b. İnterneti ayarlamak için wan 1 editin de :

FORTİGATE KURULUMU Aşağıdaki yapıda olan bir network için fortigate kurulumu şöyledir. (Buradaki yapıda tek internet bağlantısı ve serverlar vardır. Server ların özel olarak korunması için DMZ portuna bağlanmıştır. İstisnai olarak 50B modelinde Dmz yoktur bunun yerine wan 2 bağlantısı kullanılabilir. ) 1. Adsl modemi bridge moda alalim (airties tavsiye edilmez.) Bu ayarı modemde PPOE sectigimiz encapsulation kismından seciyoruz. (pure bridge LLC varsa secilmeli) bazı modemlerde (örn Zoom) ayrıca bridge enable kısmına OK koymalısınız 2. Adsl modemden çıkan kabloyu Fortigate in wan 1 portuna takınız. 3. Fortigate in internal bacağına kendi pc nizi bağlayınız yada internal bacağı tüm pc lerin bağlı olduğu switch e bağlayın. 4. server varsa server ıda dmz bacağına bağlayınız. 5. Kendi Pc nize 192.168.1.2 Ip sini verip internet explorer dan https://192.168.1.99 Ip sinden fortigate in ara yüzüne bağlanın. Kullanıcı adı admin şifre boş..

6. 7. 1 numaralı alandaki seri numarasını http://support.fortinet.com adresinde register etmelisiniz. Bunu yapmaz iseniz cihaz güncelleme yapmaz.isterseniz Çözüm e ulaşın seri numaranızı söyleyin ben yaparım. a. 2 nolu alandaki firmware versiyonu önemli. Bu yeni firmware çıktıkca update yazan yere tıklayıp ftp.rzk.com.tr adresinden indirdiğiniz yeni firmware i buradan upload ediniz. (Register kaydını kendiniz yaptıysanız support.fortine.com adresinden de indirebilirsiniz) b. 3 nolu alanda cihazın güncelleme durumu vardır. Yeni bir cihazı kayıt ettikten sonra 1 saat icerisinde güncellemeleri baslar ve her güncellemenin karşısına yeşil Ok gelir. c. 4 bölümde session yani bağlantı oturumlar var. Bu değer fgt 60 için 1000 in üzerine çıkmış ise sorun olabilir. Bu durumda details e tıklanır d. bu tabloda hep aynı Ip varsa sorun o Ip li bilgisayardadır. Ve muhtemeden worm vardır. Derhal o bilgisayarın network bağlantısını kesiniz. e. 5 nolu bölümde ise Fortigate in durdurduğu antivirüs, saldırı (IPS), spam mailler ve yasaklı sitelere girme girişimlerinin kayıtları ve sayıları vardır.

8. a. System /network te Fortigate in bacaklarının Ip leri ve internet bağlantısı ayarlanır. Bizim örneğimizde internal bacak 192.168.1.1 ve serverların bagli oldugu dmz bacagi 10.10.10.1 idi bunları değiştirelim.değiştirmek için o satırın sonundaki işaretine tıklayıp değiştirebilirsiniz. b. İnterneti ayarlamak için wan 1 editin de :

c. hersey yolunda ise wan1 bacagi telekomun size verdigi dış Ip yi alır.eğer Ip alamadıysa modem ayarlarınızı ve fortigate in wan1 ayarlarını kontrol ediniz. 9. Kullanıcıların ayarlanması : Kullanıcıların elle mi yoksa otomatik mi Ip kullandıkları sorulur. Eğer elle veriliyorsa (tavsiye edilen ) tüm pc lere 192.168.1. x li IP ve 255.255.255.0 ag maskesi ag gecidi : 192.168.1.1 ve dns ler 195.175.39.39 ve 195.175.39.40 verilir. Eğer otomatik aliyorlar ise o zaman dağıtılacak Ip aralığı fortigate de tanımlanmalıdır: 10. 11. internal dhcp nin edit ina girilir. 12. Gerek otomatik gerekse elle dagitildiginda kişilerin Ip leri ve grupları tanımlanır. Bu tanımlama Firewall / address kısmında create new dan yapılır. a. bu bölümde adresss name kısmında önce bölümü sonra _ ismi olmasi tavsiye

edilir. Çünkü Fortigate address kısmında kişileri alfabetik olarak sıralarç Böylece tüm bölümleri kendi içinde grup olarak görürsünüz. Türkçe karekter çşöğüı ve boşluk kullanmayınız. Ip kısmınıda tek kişi için yalnızca Ip yi yazınız subnet yazmayınız. Bir IP grubu belirlenecekse: : gibi kullanılabilir. Özellikle dhcp kullanıldığında dhcp ile dagitilan Ip leri buraya girmek anlamlidir. 13. kişiler ve Ip aralığı girildiginde aşağıdaki gibi oluşur. Daha sonra bu kişileri grup yapmalıyız 14. Firewall / address te üstte sagda Group a tıklanır. 15. Grupların hakları, ne yapıp ne yapamayacakları protection profile kısmından belirlenir. Firewall / protection

profile a. İsim verdikten sonra (üste personel_kurallari) antivürüs kısmını genişletiniz. Virüs scan kısmındaki tüm kutulari işaretleyiniz. Cunku virüs taramasi herkes ve tüm gruplar için yapılmalıdır. File pattern : ise dosya uzantısına göre kısıtlama getirir.option kisminda ise grup secilir (built in ) ve dosya kısıtlaması yapılacaksa o katogoriler isaretlenir. Oversized File/Email kısmında ise büyük dosya koruması vardır Buradan Block secilir ise o katagoride belirlenen dosya büyüklügünden daha büyük dosyalar uzantısı ne olursa olsun geçmez. Örneğin IM nin hizasındaki Pass Block yapılıp 10 kalırsa bu msn,yahoo, skype, Icq gibi IM programları ile 10 Mb daha büyük hicbir dosya geçmesin demektir. b. Web filtering kısmında istisnai yani harici durumlar belirlenir. Örneğin yalnızca gov.tr sitelerine erişim, yada fortigate in yasakladığı fakat bizim izin vermek istediğimiz siteleri yada tam tersini buradan yapabiliriz.

c. Asıl web sitesi kısıtlamaları buradan yapılır. Enable FortiGuard Web Filtering Http kısmı işaretlenir. Https işaretlemenizi tavsiye etmem. Katogoriler genisletilip ilgili grup yasaklanacaksa Block isaretlenir ve Log tutmasi icin karşısındaki LOG kutucuguda isaretlenir. Böylece yasaklı yerlere kimlerin girmeye calistigi tespit

edilebilir. d. spam ayarlarında yukarıdaki gibi işaretleyebilirsiniz. Hususi olarak şu maillerden bize mail gelmesin yada gelsin demek için grup oluşturulup (Antispam /Black-white list/e mail address ten) buradaki E mail adress BWL check kısmından o grup secilir.

e. IPS yani saldırı kontrolünde tüm kutucuklar isaretlenir Bu diger profillerde de yapılmalıdır. f. bu bölümde girilen web siteleri, ftp siteleri, gönderilen alınan mailler ve IM kayıtlarının tutulup tutulmaycağı işaretlenir. Tutulan kayıtlar system / status ta bölümünde görülebilir. Yalnız fortianalyzer cihazı var ise geçmiş kayıtlarada ulaşılabiliriniz. Yok ise bu kısım son bir kaç saat bilgilerini içerir. g. Bu bölümde öncelikle başlıkların kutuları işaretlenir. (yasaklamada yada izin vermede ) Sonra izin verilmeyecekse Block login verilip dosya transferi yasaklanacak ise block file transfer isaretlenir sesli yada görüntülü görüsme yasagi icin Block audio secilir. Alt kısımda ise P2P programlarının yasaklaması yapılır Block secilir. h. Bu bölümde de log tutulması istenen kutular işaretlenir. Fakat bu işaretlemeden sonra genel olarak log tutulmasının sağlanması gerekir.

Sonra Ok denerek profil olusturulmuş olur bu profili istediginiz kadar çok grupta yada sadece bir kişiye uygulayabilirsiniz. Bu personel için hazırladığımız profile idi. Sonrasında diğer gruplar için de özel profil oluşturmalısınız. Her farklı istek için ayrı profile oluşturulmalıdır. Örneğin msn kullanacaklar, kullanmayacaklar gibi. 16. genel olarak log tutulması : (bu kısmın yapılması gereklidir.)

17. Bu arada genel olarak IM nin kullanılmasına izin vermek gerekir bu yapılmaz ise tüm gruplara msn, ıcq, yahoo yasak olur. 18. Harici sitelerin belirlenmesi : örnegin www.yahoo.com adresine girilmesin yada www.cozum.com.tr adresine girilemiyor ama biz girilmesini istemiyor isek : Web filter / Url Filter /Create new / Name = serbest_yasak_siteler / OK diyoruz sonra aşağaki create new a basıp bu gruba siteleri giriyoruz. siteyi girdikten sonra block secilir ise bu siteye fortigate izin verse bile girilmesin yada exempt secilirse bu siteye fortigate yasaklarsa girilsin yada allow secilirse her durumda bu siteye girilsin anlamındadır. Daha sonra bu penceredeki OK ve Genel olarak URL filter OK ine tıklanır. Daha sonra bu serbest yasakli siteler hangi profile

uygulanacak ise o profilde aşağıdaki ayar yapılır : 19. SERBEST YASAKLI MAILLERIN AYARLANMASI ( EL İLE ) Antispam / black white list / Üstten E mail de /create new / Name= serbest_yasakli_mailler/ OK bu kısımda üsteki örnekte olduğu gibi tüm cozum.com.tr domaininden gelen mailleri yasaklamak için Mark as spam; bu mailler bize gelemiyor fortigate engelliyor ama biz gelsin istiyorsak o zamanda mark as clear isaretlenir./ OK /OK Fakat bu belirlenen serbest yasakli maillerinde hangi profilde uygulanacagini o profilin icine girerek

belirliyoruz. 20. Yapılacak en önemli adımlardan bir tanesi de cihazın güncellemelerini açmaktır. Bunun öncesinde cihazın support sayfasında kayıt edilmiş olması gereklidir. Cihazın güncellemeleri için System /maintance /fortiguard center te aşağıdaki ayarları yapınız. Ayarlardan sonra sık sık buraya girip Update Now derseniz cihaz bir an evvel güncellemeyi başlatacaktır. 21. Son adım olarak belirlediğimiz gruplara oluşturduğumuz kuralları uygulamayı yapalım. Firewall / policy kısmında yapıyoruz. Burada cihazın icinde gelen all all kuralını

silelim. a. Bu bölümde üstte internal porta bağlı personel grubu, wan 1 den heryere, herzaman, çıkabilsin diyoruz. Kesinlikle NAT işaretlenmelidir. Protection Profile kısmında oluşturduğumuz kuralı seciyoruz. Burada internet hız kısıtlaması yapacak ise Traffic Shaping kısmını isaretleyip Maximum kısmına belirlenen degeri yazarız. Bu örneğin 100 için şu demektir. BU gurubun tüm kullanıcıları internetin aynı anda 100 Kbps ını maksimum kullanabilsin. Eğer Guaranteed Bandwidth ayarlayacak isek bu da internetimin şu kadarını bu grup icin rezerve et demektir. 22. Sınırlı kullanıcılara yasaklanacak dosya uzantılarının belirlenmesi : Antivirüs / FilePattern da /built in patterns editin da yapılır burada hususi olarak *.mp3 de yasaklanmak isteniyorsa create new denip üstteki kutucuğa *.mp3 yada *.mp* denmelidir. Bundan sonra bu yasaklamaların gecerli oldugu profilde yine

secilmelidir. 23. Şimdide kullanıcıların server a erişmelerini ve server ın da internete çıkabilmesini sağlayalım. Öncelikle server ın Ip si Firewall /address te tanımlanır. a. Daha sonra Firewall / Protection Profile da kullanıcıların server a ulasirken ki kurallarini olusturunuz. Burada profile oluştururken antivirüs ve IPS ve LOG kullanınız. EN son olarak internal daki tüm kullanıcıların dmz deki web server a sizin belirlediginiz server erisim kurallari ile ulasmalari icin firewall / policy de izin veriniz. Burada server in wan 1 den internete cikmasi icin izin vermeyi de unutmayiniz.

b. Birde server ın internete cıkısını saglayalim. 24. Dışarıdan iceriye port açma yada dıştaki internetten gelen bazı kullanıcılara server a ulaşmasını sağlama : a. Öncelikle dışarıdan baglanacak kişilerin sabit IP lerinin olması tavsiye edilir. Böylece yalnızca internetteki şu IP ler server ımıza ulasabilsin denilebilir. Öyle oldugunu var sayalım önce dıştaki kullanıcılar firewall / address ten tanımlanır. b. Daha sonra bir grup olusturulup uzaktan baglanacak kisiler bu gruba konur. c. Sonra uzaktaki kişileri server a hangi portlardan baglanacagi belirlenir. Firewall / virtual IP / Create New

buradaki örnegimizde icerideki 10.10.10.11 Ip li web server ımıza uzak masaüstü portu olan TCP 3389 uncu portu aciyoruz. / OK d. En sonki adımda Firewall /policy den izin vermeliyiz. Ayarları aşağıda. e. 25. Admin Şifresini değiştirmeyi unutmayınız.

26. Tüm fortigate ayarlarının yedeğini de alalım ki sonra ayarlar bozulursa bu ayarları yükleyebilelim. 27. Yalnızca gov.tr sitelerine izin vermek : a. Öncelikle Web filter /Url filter /Create New /Name:Yalnizca_gov_tr / Ok b. BU bölümde iken c. Daha sonra d. Ve tekrar OK dedikten sonra yalnızca gov.tr ye izin verilecek kuralı oluşturduk. Şimdi bunu hangi profile uygulayacaksak onun içinde göstermemiz gerekli : 28. Birden fazla internet bağlantısı olduğunda bir grubun birisinden diğer grubun diğerinden çıkabilmesi için :

a. Öncelikle her iki internet bağlantısının ayarınıda system / network te tanımlayınız. 2. internet bağlantısını tanımlarken distance değerini birinci internet bağlantısı ile aynı veriniz. (bir önceki değiştirmediniz ise 1 dir ) b. Router /Monitor den her iki internet bağlantısını da ekranda görmelisiniz. c. Router /Static /Policy route da hem wan1 hemde wan 2 icin aşağıdaki gibi kayıt eklemelisiniz. Buradaki örneğimizde IP leri 128 den küçük olanlar wan 1 den 128 den büyük olanların wan 2 den internete çıkmaları planlanmıştır. Her iki kayıtta da protocol 0 olmalı source address kısmına wan 1 icin girerken 192.168.1.0/255.255.255.128 wan 2 için girerken ise 192.168.1.128/255.255.255.128 giriniz. d. Bu kayıtları girdikten sonra durum şöyle olmalı : e. En sonki aşamada yine Firewall / Policy den internal dan wan 1 e ve internal dan wan 2 policy oluşturunuz. 29. SSL VPN Ayarları: