak kullanılabilecek port ( 3-7 port ) bulunmaktadır. 1.CĠHAZ ARAYÜZÜNE ERĠġĠM Usg cihazınızın kurulumu için herhangi bir Pc ye 192.168.1.0 networkünden bir statik IP verdikten sonra bu Pc ile Zywall cihazınızın LAN1 portunu (3. veya 4. Port) bir Ethernet kablosu ile bağlayınız. Browserınıza 192.168.1.1 yazarak cihazın arayüzüne ulaşınız. Sertifika ile ilgili uyarı ekranı karşınıza gelirse devam et ile kullanıcı adı şifre ekranına ulaşabilirsiniz. Cihazın fabrika çıkış ayarlarınca kullanıcı adı admin ve şifresi 1234 dür. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 2

Giriş yaptıktan sonra karşınıza gelen ekrandan cihazın şifresini değiştirebilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 3

Status menüsünde sizi aşağıdaki ekran karşılayacaktır. Burada sol taraftaki menülerde cihazın farklı ayarlarının yapıldığı menüler bulunmaktadır. Sağ taraftaki geniş ekransa bu soldaki menülere tıklandığında o menüyle ilgili ayarları karşınıza getirir. Sağ üst köşede de menüler ve cihazla ilgili yardım dosyalarına ulaşacağınız veya sihirbazlar ile kolay kurulum yapabileceğiniz ikonlar bulunmaktadır. Zywall un ilk olarak network ayarlarını yapmak için soldaki menülerden network menüsü altındaki interface menüsünü kullanacağız. İlk olarak iç networkünüzdeki Pc lerin IP lerini, gateway veya DNS bilgilerini değiştirmek istemiyor iseniz, cihazı networkünüze uydurmak için ZyWALL un iç networkünüze bağlantısını yapacak olan LAN bacağını edit ederek istediğiniz IP bloğuna çekiniz. Burada değişiklik yaptıktan sonra, cihaza yeni IP sinden ulaşmanız gerekeceğini unutmayınız. 2.INTERNET BAĞLANTISI AYARLARI Modem Switch PC ler Public (WAN) IP Private (LAN) IP 88.34.45.43 192.168.1.1 192.168.1.33--- Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 4

ZyWALL cihazınız öncesi yapınız; yukarıdaki şemada anlatılan modeminizin sizi internete bağlayan WAN IP sini aldığı ve arka tarafta da 192.168.1.0 private networkünü kullandıran sadece modem üzerinden kullanıcılara internet sağladığınız basit bir ağ olarak algılanabilir. Yukarıdaki networke ilave edilecek ZyWALL un kurulumu ve internet ayarları 2 senaryo halinde gösterilecektir. Senaryo 1 Modem Firewall Switch PC ler 88.34.45.43 192.168.1.1 192.168.1.33--- Bu senaryoda Modeminizi DHCP sunucu özelliğini kapatarak operasyon modunu bridge (köprü) moduna alacağız. Interneti Zywall cihazında sonlandırıp WAN IP mizi Zywall un almasını sağlayacağız. *Burada görüleceği gibi PC ler otomatik veya statik IP kullanıyor ve gatewayleri 192.168.1.1 olarak girili ise bir baģka deyiģle iç networkte 192.168.1.x gibi Ipler kullanılıyor ise, Zywall bu senaryoda devreye alındığında Pcler tarafında herhangi bir değiģikliğe gerek kalmayacaktır. Modemi bridge mode a almak için 192.168.1.0 networkünden bir IP yi statik olarak konfigurasyonları yapacağınız Pc ye veriniz. Pc ile modemi bir Ethernet kablosuyla biribirine bağlayınız. 192.168.1.1 ile modem arayüzüne giriniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 5

ZyXEL modemlerde bu işlem; Yerel Alan Ağı DHCP Kurulumu menüsünden ilk olarak DHCP nin hiçbirine çekilmesi, 2. olarak Geniş Alan Ağı menüsünden de modu köprüye çekip kapsüllemeyi RFC1483 olarak yapılandırılması ile gerçeklenir. *Farklı marka modemlerde bu iģlemleri gerçeklemek için üreticilerinden bilgi alınız. Modemi bridge mode a aldıktan sonra modem artık Layer3 bazlı herhangi bir trafikten anlamayacaktır. Modemin halen IP si mevcuttur. Fakat bu IP yalnızca direk olarak modeme bağlı aynı subnetten IP ye sahip bir PC den modeme ulaşmak için kullanılabilir. Modem artık yalnızca telefon hattı üzerinden gelen sinyali ethernete çevirmekten ve bu sinyali Zywall a iletmekten sorumludur. Modemden kullanıcılara giden kabloyu Zywall un WAN1 bacağına 1.porta takınız. 3. porttan da bir kablo ile Zywall u PC nize bağlayınız. 192.168.1.1 ile Zywall un arayüzüne bağlanınız. Burada Network_Interface menüsü altındaki PPP tabına giriş yapınız. Wan1_ppp satırındaki edit butonuna basarak içeriğine erişin. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 6

Bu menüde ADSL ayarlarınızı yapınız. Nailed-UP seçeneğini işaretleyerek hattınızın sürekli ayakta kalmasını sağlayınız. Kapsülleme olarak pppoe seçiliyken servis sağlayıcınızın size temin ettiği kullanıcı adı ve Ģifrenizi girerek ayarlarınızı kaydediniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 7

Ayarlarınızı kaydettikten sonra PPP menüsüne geri döneceksiniz. ISP hesabınızda bir problem yok ise burada hattın bağlı olduğunu aşağıdaki şekilde göreceksiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 8

Ayrıca Status tabına dönerek Wan1_ppp arayüzünüzün WAN IP nizi alıp almadığını kontrol edebilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 9

2.bir DSL hattınız ikinci bir modeme bağlı ise aynı işlemi yapmak üzere bu modemin de DHCP sini kapatarak, modemi bridge e alırız ve bu modemden çıkan kabloyu WAN2 bacağına 2.porta takarak yukarda bahsedilen işlemleri bu sefer Wan2_ppp için yapar isek, 2. WAN IP sini de Wan2_ppp interfaceine aldırabiliriz. WAN IP sini aldıktan sonra internete çıkışta problem yaşıyor iseniz, Zywall un 3. Nolu bacaktan iç networkünüze IP dağıtırken kullanıcılara vermiş olduğu DNS leri değiştirmeniz ve cihazın route tanımlamaları ile ilgili bir problem olup olmadığını kontrol etmeniz önerilir. Cihazın DHCP sunucu olarak Ip dağıtacağı sırada vermiş olduğu DNS leri elle değiştirmek için; Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 10

Cihazın rota tanımlarını kontrol etmek için Network_Routing menüsündeki Policy route tablosunu inceleyeceğiz. Burada incoming kısmında lan1 i gördüğünüz komut satırının sağ tarafındaki edit butonunu kullanarak bu rotayı değiştireceğiz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 11

Bu route kuralı içerisinde next-hop kısmında Type Interface e, Interface de WAN1_ppp ye çekilerek kaydedilir. Internet bağlantısı sağlanmıştır. 3. porttan çıkan kabloyu switche ve onun üzerinden de PC lere bağlayabilirsiniz. Dikkat edilirse, bu senaryoda Cihazın LAN bacağı (3. port) ile ilgili herhangi bir ayar yapmadık. Fabrika ayarlarınca bu bacağın IP si 192.168.1.1 dir ve bu arayüze bağlanacak IP lere 192.168.1.33 den başlayarak otomatik olarak IP dağıtılacaktır. Talep edilirse Network Interface menüsünde Ethernet tabına gelinerek LAN1 edit butonu ile düzenlenebilir. İç networkte farklı bir IP bloğu ve dolayısıyla farklı DHCP ayarları, elle DNS girişleri yapılabilir. 2.Senaryo Burada interneti sonlandırmış olduğunuz modemin operasyon modunda değişiklik yapmadan Zywall u modem ile kullanıcılar arasına yerleştireceğiz. ZyWALL öncesi senaryoyu hatırlayalım Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 12

Modem Switch PC ler Zywall sonrasında Public (WAN) IP Private (LAN) IP 88.34.45.43 192.168.1.1 192.168.1.33--- Modem Firewall Switch 88.34.45.43 10.10.10.1 10.10.10.2 192.168.1.1 192.168.1.33 PC ler Dikkat edileceği üzere iç networkte PC lerin kullandığı Ip bloğunu değiştirmemek için modemin ve modemin Zywall a bağlantısı olan WAN1 bacağı arasında 10.10.10.0 gibi 2. bir network tanımı yapılmıştır. Modemin LAN IP sini 10.10.10.1 IP sine çekip ayarları kaydettikten sonra cihazınızın Network----Interface menüsünden bu sefer cihazın modeme bakan bacağı olan WAN1 interface ini yapılandıracağız. Bunun için wan1 e tıklayarak Ethernet menüsüne yönleniyoruz. Burada wan1 in sağ tarafındaki edit butonuna basarak wan1 arayüzüne ulaşıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 13

Burada Use Fixed IP Adres kısmını işaretleyerek modemin IP bloğundan bir IP yi WAN1 için giriyoruz ve gateway olarak da modemin IP si olan 10.10.10.1 i kullanıyoruz. OK ile ayarları kaydediyoruz. PC lerin otomatik olarak alacağı IP bloğunu cihazın LAN1 bacağına tanımladık ve Modem ile de Zywall un bağlantısını sağlayan WAN1 bacağını modem ile aynı bloktan tanımlamaktı. Şimdi yapılması gereken işlem; Zywall un Lan1 bacağına gelen trafiğin WAN1 e oradan da modeme ve internete ulaşabilmesi için bir yönlendirmedir. Bunun için Network menüsü altından Routing menüsü kullanılarak policy route girişi yapılacaktır. Burada incoming kısmında lan1 gözüken otomatik kural satırında sağdaki edit butonu kullanılarak bu kuralı değiştireceğiz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 14

Bu menüde next-hop kısmında Type kısmını Trunk dan Interface e çekip alttaki Interface kısmında da wan1 i seçip ayarları kaydediyoruz. Cihazınız belirtilen senaryoda LAN1 (3. veya 4. port) arayüzüne gelen kendi iç Ipleri dışındaki trafiği WAN1 bacağına yönlendirmiştir. WAN1 bacağının da gateway i modem IP si olarak yapılandırıldığından internet erişimi sağlanmıştır. Artık LAN1 bacağından PC nize bağlı kabloyu switche ve onun üzerinden PC lere aktarım yapabilirsiniz. *Bu senaryo kurulum ve ayarlar bakımından daha basit gözükse de önerilen bir kurulum değildir. Zywall cihazlarının session kapasitesi normal modemlerden yüksek olduğundan modemi bridge mode a alıp interneti Zywall da sonlandırmak daha yaygın kullanımdır. Örnek olarak port yönlendirmede de bu senaryo sıkıntılara yol açabilir. Mesela iç network dışından içerideki bir sunucuya Remote Desktop bağlantısı yapılmak isteniyor. Bu durumda dışarıdan içeriye doğru tüm portların modemde Zywall un WAN IP sine yönlendirilmesi gerekecek ve Zywall da da sunucu IP sine yönlendirme tanımlamaları ayrıca yapılmak zorunda kalacaktır. Bir başka problem de VPN de ortaya çıkabilir. Zywall un terminator olarak yapılandırılmak istendiği bir senaryoda Zywall üzerinde VPN tünelini sonlandırmak için modemin VPN passthrough özelliği olmalıdır. Aksi takdirde tünel kurulamaz. Her şeye rağmen bu konfigurasyon ile ZyWALL u yapılandırır iseniz bahsedilen problemlerin aşılması konusunda yapılması gereken ileri düzey ayarlar ile ilgili ayrıntılı destek için bizlerle irtibata geçiniz. Eğer WAN IP sini 1. Senaryoda anlatıldığı üzere Zywall almış olsaydı, bu problemler ile uğraşmak zorunda kalmayacaktık. Cihazın kurulumunun ilk kısmı olan internet bağlantısı şu ana kadar anlatılmıştır. Cihazın ileri düzey ayarlarıysa aşağıdaki başlıklar altında incelenecektir. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 15

Bu noktadan sonraki ayarlar her iki senaryo için ufak tefek farklar dışında aynıdır. Biz aşağıdaki tanımlamaları modemlerin bridge mode da olduğunu ve gerçek Ip nin Zywall un Wan1_ppp interface inde sonlandırıldığını kabul edeceğiz. Değişiklikler fark edeceğiniz üzere modemin bridge modeda olduğu 1. Senaryo için kurallarda cihazın internet bağlantısı olan wan1_ppp ve/veya wan2_ppp nin, 2. Senaryo için ise wan1 ve/veya wan2 nin kullanımından ibarettir. Bu andan itibaren 1. Senaryoya göre anlatılacak ayarlarda 2. Senaryoyu kullanıyorsanız wan1_ppp nin yerine wan1 ve wan2_ppp nin yerine wan2 seçmeniz yeterli olacaktır. 3.WAN Trunking (Birden Fazla WAN IP sini cihazda sonlandırmak ve Yük PaylaĢımı) Birden fazla ADSL hattınızın olduğu bir ortamda bu hatları ZYWALL da sonlandırıp yük paylaşımı yapmak istediğinizi düşünelim. 2. bir modemde 2. bir hattınız sonlandırılmış durumdaydı. Bu modemi şu ana kadar anlatılanlar doğrultusunda ya route modeda bırakıp WAN2 interface ine tanım yapmamız ya da bridge mode a alıp wan2_ppp yi yapılandırmamız gerekmektedir. WAN ayarlarını yaptıktan sonra Network_Interface menüsü altındaki Trunk tabına geliniz. Burada WAN_TRUNK satırının modify ile ayrıntılı ayarlar menüsüne giriş yapınız. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 16

Burada bu trunk a dahil olan interfaceler ve bu trunkın kullanacağı algoritma seçilebilir. Interfacelerden WAN çıkış noktalarımızı seçerek algoritmayı da tanımlayıp ayarları kaydediyoruz. Burada Least Load First (Müsait Band genişliği en yüksek olandan çık.), SpillOver(Sıralamada öncelikli Interface in tamamı kullanılmadan diğer interface den çıkma.) ve Weighted Round Robin(Çıkış Önceliği belirle.) algoritmalarından netwokünüze uygun olacak olan algoritmayı seçiniz. 1. Hattın düşmesi durumunda 2. Devreye geçsin şeklinde tanım yapmak isteniyor ise 1. Hattı active, 2. Hattı da passive olarak seçmek gerekmektedir. Bu noktadan sonra iç networkünüzden LAN1 e gelecek trafiğin tanımlı algoritma çerçevesinde trunktan çıkmasını sağlamak için Network_Routing menüsünden policy route u da kontrol etmemiz gerekiyor. Burada ilgili network için tanmlı kuralda next hop Trunk ve Trunk da ayarlarını yaptığımız WAN_TRUNK seçili olmalıdır. Değilse edit butonu ile ayarları düzeltiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 17

Trunk yapısı bazı noktalarda sizlere problem çıkarabilir. Gov uzantılı siteler ve banka sitelerine girişte trunking devredeyken siteye gönderdiğiniz paketlerin bir kısmı WAN1 gerçek IP nizden bir kısmı da WAN2 gerçek Ip nizden sunuculara geldiğinde bu paketleri güvenlik gereği discard edebilirler ve bağlantı problemleri yaşayabilirsiniz. Bunun için policy route menüsüne lan1 için geçerli rota kuralının üzerine sadece https servisini belirli bir interface den (wan1_ppp veya wan2_ppp) çıkaracak şekilde bir next hop tanımı yapılmalıdır. Trunking ile ilgili ileri düzey ayarlar ile ilgili bizlerle irtibata geçiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 18

4. Güvenlik Servislerinin Aktiflenmesi Cihazınız ile birlikte satın almış olduğunuz AV,CF ve IDP gibi servisleri ilk defa aktiflemek için ilk olarak, Licensing menüsü altındaki Registration tabı kullanılarak cihazınızı talep ettiğiniz bir kullanıcı adı ve şifre ile myzyxel.com veritabanına kaydettirmeniz gerekmektedir. Bu ayarları yapar iken bu servislerin trial versiyonlarını da seçerek 1 aylık servisleri ilk aşamada yapılandırabilirsiniz. Kayıt ettirdiğiniz cihazda aktiflediğiniz servislerin içeriğinin güncellenmesi için Update menüsünden otomatik veya manuel update işlemlerini yapabilirsiniz. Deneme sürümleri kullanım süresini aşınca cihazınızla gelen servislerin orijinal lisans anahtarlarını girerek 1 yıllık korumanızı aktifleyebilirsiniz. Bunun için Licensing- Registration menüsündeki Services tabını kullanabilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 19

Burada License Key kısmına elinizdeki ürün anahtarlarını girerek update butonuna basarak servislerinizi aktifleyebilirsiniz. Cihazınızı resetlemeniz ve yeniden kurmanız gerektiğinde lisans işlemleri için tek yapmanız gereken Licensing-Services tabındaki Service License Refresh butonuna basarak cihaz üzerinde aktiflediğiniz servislerin son durumunu otomatik olarak güncelleyebilirsiniz. *Myzyxel.com hesabınızın kullanıcı adını biliyor ve şifrenizi unuttuysanız, www.myzyxel.com sitesine kullanıcı adınızı yazıp şifremi unuttum seçeneği ile bu hesabı açarken kullandığınız mail adresine şifrenizin iletilmesini sağlayabilirsiniz. Hem kullanıcı adı hem şifrenizi unuttuysanız destek@zyxel.com.tr adresine durumu açıklayan bir mail ile bu hesapla kaydettirmiş olduğunuz cihazınızın MAC adresini ve seri numarasını iletiniz. Seri numarası ve MAC adresini cihazın arayüzünde status menüsünden veya cihazınızın altındaki barcode dan kontrol edebilirsiniz. Registration işlemleri ile ilgili yaşadığınız problemler ile ilgili bizlerle irtibata geçiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 20

5.Port Yönlendirme ve Firewall Zywall üzerinde port yönlendirme işlemleri için Network_Virtual Server menüsü kullanılır. Örnek olarak içerideki bir sunucuya iç network dışından bir Uzak masaüstü bağlantısı yapacağımızı düşünelim. Yapmak istediğimiz işlem ofis dışındaki bir IP den mstsc (remote desktop connection) ekranına gerçek IP mizi(örnek:88.245.34.45) yazarak içerideki 192.168.1.x IP li sunucuya ulaşmak. Bunun için ilk olarak virtual server menüsünde sağ taraftaki artı butonuna tıklayarak kural eklememiz gerekiyor. Burada oluşturacağımız kuralı aktiflemek için Enable Rule u seçip tanımlayıcı bir ifadeyle kurala isim veriyoruz. Incoming interface olarak dışarıdan geleceğimiz IP yi alan interface i wan1_ppp yi seçiyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 21

Original Ip ye any olarak giriş yapıp Mapped IP ye içeride bağlanmak istediğimiz IP yi yazıyoruz. Bunun için bu Ip yi bir object olarak cihaza tanımlamamız gerekiyor. Create object seçilerek karşınıza gelecek popup menüsü ekranında bu tanım yapılabilir. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 22

Bu ekranda bu uygulamada ihtiyacımız olacak tek bir IP tanımlamak için Adress Type kısmında HOST seçilerek name kısmına tanımlayıcı bir isim ve IP adress kısmına da içeride ulaşmak istediğimiz cihazın Ip sini tanımlıyoruz. Bu ekranı kaydedince otomatik olarak Virtual Server kural ekranına dönüş yapacağız. Port mapping Type kısmında Service, Port ve Ports seçilebilir. Service seçerek buradan port bazında cihazda otomatik tanımlı servislerden ihtiyacımız olanı bulabilir veya create object i kullanarak bu trafiğin kullanacağı portu tanımlayarak seçebiliriz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 23

Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 24

Bu örnekte 3389 portunu yönlendiriyoruz. Eğer belirli bir port aralığını yönlendirmemiz gerekseydi, ports seçeneğini kullanmamız gerekirdi. Port olarak seçim yapıldığında ihtiyacımız olan 3389 portunu; hem Zywall gelişi hem de içerideki cihaza erişim için bu port kullanılacağından; hem original porta hem de mapped porta girmemiz gerekiyor. Policy Route menüsüne otomatik bir rota girilmesi için de NAT 1:1 mapping seçilmeli ve ayarlar kaydedilmelidir. Dışarıdan içeriye doğru Zywall a gelecek olan 3389 trafiğini ilgili sunucuya yönlendirdik fakat bu noktada göz önüne alınması gereken bir diğer faktör de Firewall davranışıdır. Fabrika ayarları gereğince LAN dan WAN a doğru (içeriden dışarıya) tüm trafik açık durumda iken WAN dan LAN a (dışarıdan içeriye); ki bu örnekte de Zywall a dışarıdan içeriye bir trafik söz konusu; tüm trafik kapalıdır. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 25

Firewall da WAN dan LAN a 3389 trafiği ile ilgili bir istisna kuralı oluşturmaz isek yapılan port yönlendirme işleminin herhangi bir faydası olmayacaktır. Bunun için Firewall menüsünden sağdaki artı butonuna basarak kural tanımlamamız gerekiyor. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 26

Kuralı aktiflemek için Enable seçilir. Tanım için description kısmına bir isim verilir ve trafiğin yönü WAN dan LAN a doğru olduğu için From kısmı WAN to kısmı LAN1 olarak seçilir. Schedule,User, Source,Destination menüsü any olarak seçilir.(source kısmı create object ile tanımlanacak dış Ipler olarak seçilirse kaynak adresi belirli bir IP veya IPlerden gelirse ancak bu kuralın geçerli olacağı anlamına gelecek ve kısıtlama yapılmış olacaktır. Destinationa herhangi bir hedef girişine gerek yoktur. Zaten sonuç olarak Zywall a gelecek herhangi bir 3389 trafiği sadece bizim virtual server menüsünde tanımını yaptığımız sunucuya gidecektir.) Service kısmında create object ile 3389 portu için servis tanımı yaparak bu kuralı sadece bu servis için tanımladığımızı bildireceğiz. Bu popup menüsünde ayarları kaydettiğimizde kurala geri dönmüş olacağız ve son hali aşağıdaki gibi olacaktır. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 27

Kuralı kaydettiğimizde Firewall genel menüsünde WAN dan LAN a tüm trafiği yasaklayan 2 numaralı kuralın üzerinde 3389 trafiğine izin verecek kural oluşmuş olacaktır. Firewall işleyişinde kuralların sıralaması önemlidir. Örneğin burada Zywall a gelen trafik 3389 trafiği ise sırayla kontrol edeceği kurallardan 1 numaralı kurala uyduğu algılanacak ve ona göre işleme tabii olacaktır. Fakat bu trafik WAN dan Lan a farklı bir porttan trafik olsaydı, 1 numaralı kurala uymayacak, bunun dışındaki tüm trafik için 2 numaralı tüm portları kapatan kurala tabi olacaktır. Bu genel kuralın 3389 nolu port için oluşturduğumuz istisnai kuralın sıralamada üzerinde olduğunu varsayalım. Bu genel kural üstte olsaydı, 3389 dan da trafik gelse genel kurala uyacağı için yasaklanacak ve alttaki buna izin veren kurala bakılmayacaktı. Bu kural tamamen etkisiz hale gelirdi. Bu tip birbirini ezecek kuralların sıralamasını düzenlemek için sağdaki N butonu kullanınız. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 28

Port yönlendirme ve Firewall kuralları ile ilgili ileri düzey ayarlar veya sıkıntı yaşadığınız spesifik senaryolar hakkında destek almak için bizlerle irtibata geçiniz. 6.VPN KURULUMU a-) IPSEC VPN kurulumu Site to site IPSEC VPN kurulumunda karşı tarafın ayarlarını karşılayacak şekilde Zywall da yapılması gereken ayarlar aşağıda anlatılacaktır. Buradaki ayarlar daha önce de belirtildiği gibi Zywall un Wan bacağında Wan1_ppp de interneti sonlandırdığımız modemin bridge mode da olduğu kabul edilerek yapılmıştır. Route mode da olan ve VPN passthrough özelliği olan bir modemin arkasındaki Zywall da modem içerisinden geçen tünelin sonlandırılması ile ilgili farklı bir senaryo talep ediliyorsa, bu ayarlar ile ilgili bizlerle irtibata geçiniz. Ipsec VPN kurulumu için VPN-IPsec VPN menüsü altındaki tablardan ilk olarak VPN Gateway tabını kullanarak faz1 ayarlarını yapacağız. Burada Add VPN gateway butonuna tıklayarak ayrıntılı ayarlar menüsünü açıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 29

VPN Gateway menüsü içerisinde Gateway e bir isim verip iki tarafın da internete bakan WAN IP lerini tanımlamış oluyoruz. My Adres kısmına WAN IP mizi alan WAN1_ppp yi seçiyoruz. Peer Gateway Ip kısmına karşı tarafın Wan IP si yazılıyor. Authentication kısmı için her iki tarafta da aynı olacak şekilde bir Pre-shared Key girişi ve içerik doğrulama için de Local ve Peer ID type ları IP olarak, contentler 0.0.0.0 olarak giriliyor. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 30

Güvenlik doğrulaması adına faz1 ayarları karşı tarafta da aynı olacak şekilde girilir. Biz burada Encryption olarak DES ve authentication olarak MD5 i tercih ettik. Ayarları ok ile kaydedip gateway oluşturma işlemini tamamlıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 31

Sonrasında faz 2 ayarlarını yapıp tüneli tamamlamak için VPN connection tabında add connection butonuna tıklıyoruz. Burada Bağlantı ismine bir giriş yapıp VPN gateway i tanımladığımız gateway olarak seçiyoruz. Policy menüsünde de bu tünel ile bağlayacağımız tüneli sonlandırdığımız iki cihazın arkasındaki subnetleri tanıtıyoruz. Local Policy kısmına LAN1 Subnet, Remote Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 32

policy kısmına da karşı tarafın subnetini giriyoruz. Karşı tarafın subnetini de create object menüsü yardımıyla oluşturup girebildiğimize dikkat ediniz. Faz 2 encrypion ve authentication değerlerini de karşı tarafla aynı olacak şekilde seçiyoruz. Biz burada faz 2 için de DES ve MD5 algoritmalarını kullandık. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 33

Ayarları kaydedip çıktığımızda ve karşı tarafta da tünelin bu tarafındaki ayarları karşılayacak şekilde ayarların yapıldığını düşünürsek, ping komutu ile tünel ayağa kaldırılmaya hazırdır. Pinglere cevap aldığınızda, VPN tünelinin bağlantı simgesinin bağlı duruma geçtiğini ve tünelin SA Monitor ekranından görüntülenebildiğini göreceksiniz. Karşı taraftan Zywall un bacağına kadar tünel üzerinden ping atılabiliyor fakat arkasındaki networke ulaşılamıyor ise karşı taraftan gelen paketin dönüşü için Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 34

Zywall a policy route girilmesi gerekebilir. Bunun için NETWORK_Routing menüsü altında policy route a add butonu kullanılarak kural eklemesi yapılır. Kuralı basit şekilde ifade edecek olursak, herhangi bir interface e(interface any) herhangi bir saatte(schedule any) herhangi bir trafik(service any) herhangi bir kullanıcıdan(user any) herhangi bir kaynak Ip sinden(source any) gelip destination ı karşı tarafın local subneti olan bir talep olursa (destination VPN faz 2 tanımı yaparken Remote subnet olarak tanımladığımız object) next hop olarak Type TUNNEL ve Tunnel de oluşturduğumuz Tünel seçilerek kural tamamlanır. Böylece Zywall a hedefi karşı tarafın subneti olan bir trafik için Trunk ı veya wan1_ppp yi kullanmasını değil, tüneli kullanması gerektiğini tanımlamış oluruz. b-)ssl VPN KURULUMU Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 35

Zywall cihazınızda SSL VPN sonlandırıp web uygulamaları ve dosya paylaşımı gibi işlemleri uzaktan bağlanan kullanıcılara eriştirebiliriniz. Öncelikle bu kullanıcılar için SSL VPN ile cihaza bağlanmaları adına user tanımı yapılması gerekiyor. Daha sonra SSL VPN ile yapılacak uygulama için SSL application tanımı yapılacaktır. İlk önce Object menüsü altında user menüsünden kullanıcı tanımı yapılacaktır. Artı butonuna tıklayarak yeni kullanıcı ekleyelim. Daha sonra Object Menüsü altında SSL Application da artı butonuna tıklayarak uygulama oluşturmamız gerekiyor. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 36

Burada tanımlı uygulamalardan Web application veya File sharing i senaryonuzu göz önüne alarak oluşturun. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 37

Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 38

Daha sonra VPN_SSL VPN menüsüne gelerek Access pivilege de artı butonu yardımıyla bağlantı yapacak kullanıcılar ile ilgili yapılan tanımlamaları cihaza giriyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 39

Burada SSL VPN i aktiflemek için enable ı işaretleyip, User/Group kısmına SSL VPN için tanımladığımız kullanıcıları ve SSL APPlication List kısmına da tanımladığımız SSL uygulamasını giriyoruz. Network extension kısmında Enable Network Extension ı seçerek dışarıdan bağlanacak kullanıcıların networkümüzün devamı olarak görülmesini Assign IP pool ile de belirttiğimiz aralıkta bağlanacak kullanıcıların kendi subnetimizden Ip alabilmesini sağlıyoruz. Bunun için create object seçip gelen popup menüsünü kullanıyoruz. Network List kısmında da SSL VPN ile bağlantı yapan kullanıcıların hangi Ip lere veya subnetlere ulaşabileceğini tanımlıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 40

Bu tanımlamalar yapıldıktan sonra dışarıdan bir IP ye sahip bir PC ile bağlantı testini yapınız. Interneti olan bu makinede browser üzerinden Zywall a wan1_ppp Ip sini yazarak bağlanınız. Gelen kullanıcı adı ve şifre ekranına tanımlanmış SSL kullanıcılarından birinin hesap adı ve şifresini girerek, Log into SSL VPN seçeneğini tıklayarak giriş yapınız. Burada karşınıza gelecek Simulator size tanımını yapmış olduğunız IP havuzundan bir Ip vermeye çalışacaktır. IP yi başarılı şekilde aldıktan sonra uygulamanıza erişebilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 41

7.AppPatrol Uygulamaları Kullanıcıların en fazla yapmak istedikleri yönetimlerden biri de MSN bloklama, P2P uygulamaları engelleme gibi işlemler olarak karşımıza çıkar. Bunun için Firewall dan bu programların kullandığı portları biliyor isek yasaklamak bir yöntemdir. Fakat farklı farklı portları kullanan programlara her bir port için kural oluşturmak pratik bir yöntem değildir. Bu noktada AppPatrol menüsünde sizin için cihazda tanımlanmış olan uygulama bazlı yasaklamaları daha kolay yapabilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 42

Örnek olarak belirli bir grup kullanıcının MSN e girişini engeller iken bir başka gruba da izin verelim. İlk olarak AppPatrol menüsünde uygulamayı enable ediyoruz. Common tabında port bazlı servisleri yasaklamak için tanımlanmış servisleri görebilirsiniz. Bu menüden mail trafiğini,internet ve ftp erişimini düzenleyecek kurallar tanımlayabilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 43

Msn örneğine dönecek olursak, bunun için Instant Messenger tabını açıyoruz. Burada msn satırında modify a basarak msn kullanımı kurallarını belirleyeceğiz. Modify ile karşımıza gelen ekranda msn ile ilgili kuralın aktifleneceği enable kutusunu işaretleyerek, alt tarafta kurala göz atıyoruz. Burada msn için fabrika ayarları gereğince tüm kullanıcılara izin veren kuralı görüyoruz. Bu kural sadece edit edilebilir, silinemez. Bu noktada karar vermeniz gereken networkünüzdeki kullanıcıların çoğunluğunun msn e girebileceği veya giremeyeceğidir. Biz çoğunluğa yasaklamak, ufak bir gruba da izin vermek istiyor olduğunuzu varsayalım. Bunun için tanımlı tüm network için default kuralı edit ederek izin ver yerine yasakla haline getirip, bu kuralın üzerine de izin vereceğimiz kişiler adına bir kural daha oluşturmamız gerekiyor. Aynı FW kurallarında olduğu gibi buradaki kurallarda da sıralama önemlidir. Specific belirli kişileri, belirli servisleri içeren kuralları her zaman için genel kapsamlı kuralın üzerine yerleştiriniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 44

Şimdi biz tüm kullanıcılara msn i yasaklaması için mevcut kuralı edit ediyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 45

Kural içerisinde bu uygulama için forward olarak seçili Access menüsünü reject veya drop a çekiyoruz. Bu şekilde kaydedip Msn menüsüne dönüyoruz. Burada kuralın herkese msn i yasaklayacak şekilde değiştiğini görüyoruz. Şimdi de artıya basarak MSN e girmesine izin vereceğimiz kullanıcılar için yeni bir kural ekliyoruz. Kural sayfası açıldığında source kısmında msn e giriş izni olacak IP leri create object seçerek açılan popup menüsünden tanımlıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 46

Belirli bir IP bloğunu ifade edeceğimiz için range seçerek başlangıç ve bitiş IP lerini girerek tanımlıyoruz. Object i tanımlayıp kaydettiğimizde kural içerisine dönmüş olacağız. Kuralda source adres olarak tanımlamış olduğunuz IP yi göreceksiniz. Access kısmında da forwardı seçip kuralı kaydediyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 47

Bu kuralı da kaydettiğimizde aşağıdaki gibi msn ile ilgili tanımlanmış kuralları göreceksiniz. Sonuç olarak kaynak IP si MSN_IZINLI isimli object ile belirlenmiş IP lerden gelen MSN talebi 1. kural gereği izin alarak msn girişi sağlayacak. Eğer bu IP ler dışında bir IP den MSN talebi gelirse 1. kurala uymadığı için alttaki kurala geçecek ve alttaki kural da ne olursa olsun MSN i yasakla şeklinde tanımlı olduğundan bu kuralla eşleşen trafik MSN i yasaklayacaktır. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 48

8. AntiX Menüleri a) Anti Virus Tanımlamaları Cihazınızla satın almış olduğunuz AV 1 yıllık lisansını veya 1 aylık deneme sürümünü aktifledikten sonra tüm networkünüzdeki trafiği Virus korumasına almak için AntiX menüsündeki Anti-Virus menüsünü kullanacağız. İlk yapılması gereken bu menüye ilk tıklandığında sağ tarafta karşınıza gelecek olan ekranda Anti-Virus ve Anti-Spyware özlliklerini aktiflemek için enable butonuna basıyoruz. Bu servisi aktifleyerek fabrika çıkışı ayarlar gereğince tanımlı herhangi bir adresten(lan dan WAN a, LAN dan LAN a, WAN dan LAN a veya WAN dan WAN a) herhangi bir adrese tüm http,ftp,mail ve IMAP trafiğinizi kontrol edecek default policy deki kuralı aktiflemiş oluyoruz. Black\White List menüsünde yapılabilecek uygulamalar veya bu menüyü ne şekilde kullanmamız gerektiğini açıklamak için şu örneği kullanalım. Exe uzantılı herhangi bir dosyanın networke erişimini engellemek için bu kısayolu black liste eklemek istiyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 49

Black\White List tabına basılarak sağdaki artıdan yeni kuralı kara listeye ekliyoruz. (Benzer şekilde güvenilir uzantıları da whitelist e basarak ekleyebilirsiniz.) Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 50

Bu menüde *.exe diyebileceğimiz gibi sadece exe yazarak da bu uzantılı dosyaların yasaklanmasını sağlayabiliriz. Bu listeye dosya eklemek genel AV kuralında blacklist ve Whitelist i göz ardı et seçiliyse herhangi bir işe yaramayacaktır. Bu sebeple AV için tanımlı default kuralı edit ederek biraz inceleyelim. General tabına dönüş yaparak policy kısmındaki kuralı modify edelim. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 51

Burada kuralı aktifleyebileceğimiz veya pasif hale getirebileceğimiz enable sekmesi, virus taramasından geçirilecek trafiğin yönü, taranacak protokoller ve bulunan zararlı dosyalarda yapılacak işlem tanımlarının olduğu kısımlar mevcuttur. Ayrıca karalisteye veya güvenilir listeye eklemiş olduğumuz tanımları da kontole ekle veya göz ardı et seçenekleri bulunmaktadır. Alt tarafta da bilinmeyen formatta sıkıştırılmış ve Zywall tarafından açılamayan dosyalar hakkında ne gibi bir işlem yapılmasını istediğimizi tanımlayabiliyoruz. (Zywall cihazı bilinen zip,rar gibi sıkıştırılmış dosyaları açabilme ve açtıktan sonta Virus taramasından geçirme özelliğine sahiptir.) Cihazın Anti Virus operasyonu yukarıdaki gibi özetlenebilir. Bu örnekte eklemiş olduğumuz exe uzantılı dosyalara izin verme şeklindeki tanım bu dosyanın bilgisayarınıza ulaşamayacağı, kaydedemeyeceğiniz anlamına gelmeyecektir. Sadece içeriği silinerek çalıştırılamaz hale gelecektir. b) IDP Menülerinin Kullanımı Intrusion Detection olarak algılanan dış ataklara karşı (ki bunlar ip atakları,dos atakları ve spoof atakları gibi örneklenebilir.) cihazınız ile beraber almış olduğunuz IDP Icard ile aktiflediğiniz signature bazlı güvenlik aşağıdaki şekilde yapılandırılır. Cihazınızda AntiX menüsü altındaki IDP menüsünde Enable işaretlenerek servis aktiflenir. Burada alt tarafta Lan subnetiniz yani iç netorkünüz için fabrika çıkışında ayarlı olan LAN IDP profilinin çalıştığı görülmektedir. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 52

Üstteki profile sekmesinden iç networkünüz için IDP servisi olarak tanımlı profile ulaşabilir, konu hakkında ayrıntılı bilgiye sahip iseniz edit edebilirsiniz. LAN_IDP olarak default tanımlı profilde bilinen atak tiplerinin çoğuna karşı tanım yapılmış ve aksiyon uyarma şeklindedir. Bu sebeple sadece ana menüdeki IDP yi enable etmek bile tanımlı LAN_IDP profilini devreye sokacağından yeterli olacaktır. IDP atakları geldiğinde cihaz arayüzüne girildiğinde karşılama ekranı olan Status menüsünde Top 5 intrusions &Virus detections kısmına bu ataklar düşecektir. Ayrıca Maintenance menüsü altındaki Logs menüsünde de display kısmını IDP seçerek logları görüntüleyebiliriz. İki kısımda da saldırı tipi saldırı ID si SID görüntülendikten sonra IDP menüsündeki Profile gelerek buradaki LAN_IDP profilini edit edip saldırı tipini ilgili menü altında bulup buna karşılık cihazın vereceği aksiyonu belirleyebiliriz. IDP hakkında ayrıntı bilgi için bizlerle irtibata geçebilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 53

Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 54

c) Content Filter Uygulamaları İç networkünüzdeki kullanıcıların internet erişimleri ile ilgili internet sayfalarının görüntülenmesi konusunda yönetimsel olarak Firewall da 80 portu üzerinden LAN dan WAN a kısıtlama kuralı tanımlamak veya AppPatrol da Common altından http trafiği ile ilgili kural tanımlamak her ne kadar bir çözüm olsa da, site bazlı şu kullanıcı grubu şu sitelere girebilsin, şunlara giremesin, şu kullanıcı grubu sadece şu sitelere girsin veya sınırsız yetkili grubum olsun şeklindeki talepler için tanım yapılacak adres Content Filter dır. Burada AntiX menülerinde Content Filter menüsüne tıkladığınızda karşınıza gelen ilk ekran profillerin kullanıcı gruplarına atanacağı policy ekranıdır. Bu tanımda da anlaşılacağı üzere ilk olarak Content Filter profilleri tanımlamamız gerekir. Bunun için de profile tabını kullanacağız. Burada kaç adet kullanıcı grubu oluşturmamız gerektiğini göz önüne alarak o kadar sayıda profil oluşturmamız gerekiyor. Örnek olarak belirli bir kullanıcı grubuna internette full yetki, diğer kullanıcılara da internete sıkı bir içerik filtreleme sonrası bu içerik filtrelemenin dışında kalacak siteler için çıkış yetkisi verelim. Bunun için iki adet profil tanımı yapmamız gerekiyor. Artıya basarak yeni bir profil eklemek için giriş yapıyoruz. Karşımıza ilk gelen kısım kategori bazlı tanımların yapılacağı Category service kısmı. Burada filtreye bir isim veriyoruz. Alttaki kategoriler myzyxel.com tarafından tanımlanmış ve internet üzerindeki tüm sitelerin bu başlıklar altında sınıflandığı kısımdır. Burada yasaklamak istediğiniz kategorileri işaretliyoruz. Üst tarafta gördüğünüz kısımda ise bu seçilen kategorilerdeki sitelere rastlandığında ne yapılması gerektiğini bildiriyor ve loglarını tutup tutmamasını istediğimizi tanımlıyoruz. Buradaki matched web pages myzyxel.com veritabanında aşağıdaki kategorilerden birine göre sınıflandırılabilmiş siteler olarak ifade edilebilir. Unrated web pages alttaki kategorilerden herhangi birine girmeyen, sınıflandırılmamış bir siteyi ifade edebilir. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 55

When Content Filter Category Server is unavailable kısmı da CF sunucusuna ulaşılamadığı durumlarda internet erişiminin ne şekilde yapılması gerektiğine karşılık gelir. Burada content filter category sunucusuna ulaşılamadığı durumlarda bu filtre profiline tabi kullanıcıların internete çıkmamasını veya hiçbir kısıtlama olmadan çıkmasını block veya forward olarak tanımlayabiliriz. Hangi kategorileri seçmeniz gerektiğine dair şüphe içerisinde iseniz, sayfanın alt tarafındaki kısımdan url adresini yazarak category sunucusundan sitenin categorisi hakkında sorgu yapabilirsiniz. Burada yapacağınız sorgulama sonucu size milliyet.com.tr adresinin news/media category kısmına girdiğini belirtecektir. Bu kategori seçilirse tüm haber siteleri yasaklanacaktır. Kategory bazlı bu filtreleme bu şekilde çalışmaktadır. Bu tanımlardan sonra ayarları kaydedip profil menüsüne döneriz. Burada filtre1 adıyla tanımlı profili sağdan edit diyerek tekrar açalım. Kategori bazlı cihaz tarafından myzyxel.com veritabanından otomatik yapılan bu filtreleme dışında sizin de eklemek istediğiniz herhangi bir güvenilir site, yasaklı site veya keyword var ise Custom Service tabını kullanarak tanımlama yapabiliriz. Örnek olarak veritabanında şirket siteniz veya sık kullandığınız bir site rate edilmemiş, herhangi bir kategoriye konmamış ve siz Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 56

category tarafında rate edilmeyen siteleri(unrated web pages) yasaklayı seçtiniz. Bu durumda bu siteye filtrenin kategori bazlı kısmı erişimi engelleyecektir. Bu siteyi elle güvenilir site olarak eklemek için bu menüyü kullanabiliriz. Bu tanımdan sonra unrated web pages kısmı halen bloklanacak ama sizin güvenli sitelere eklemiş olduğunuz site kategorilendirilmemiş olmasına rağmen engellenmeyecektir. Bir başka örnek news/media categorisini yasakladınız. Ama trusted web site kısmına www.milliyet.com.tr yi eklediniz. News/media kategorisindeki tüm siteler yasaklanacak fakat milliyet.com.tr güvenli siteler listesinde olduğundan bu kategoride olmasına rağmen yasaklanmayacaktır. Bu tanımların yapıldığı Custom Service menüsünü biraz inceleyelim. Tanımlamış olduğumuz (en azından kategori bazlı ayarlarını yapılandırdığımız) profilimizin edit ile içine girdiğimizde Custom Service kısmına basarak aşağıdaki ekranı açıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 57

Burada Custom Service i de enable işaretleyerek yaptığımız kategori bazlı filtre profiline bizim de ekleme yapacağımızı bildiriyoruz. Sitelerin ActiveX kontrollerini,java Appletleri ve Tracking Cookieleri eklemesini ve Proxy değiştirme çabalarını engellemek için Restricted WEB Features Kısmında gerekli kısımları işaretliyoruz. Trusted web sites kısmına güvenilir siteleri yazıyoruz. Burada görüldüğü gibi milliyet.com.tr sitesi eklenmiş. Filtremizde bahsettiğimiz gibi news/category seçeneği seçilerek bu kategorilerdeki sayfalara girişi engellemiştik ama bu şekilde tanımlanırsa (kategori bazlı haber siteleri yasaklı, custom serviste bunun istinası olarak trusted web site a siteyi eklersek) milliyet dışındaki tüm haber sitelerini yasakla demiş oluyoruz. Bir başka konfigurasyon da şöyle olsun NEWS/Media categorisi engellenecekler arasında seçilmemiş. Ama Profilin custom servis kısmında milliyet.com.tr yasaklı sitelerde (forbidden web sites kısmına) elle manuel girilmiş. Bu durumda da haber sitelerinin hepsine gir, milliyet.com.tr hariç demiş oluyoruz. Ayrıca keyword blocking kısmında da eklenen kelimeyi içeren sitelerin erişimini yasakla demiş oluyoruz. ****Bu Custom Service menüsünün üst tarafında Allow web traffic for trusted web sites only Ģeklinde bir kısım mevcut. Bu filtreyi uygulayacağım kullanıcılar benim trusted web sites kısmına elle eklediğim adreslerden baģka adrese girmesinler Ģeklinde yorumlanabilir. Sadece belirli sizin tanımladığınız sitelere girmesini istediğiniz kullanıcı gruplarınız yok ise (bu senaryo ile birebir örtüģen bir durum söz konusu değil ise) bunu iģaretlemeyiniz. Zira bu seçenek iģaretlendiğinde bu filtre profiline tabi kullanıcılar, bu iģlem tüm tanımlı kuralları ezecek ve sadece custom service kısmında trusted web sites kısmına ekli sitelere girebileceği için category bazlı yapılan tanımlamaların herhangi bir anlamı olmayacak ve category bazlı filtreleme yapamıyorum Ģeklinde sıkça yapılan bu hata sonrası problem olarak karģınıza gelecektir. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 58

Profil tanımlamanın ayrıntılarını bir tarafa bırakıp tekrar senaryomuza dönelim. Sıkı bir İçerik Filtreleme profiline tabi kullanıcılarımız ve full yetki ile internete çıkacak kullanıcılarımız olacağını bildirmiştik. Şu ana kadar sadece filtre1 isimli tek profil tanımladık. 2. profil tanımını da full yetki ile internete çıkacaklar için yapmamız gerekiyor. Bu tanımlama için profile menüsünde zaten filtre1 i görüyoruz. 2.yi de aynı şekilde eklemek için artıya basıyoruz. Burada kategori bazlı herhangi bir kutuyu işaretlemiyoruz ve custom servicede herhangi bir tanım yapmıyoruz. Kısacası herhangi bir kısıtlama yapmadık. Sadece filtre2 şeklinde isim verip enable ederek profili aktifliyoruz. Şu an elimizde 2 farklı kullanıcı tipimize uygulayacağımız içerik filtreleme profillerini ayrı ayrı oluşturduk. Fark edeceğiniz gibi henüz sadece profilleri oluşturduk bunları herhangi bir kullanıcı grubuna IP bazlı atama yapmadık. Bunun için de şu ana kadasr ilgilenmediğimiz Content Filter menüsünün general tabını kullanıyor olacağız. Burada alt taraftaki policy kısmında tanımlanmış kuralları hitap ettikleri IP lere tamak için kural eklememiz gerekiyor. Bunun için Policy menüsündeki artıya tıklıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 59

Açılan kural menüsünde Ipleri filtre profilleriyle eşleştirmemiz için ilgili alanlar bulunuyor. Biz senaryo gereği şöyle bir tanım yapıyor olacağız. Tüm networkümüze daha katı olan filtre1 profilini uygula şeklinde bir kural ekledikten sonra, bu kuralın da üzerine belirttiğimiz full yetkili IP lere filtre2 kuralını uygula diyerek 2. bir kural ekleyeceğiz. Burada ilk kural için Adres kısmını any de bırakarak tüm subnetimiz için tanım yaptığımızı bildiriyoruz. Filter Profile da da filtre1 i seçerek bu subnete filtre1 uygulanacağını söylüyoruz. Ayarları kaydedip general menüsüne dönüyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 60

Policy kısmında şu an bu kural eklenmiş olarak gözüküyor. 2. kuralımız için tekrar policy menüsünde sağ taraftaki artıya basarak kural menüsünü açacağız. Burada farklı olacak kısım bu filtre2 profilinin sadece belirli bir IP bloğuna uygulanacak olmasıdır. Bunun için adres kısmında create object seçilerek açılan popup menüsünde filtre2 yi kullanacak full yetkili IP lerin tanımını yapacağız. Burada bu IP bloğuna tanımlayıcı bir isim verip belirli bir IP aralığı bildireceğimiz için RANGE i seçip bu IP bloğunun başlangıç ve bitiş IP lerini yazıyoruz. Burada tek bir IP tanımı yapıyor olsaydık RANGE yerine HOST seçilerek tanım yapacaktık. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 61

Popup menüsünde OK ile ayarları kaydettiğimizde Adres Kısmında Internet_fullyetki kullanıcı grubu seçili olarak policy kuralına dönmüş olacağız. Filter profile da da Filtre2 seçerek bu kuralı da kaydediyoruz. Sonrasında general menüsüne döndüğümüzde ekran aşağıdaki şekilde olacaktır. Burada policy kuralları gereği Zywall a bir http trafiği paketi geldiğinde Content Filter servisi de aktif ise paketin kaynak adresine bağlı olarak uygun kural ile eşleşip o kuralda belirtilen Filtre uyarınca çıkışını sağlayacak veya reddedecektir. Burada cihaza gelen http talebi Internet_fullyetki diye tanımladığımız IP bloğundan ise 1 numaralı kural ile örtüşeceğinden filtre2 ile çıkacaktır. Bu grubun dışındaki bir IP den talep gelirse 1 numaradaki kural ona hitap etmeyeceği için bir alt satırdaki kurala bakacak. Bu satırdaki kuralda kaynak tüm network yani herhangi bir IP olduğundan 1. kurala uymayan pakete karşılık verecektir ve filtre1 uyarınca internet erişimine karar verilecektir. (Bu noktada gene dikkat edilmesi gereken bu kuralların sıralamasıdır. Bir an için 2. kuralın üstte olduğunu düşünün. Internet_fullyetki grubundan veya başka bir IP den gelen trafik bu genel kurala uyacağından altında kalacak olan sadece Internet_fullyetki grubu için tanımlı kuralın bir anlamı olmayacaktı.) Content Filter ile ilgili son olarak birkaç şeye daha göz atmak gerekirse, Bu policyleri tanımlayıp Enable Content Filter ı işaretleyip aktiflediğimizde İçerik filtrelemeyi belirttiğimiz senaryodaki kullanıcı tipleri ve bunlara uygulanacak filtre profilleri bazında devreye almış olacağız. Burada ayrıca Denied Access Message kısmında uygulanan content filterlar sebebiyle yasaklanan bir site olduğunda bu talebi yapan Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 62

kullanıcı ekranında gözükecek uyarı mesajı girilebilir. Örnek: Ulaşmak istediğiniz site sistem yöneticiniz tarafından zararlı bulunmuştur. Redirect URL menüsünde ise herhangi bir URL adresi girişi yapıldığında(örnek olarak şirket sitesi) yasaklanan siteler sonrası gelecek uyarıyla beraber buraya girmiş olduğunuz siteye kullanıcıyı yönlendirebilirsiniz. Son olarak Block web Access when no policy is applied seçeneğine değinmek gerekirse, bu kısım aktiflendiğinde eğer aşağıda policy kuralları herhangi bir Ip yi içermiyor ve bu Ip den bir trafik geldiyse, bu Ip nin çıkışının engellenmesi içindir. Kısacası bunu işaretleyip, aşağıda profil atamalarını yaptığım IP ler dışında kurallarıma uymayan herhangi bir IP nin internet çıkışını engelle demiş oluyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 63

d) Anti-Spam Uygulamaları AntiX menülerindeki bu kısım tamamıyla mail trafiği ile alakalıdır. Spam olarak ifade ettiğimiz istenmeyen maillerin kullanıcı inboxlarına ulaşıp ulaşmayacağı, ulaşırsa Spam addedilen maillerin Subject kısmına (SPAM) ibaresinin yerleştirilmesi gibi işlemler aktifleyeceğimiz AntiSPAM profili ayarlarıyla konfigure edilir. Burada genel profili incelemeden ilk olarak Anti-SPAM ın ayrıntılı diğer menülerin bakalım. DNSBlack list Checking kısmı,sizin www.dnsbl.org gibi bir dnsblack list sunucusundan aldığınız hizmeti cihaza tanımlamanız ve gelen mailleri bu sunucudaki veritabanına sorarak etiketleyip etiketlemeyeceğinizi belirlemek için kullanılır. Bu tip bir sunucudan alacağınız hizmet, size gelen mailin suffix kısmının (@zyxel.com.tr gibi) gerçekten de zyxel.com.tr domaininden gelip gelmediğini DNS kayıtlarından IP bazlı çözümleme de yaparak kontrol etmesi ve bunun karşılığında bu mail SPAM dır veya değildir şeklinde cihaza bildirmesidir. Bu noktada bu ekranda yapılacak ayarlar Enable DNS Black List Checking in işaretlenip aktiflenmesi, DNSBL Domain List kısmında artıya basarak DNSBL hizmeti aldığınız sunucunun cihaza tanıtılması ve DNSBL sunucunuzdan Spam olduğu belirtilen mailler geldiğinde subject kısmına etiket eklemek için DNSBL Spam TAG kısmına subjectte gözükmesini istediğiniz ifadeyi yazmak olacaktır. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 64

Bunun dışında siz de manuel olarak bazı domainlerden mail almak istemiyor iseniz ve bunların tanımını yapmak istiyorsanız, Black/WhiteList tabını kullanabilirsiniz. Örneğin BlackListe bir mail grubu ekleyelim. Bunun için enable black list checking kısmını işaretleyerek blacklist kontrolünü aktifliyor ve blackliste eklediğimiz adresten gelecek maillerin subject kısmına eklenecek etiketi de yazıyoruz. Adres grubunu karalisteye eklemek için de Rule Summary kısmında artıya basarak ekliyoruz. Fark edeceğiniz gibi bu menüde White List i de seçerek aynı şekilde güvenilir adresler tanımı da yapılabilir. Örnek olarak bir müşterinizin mail adresinden gelecek maili bekliyorsunuz ama DNSBL sunucusundan aldığınız hizmet gereği müşterinizden gelecek bu mail adresi SPAM olarak algılanıyor ve siz de Zywall cihazınızda SPAM olarak sunucunuz tarafından algılanan mailleri iletmemeyi seçtiniz. Bu durumda beklediğiniz mail size hiç ulaşamayacaktır. Bunu engellemek için bu adresi güvenilir adreslere ekleyebilir ya da spam olarak ifade edilen mailleri etiketleyip göndermeyi seçebilirsiniz. Bu durumda beklediğiniz mail subject kısmında Spam etiketiyle beraber inboxınıza gelecektir. Eğer bu adresi whiteliste eklerseniz buradan gelecek mailler spam olarak zaten algılanmayacağı için extra bir ayar yapmanıza gerek kalmaz. ( Bu kısım sadece White List menüsünün kullanımı ve kullanım amaçları hakkında bilgi vermek içindir. SPAM olarak DNSBL sunucundan gelen veya karalisteden SPAM olarak algıla dediğiniz mailler geldiğinde Zywall un cevabı hakkındaki ayarlar (inbox a geçir, gönderme veya etiketleyip gönder gibi) aşağıda ayrıca anlatılacaktır.) Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 65

Kuralı oluştururken de belirli bir mail adresi veya adres grubu belirli bir subject içeriği gibi seçeneklerimiz olacak. Biz zyxel.com.tr uzantılı mail adreslerinden gelen mailleri kara listeye ekleyelim. Bunun için altta da görüldüğü gibi E-mail adres seçerek *@zyxel.com.tr şeklinde veya sadece zyxel.com.tr şeklinde tanımı yapıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 66

Bu ayarları kaydedip karalisteye bir kural eklemiş olduk. Karlisteyi de kontrol edecek şekilde profili akiflediğimizde @zyxel.com.tr uzantılı tüm kullanıcı mailleri spam olarak algılanacaktır. DNSBL Checking kısmında cihazı nasıl bir harici sunucudan Spam kontrolü hizmeti alacağına dair tanımlamayı anlattık. Black\White List menülerinin kullanımı ve kullanım amaçlarından bahsettik. Şimdi de yapmış olduğumuz ayarlar sonucu spam olarak algılanan maillerin ne şekilde işlem göreceğine dair profil tanımına bakalım. Bunun için Anti-Spam menüsünün general tabında Enable Anti-spam seçeneğini işaretleyerek aktif duruma getiriyor ve yeni bir profil eklemek için Policy summary kısmında sağdaki artıya basıyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 67

Bu menüde Anti-spam profilini aktiflemek için Enable policy i işaretleyip kayıtlarını tutmak istiyorsak log u seçiyoruz. E-mail direction kısmı from any to any olarak karşımıza geliyor. Bunun anlamı içeriden dışarıya veya içeriden içerideki bir başka kullanıcıya mail atmak istediğimizde veya dışarıdan içeriye bize bir mail geleceği kısımda Anti-spam ın devrede olacağıdır. SMTP ve sunucumuz dışarıda ise POP3 protokollerini incele diyerek seçimimizi yapıyoruz. Tarama özelliklerinde daha önce ayrıntılı ayarlar olarak bahsettiğimiz DNSBL checking, Black List ve White List menülerinde yapılandırdığımız ayarları da göz önüne al veya dikkate alma diyebiliyoruz. Actions for Spam-mail kısmında SMTP ve POP3 üzerinden gelecek mail spam olarak algılandıysa cihazın ne şekilde davranması gerektiğini tanımlıyoruz. Burada Drop deyip SPAM maillerin inbox a düşmesini engelleyebilir (ki bu spam olarak yanlışlıkla nitelendirilen fakat beklediğimiz bazı maillerin de bize ulaşmasını engellemiş olacak), forward seçilerek işlem yapmadan bu maillerin de iletilmesini veya Forward with tag seçilerek subject kısmına etiket ekleyerek mailbox a uyarıyla beraber düşmesini sağlayabiliriz. Anti-Spam ile ilgili ileri düzey ayarlar hakkında bizlerle irtibata geçiniz. 9.Zywall un Yedeklenmesi, Resetlenmesi, Reset sonrası Ayarlarının Dönülmesi ve FW Upgrade ĠĢlemi Hakkında Zywall cihazınız üzerinde birçok ayar yaptınız ve cihazın yedeğini almak oluşabilecek herhangi bir olumsuzlukta, bu ayarları yedekten dönerek; tekrar kurulum ve ayarları yaparak zaman kaybetmemek istiyoruz. Bunun için Maintenance menüsünde File Manager menüsünü kullanacağız. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 68

Burada Configuration File tabında 3 adet.conf uzantılı dosya görüyorsunuz. Bunlardan system-default.conf cihazın ilk açılırkenki fabrika çıkış ayarlarıdır. Lastgood.conf cihazın başarılı bir başlangıç işleminden sonra kaydedilmiş ayarlardır. Windows işletim sistemlerindeki bilinen ve düzgün çalışan son ayarlarla çalıştır gibi algılanabilir. Cihaz boot ederken bu dosyayı çalıştırdıktan sonra tüm ayarlarınızın olduğu startup-config.conf dosyasını çalıştırır. Bu dosyanın yedeğini almak; yapmış olduğunuz tüm ayarları olası bir problem sonucu cihazı resetledikten sonra ayarlarınızı geri dönmek için yeterli olacaktır. Bunun için startup-config.conf dosyasına tıklayıp alt taraftaki download butonu yardımıyla dosyayı bilgisayarınıza kaydediniz. Herhangi bir anda bu dosyadan ayarlarınızı geri almak için; alttaki upload configuration file kısmında Browse butonu yardımıyla bu dosyanın bilgisayarda kaydetmiş olduğunuz yerini göstererek upload butonuna basark işlemi başlatınız. Bu noktada cihaz size mevcut conf. Dosyasının değiştirileceğini bildirip, üzerine yazılmasını onaylayıp onaylamadığınızı soracaktır. Cihaz tekrar açıldığında ayarlarınız yeniden geri gelmiş olacaktır. *Cihazınızı bir sebeple resetlediğinizi varsayalım. Örnek olarak iç networkünüzde 10.0.0.0 subnetini kullanıyorsunuz. Ve Zywall un Lan1 bacağına 10.0.0.254 IP sini vermiģtiniz. Cihaza bu IP yi yazarak bağlanıyordunuz ve Ģifrenizi de değiģtirmiģtiniz. Cihaz fabrika ayarlarına döndüğü için cihaz arayüzüne LAN1 bacağına 192.168.1.1 ile ulaģacağınızı ve cihaz Ģifresinin admin 1234 olacağını unutmayınız. File managerdan startıp-config.conf dosyasını döndükten sonra her Ģey tekrar eski haline gelecek ve cihaza değiģmiģ IP niz ve Ģifreniz ile ulaģacaksınız. Cihazınızı resetlemek için cihazın ön panelinde bulunan reset butonuna sivri uçlu bir nesne ile power led i hızlıca yanıp sönmeye başlayana kadar basılı tutabilirsiniz. Aynı zamanda cihazın arayüzüne ulaşabiliyorsanız, yazılımsal olarak reset işlemini file manager daki system-default.conf dosyasını çalıştırarak da yapabilirsiniz. Bunun için system-default.conf dosyasını seçerek alttaki run butonuna basınız. İşlem sonrası cihaz fabrika ayarlarına dönecektir. Cihaza ait yeni güncellemeler FW dosyası olarak tanımlanan.bin uzantılı dosyalarda bulunur. Bu FW lere ftp.zyxel.com ve ftp.zyxel.com.tr adreslerinden ulaşabilirsiniz. Bu bin dosyalarını cihaza atmak için öncelikle yukarda belirttiğimiz şekilde cihaz ayarlarınızın yedeğini alınız. Sonrasında Firmware Package tabındaki browse ve upload butonları yardımıyla bahsedilen sitelerden bilgisayarınıza kaydetmiş olduğunuz ilgili.bin uzantılı dosyayı gösteriniz ve çalıştırınız. FW upgrade işlemi cihaz ayarlarınızda değişikliğe yol açmaz, cihazın kendi yazılımını güncellemeye yarar. Bu noktada işlem sonrası cihaza erişim her zamanki ayarlarınızla olacaktır. Cihaz arayüzünü açtığınızda status menüsündeki Firmware kısmından cihazın FW inin değişip değişmediğini, işlemin başarılı olup olmadığını kontrol edebilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 69

FW upgrade i sonrası cihazı bahsedilen şekillerden biriyle resetlemeniz ve sonrasında kaydetmiş olduğunuz ayarlarınızı geri dönerek işlemi tamamlamanız önerilir. 10. Zywall Cihazınızın Fiziksel Bir Problemde Recovery Image Prosedürü ile Yeniden Ayağa Kaldırılması Zywall cihazınızın power veya sys ledleri sabitlenmiyor, cihaz reboot ediyor ise, aşağıda anlatılan şekilde cihazın rom unu temizlemek üzere recovery image prosedürünü uygulayınız. 1. Cihaza ait güncel FW dosyasını ftp.zyxel.com adresinden bilgisayarınıza indirerek, zip uzantılı dosyayı ayıklayınız. Bu dosya içerisinde bu işlemde kullanılacak.ri(recovery image) ve.bin uzantılı dosyaların varlığını kontrol ediniz. 2. Hyperterminal benzeri bir program ile cihaza console bağlantısı yapınız. (Bunun için bilgisayarınızın seri portu ile cihazınızın console girişini bağlamak üzere cihazınız ile birlikte verilen console kablosunu kullanınız.) 3. Console bağlantısı için hyperterminal programı üzerinden işlem yapıldığı düşünülerek aşağıdaki ayarlar ile devam ediniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 70

Cihazınızı bağladığınız com portunu seçiniz. Port ayarlarınızı aşağıdaki şekilde yapılandırınız. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 71

4. Bağlantı sağlandıktan sonra cihazınızı kapatıp açınız. Cihazın reboot ederken bilgileri Console ekranına düşecektir. 5. Cihaz DRAM memory testini geçtikten sonra; debug mode a geçmesi için gelen Press any key to enter debug mode within 3 seconds uyarısını görünce herhangi bir tuşa basınız. 6. Komut satırında atuk komutunu çalıştırın. Gelen soruya Y ile onay veriniz. 7. Starting XModem Upload yazısını gördüğünüzde Cihaza ait FW dosyasında bulunan.ri uzantılı dosyayı console menüleri yardımıyla cihaza upload ediniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 72

8. Menülerden transfer menüsünü kullanarak send file ile aşağıdaki menüye geçiş yapınız. 9. Filename kısmına browse yardımıyla bilgisayarınıza kaydetmiş olduğunuz.ri uzantılı dosyayı gönderiniz. Protocol olarak Xmodemi seçiniz. Send ile dosya transferini başlatınız. Dosya transferi için 3,5 dakika kadar bekleyiniz. İlgili pencere otomatik kapandıktan sonra console menüsünde aşağıdakine benzer bir ifade göreceksiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 73

10. atkz f l 192.168.1.1 komutunu giriniz. 11. atgo komutunu girerek cihazı reboot ediniz. 12. Üstteki ekranı gördüğünüzde Zywall cihazınızın WAN1 portuyla bilgisayarınızın Ethernet kartını bir kablo ile direk bağlayınız. Ethernet kartınıza 192.168.1.2 192.168.1.254 arasında herhangi bir IP veriniz. 13. Sırada FTP aracılığıyla cihaza FW upload edilmesi vardır. Bunun için herhangi bir FTP arayüz programı kullanabilirsiniz. Dikkat edilmesi gereken.bin uzantılı dosyanın atılacağı ve bu dosyanın ikilik (binary mode) modeda olduğudur. 14. Windows komut satırı kullanılarak BaĢlat-ÇalıĢtır dan ftp 192.168.1.1 komutu ile de aynı işlem yapılabilir. 15. User olarak karşınıza gelen kullanıcı adına enter ile boş bırakıp anonymous(rasgele) kullanıcı olarak giriş yapın. 16. bin veya bi komutu ile yapacağınız transferin ikilik modeda olacağını belirtin. 17. put komutuyla tranfer edilecek dosyayı gösterin. (örnek: put c:\2.10aqqq3.bin) 18. Consoldan aşağıdaki ekranları gördüğünüzde işlem tamamlanmıştır. Cihazı tekrar reboot ederek kuruluma hazır hale getirebilirsiniz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 74

11.LOG Menülerinin Kullanımı ve VANTAGE Report Programının Zywall daki ayarları Zywall cihazındaki trafiği gözlemlemek için cihazın tuttuğu logları kendi menüsü içerisinden görüntüleyebilir, mail adresinize mail olarak belirli aralıklar ile gönderilmesini sağlayabilir veya cihazla birlikte gelen VANTAGE Report yzılımını kuracağınız bir PC de saklayabilirsiniz. İlk olarak cihaz menülerindeki log menüsüne bakalım. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 75

Maintenance menüsü altındaki log menüsünü açtığımızda yukarıdaki ekran karşımıza gelecektir. Burada Display kısmından görüntülemek istediğiniz trafik tipini seçebilirsiniz. Ayrıca Show Filter butonuna bastığınızda gelecek olan seçeneklerden görüntülemek istediğiniz logları filtreleyebilirsiniz. Örnek olarak lokaldeki belirli bir IP nin dolayısıyla bu IP ye sahip kullanıcının Pc sinden oluşturulan veya bu Pc ye giden trafiğini gözetlemek istiyor isek show filtera bastıktan sonra karşımıza gelecek olan menüden source (kaynak) adress veya destination (hedef) adres kısmına bu IP yi yazarak sadece bu IP den oluşan trafiğin loglarının görüntülenmesini sağlayabiliriz. Cihaz loglarını mail ile veya Vantage Report yazılımı ile başka bir ortama aktarmak için log menüsündeki log setting tabını kullanacağız. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 76

Burada System log kısmını modify ederek karşınıza gelecek menüde mail adresinizi ve SMTP sunucu ayarlarını doldurup; göndermek istediğiniz trafik tipleriyle ilgili kutuları işaretleyerek belirli aralıklarla logların mail adresinize gönderilmesini sağlayabilirsiniz. Vantage Report yazılımını kurduğunuz PC ye logları SYSLOG yardımıyla göndermek için Remote Server 1 kısmını modify ederek yazılımı kurduğunuz Pc nin IP sini girmeniz ve gönderilecek log tiplerini seçmeniz yeterlidir. (Vantage Report Yazılımını kurduğunuz Pc de SQL tabanlı çalışan bir servis olmamasına, Kurulum yapılan Pc nin Firewall unun devre dışı olduğuna ve üzerinde çalışan Anti-virus programı olmadığına dikkat ediniz.) Vantage Report programının veya log menüsünün ayrıntılı ayarlarıyla ilgili bizlerle irtibata geçiniz. 12.Zywall a bağlanacak bir AP ile Kablosuz Kullanıcılarına Internet Sağlanması: Ağınızdaki kablosuz kullanıcılarına Zywall üzerinden internet erişimi sağlamak üzere bir AP kullanmanız gerekmektedir. Bu noktada yapılması gereken AP in DHCP Client(İstemci) modunda çalışabilen bir cihaz olmasıdır. Cihazın herhangi bir porruna AP yi kablo ile bağlayınız. Bu port kablolu kullanıcılarınızın da bağlı olduğu zaten IP dağıtabilen DHCP sunucusu aktif lan1 interface(4 nolu port) olabileceği gibi, kablosuz kullanıcıları farklı bir subnette tanımlamak ister iseniz 5 ve 6 nolu portları da kullanabilirsiniz. Bu noktada AP eğer Lan1 e bağlanırsa kablolu PC ler gibi 192.168.1.x gibi bir IP yi Zywall dan alacaktır. AP nin kablosuz ayarlarını yaptığınızda, AP nin SSID sini görüp bağlanan kablosuz kullanıcılar Zywall un AP nin de bağlı olduğu lan1 interface i üzerinden kablolu kullanıcılar ve AP gibi 192.168.1.x gibi bir IP alırlar. Lan1 e bağlı tüm Pc lerin internete çıkışı için zaten bir adet rota tanımını cihaz kuruluşunda yaptığımızdan başka bir işleme gerek yoktur. Konuyla ilgili bir başka senaryo da şu şekilde olsun. Ziyaretçiler için bir kablosuz ağ oluşturulup onlara internet bağlantısı sağlamak istiyoruz aynı zamanda da iç networke ulaşmalarını engellememiz gerekiyor. Bu senaryoda kullanacağımız AP i kablo ile 6 nolu porta bağladıktan sonra, network altındaki interface menüsünde status tabındaki ext-wlan kısmına tıklayarak 6 nolu porta ait menüye ulaşacağız. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 77

Buradaki ext-wlan kısmında tanımlı kuralı edit ederek 6 nolu portun interface ini kendi istediğimiz şekilde düzenliyoruz. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 78

Misafirler için kullanacağımız IP bloğunu değiştirebilir, DHCP ayarlarını yapılandırabilir ve DNS leri el ile girebiliriz. Bu ayarları kaydettikten sonra bu interface e bağlı AP ve bu AP in kablosuz ağına bağlanacak kullanıcılar 10.59.0.x gibi IP ler alacaktır. Fakat internete çıkışları için yapılması gereken 2 işlem daha mevcuttur. İlk olarak cihazın Object menüsü altındaki User/Group menüsüne girip buradaki Setting sekmesine geliyoruz. Burada alt tarafta Force User Authentication Policy kısmındaki EXT-WLAN kullanıcıları ile ilgili olan kuralı devre dışı bırakmak için sağ taraftaki ampül butonuna basarak pasif hale getirin ve ayarları kaydedin. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 79

2. olarak da bu kullanıcı grubunun internete çıkışı için rotasını belirlememiz gerekiyor. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 80

Burada EXT_WLAN_SUBNET grubunun source adresi olarak gözüktüğü kural bizim ziyaretçilere kablosuz bağlantı için tanımladığımız subnete karşılık gelmektedir. Bu kuralı edit edip next hop kısmını trunk tan interface e çekerek interface i de wan1_ppp(internet IP mizi alan interface) seçerek kuralı kaydediyoruz. İnternet rotasını da belirlemiş olduk. Bir de istediğimiz ziyaretçilerin iç networke ulaşamamasıydı. Bununla ilgili zaten fabrika çıkış ayarlarında Firewall menüsünden WLAN dan LAN1 e doğru trafiği yasaklayacak kural mevcuttur. Bu kuralın varlığını kontrol ediniz. Yoksa oluşturunuz. 13. Yerel Ağdaki Pc lerin Iplerini Sabitlemek Cihazımızda şu ana kadar IP bazlı kurallar oluşturduk. Localdeki kullanıcıların farklı Ip bloğundan elle IP girip kendilerine tanımlanan kısıtlamaları alt etmesini engellemek için MAC adreslerini aldıkları IP lere eşleştirip, tablodaki MAC adresi belirtilen IP den gelmediği sürece cihaz üzerinden tüm trafiği yasaklanacaktır. Bu özellik IP/MAC Binding olarak tanımlanır. Cihazınızda bu tanımları yapmak üzere ilk olarak networkteki tüm Ip alan cihazlarınızın MAC adreslerini bir kereliğine Zywall a girmeniz gerekmektedir. Örneğin cihazınız LAN1 bacağına bağlı networkteki cihazların MAC adreslerini girmek için Network altındaki IP\MAC Binding menusune girerek burada lan1 in olduğu satırı edit etmemiz gerekmektedir. Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 81

Lan1 arayüzü için IP/MAC Binding menusu aşağıdaki gibi karşınıza gelecektir. Burada ilk olarak yapılması gereken Static DHCP Bindings kısmında artı ya basarak bahsedildiği üzere tüm networkünüzdeki IP alan cihazların MAC adreslerini girmelisiniz. Tüm MAC adresleri ve bunlara karşılık gelen IP ler girildikten sonra Enable IP/MAC Binding işaretlenir. Eğer IP adresini değiştirerek tanımlı kurallar dışına çıkmaya çalışan kullanıcılarınızı loglamak istiyorsanız, ayrıca Enable Logs for IP\MAC Binding Violation kısmını da işaretleyebilirsiniz. Artı ya tıkladığınızda MAC adreslerine karşılık IP leri yazacağınız ekran aşağıdaki gibidir. *Unutulmaması gereken husus bu listeye eklenmeyen cihazlar IP-MAC eşleştirme aktiflendiğinde tanımsız oldukları için ZyWALL benzer şekilde tanımlı bir MAC adresi tanımı dışındaki bir IP den gelmeye çalışır gibi algılayacak olduğundan bunu da bir IP\MAC binding Violation olarak değerlendirip, ZyWALL üzerinden çıkış yaptırmayacaktır. Önder TAYANÇ Teknik Destek Mühendisi Okmeydanı - Şişli 34384 İstanbul - Türkiye Tel +90 0212 222.55.22 Fax +90 0212 220.25.26 Page 82