NextGeneration USG Series

Benzer belgeler
NextGeneration USG Series

Port Yönlendirme ve Firewall Kuralı Oluşturma

5.Port Yönlendirme ve Firewall

UAG4100. HotSpot Gateway. Kurulum ve Kullanım Kılavuzu UAG4100

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Bridge Mod Modem ve Firewall Ayarları

General myzyxel.com myzyxel.com Servis Yönetim Servis Name Content Filter Name Password myzyxel.com Submit Redirected URL

Ssl Vpn konfigurasyonunda öncelikle Sslvpn yapmasına izin vereceğimiz kullanıcıları oluşturuyoruz.

Cisco 881 Router ve AirLink ES4X0, WAN Failover Tanımı

BEUN VPN Hizmeti. VPN Nedir?

1. Bilgisayarınızda kullandığınız Web tarayıcı programını (Internet Explorer, Mozilla Firefox vb.) çalıştırınız.

Sophos SSL VPN Ayarları ve SSL VPN Clinet Programı Kurulumu

Cyberoam Firewall Kullanıcı ve Grup Oluşturma

FortiGate & FortiAP WiFi Controller

Erişim Noktası Ayarları

Access Point Mod Kurulumu

Cyberoam Single Sing On İle

Firewall Log Server. Kurulum Kılavuzu

-Floating, Wan ve Lan arayüzleri için ayrı kural yazma alanı vardır.

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Kolay Kurulum Kılavuzu

İnternet ortamından iç ağa nasıl port yönlendirmesi yapılır (Virtual Host nasıl oluşturulur)

D Link DSL 2640U Kablosuz G ADSL2+ Router (Ver. C1 için) ADIM ADIM KURULUM KILAVUZU

Useroam Cloud Kurulum Rehberi

Content Filter Uygulamaları

Denetim Masası/Programlar/Windows özelliklerini Aç/Kapat

D Link DSL 2600U Kablosuz G ADSL2+ Router (Ver. C1 için) ADIM ADIM KURULUM KILAVUZU

Free Cooling (Tibbo Ethernet Modüllü)

5651 ve 5070 Sayılı Kanun Tanımlar Yükümlülükler ve Sorumluluklar Logix v2.3 Firewall. Rekare Bilgi Teknolojileri

CLIENT MODE KURULUMU

WEB E-POSTA AYARLARI. Outlook 2003 Ayarı ( Resimli Anlatım )

Universal Repeater Mod Kurulumu

Coslat Monitor (Raporcu)

Websense Content Gateway HTTPS tarama konfigurasyonu

Berqnet Sürüm Notları Sürüm 4.1.0

TL-WPS510U PRINT SERVER KURULUM DÖKÜMANI

Windows Live ID ve parolanızı giriniz.

DSL 2600U (Ver. A1 için) ADIM ADIM KURULUM KILAVUZU

YAYGIN OLARAK KULLANILAN ADSL MODEMLER VE ROUTER AYARLARI

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

FortiGate (SSLVPN) Tunnel Mode & Web App. Mode

WINDOWS SERVER 2008 R2-SERVER 2012 DE IP SANALLAŞTIRMA

BOT - Başlangıç. Başlangıç Konfigrasyonu

Seminar. İnternetin Kontrol Edilmesi. Recep Tiryaki Teknik Servis Muduru 1

P-TECH RF MODEM İLE MODBUS TCP HABERLEŞME

FortiGate SSLVPN (Tunnel Mode & Web Mode) v4.00-build /10

INTERNET BAĞLANTISININ KURULMASI İÇİN GEREKLİ YÖNLENDİRİCİ AYARLARI

Useroam Cloud Kurulum Rehberi Cyberoam

FortiGate Proxy Yazılımlarını Bloklama. v5.00-ga5-build /01

7/24 destek hattı Kolay kurulum CD si Üç yıl garanti Üç yıl garanti YM.WR.5341.UM.TR.D01REV

KURULUM CD Sİ MODEM KURULUMU

Cihazınızın İnternet ayarlarını yapabilmek için lütfen aşağıdaki adımları takip ediniz;

DRAYTEK VIGOR 3300V VPN Dial-in Fonksiyonu

Kurulum Dökümanı * v * Bu döküman FortiLogger versiyonu için hazırlanmıştır.

Kullanıcı Ayarları. Resim 89. United Security. Kullanici Adi Seviye Etkin. No.

5014 PW. Hızlı Kurulum Kılavuzu

CELAL BAYAR ÜNİVERSİTESİ KÜTÜPHANE VERİTABANLARINA ÜNİVERSİTE DIŞINDAN ERİŞİM

1. Bilgisayarınızda kullandığınız Web tarayıcı programını (Internet Explorer, Mozilla Firefox vb.) çalıştırınız.

Subnet A da bulunan DHCP Server makinesinin ve client makinenin IP yapılandırması aşağıdaki gibidir.

UNIVERSAL REPEATER (TEKRARLAYICI/GENİŞLETİCİ MODU)

KANTAR UYGULAMASI Kurulum Kılavuzu

Mobil Uygulama Kullanma Kılavuzu

Kablosuz N USB Adaptör

Kurulum Dökümanı. v

DRAYTEK VIGOR 3300V VPN Dial-out Fonksiyonu

CİSCO ANY CONNECT UYGULAMASI İLE İÇ KAYNAKLARA ERİŞİMİ KLAVUZU

İnternet Bağlantı Ayarları. Kablosuz Bağlantı Ayarları. Pirelli DRG A226G. Modem Kurulum Kılavuzu. VodafoneNET

Avrasya Üniversitesi. Tuncay AYDEMİR

Başlangıç Ayarları.

AĞ KURULUMU ANA MAKİNA İÇİN:

AirTies Kablosuz Erişim Noktası (Access Point) olarak kullanacağınız cihazı bilgisayarınıza bağlayarak ayarlarını yapabilirsiniz.

Microsoft Outlook 2003 Kurulumu

Useroam Kurulum Rehberi

PlayOnMac Dowload System Preference Security&Privacy clickthelocktomakechnages (değişiklik yapmak için kilidi tıklayın) Allow apps downloaded from:

FOUR FAİTH ROUTER LARDA IPSEC GÜVENLİ HABERLEŞME KILAVUZU

150Mbps Wireless N Nano Router TL-WR702N

AUTODESK PORTALI İÇİN AKADEMİK HESAP OLUŞTURULMASI

NP301. K&K NP301 Sanal COM portu tanımlama adımları ADIM-1

5. Bu alt butonlardan Kanal ve SSID isimli butona tıklayınız. B. AP-300 AYARLARI Bu bölümde 2 AP-300 ün Kanal ve SSID bölümü ile kablosuz ayarları LAN


INTERNET INFORMATION SERVICES 6.0 DA WEB SAYFASI YAYINLAMAK

FortiGate Application Control

KÜTÜPHANE KAYNAKLARINA DIŞARIDAN (PROXY SUNUCU KULLANARAK) BAĞLANMAK İÇİN YAPILMASI GEREKENLER A. INTERNET EXPLORER KULLANICILARI İÇİN;

WAP-3205 FirmWare Güncelleme Resetleme Universal Repeater Kurulumu CİHAZ ARAYÜZÜNE ERİŞİM

AIRTIES MESH NETWORK KURULUMU:

Windows Server 2008R2 de Lisans Server ın Aktive Edilmesi

300 BANT KABLOSUZ ERİŞİM NOKTASI YÖNLENDİRİCİ

Kategori:Allplan->Teknik Destek ve Kurulum->SSS_Allplan_2016_Server_Lisans_Kurulumu

Merkez Noktasında Yapılması Gerekenler Öncelikle modem ve bilgisayarınız arasına lütfen bir Ethernet (LAN) kablosu takınız

Almanya Mail Hesabı ile Outlook Kurulumu

ZyXEL P-660HN-F1Z Modem ve VLAN Gerekliliği

KABLOSUZ 11N 300 MBPS GENİŞ BANT YÖNLENDİRİCİSİ

OPNET IT Guru- Güvenlik Duvarı ve Sanal Özel Ağ (Firewalls and Virtual Private Network, VPN)

Öğrenciler için Kablosuz İnternet Erişimi (Wi-Fi) Kullanım Kılavuzu

Neosinerji Bulut Server Bağlantısı. NeoConnect Kullanım Kılavuzu

Kurumsal Grup E-Posta Eğitim Dokümanı

vsphere Client(viClient) ile ESXI Kontrolü

FortiMail Gateway Modunda Kurulum. v4.00-build /08

BitTorrent İstemci Kullanımı

Transkript:

NextGeneration USG Series Unified Security Gateway

İçindekiler Tablosu USG TEMEL KURULUM...- 3 - UAG4100 İNTERNET ve PPTP VPN SONLANDIRMA...- 6 - UAG4100 myzyxel BAĞLANTISI...- 9 - SP350E TERMAL YAZICI BAĞLANTI AYARLARI. Hata! Yer işareti tanımlanmamış. KİMLİK DOĞRULAMA... Hata! Yer işareti tanımlanmamış. KULLANICI HESAPLARI... Hata! Yer işareti tanımlanmamış. HOTSPOT KULLANIM SÜRESİ... Hata! Yer işareti tanımlanmamış. SP350E FİŞ ÖZELLEŞTİRİLMESİ :... Hata! Yer işareti tanımlanmamış. ACCESS POİNT YÖNETİMİ... Hata! Yer işareti tanımlanmamış. - 2 -

USGTEMEL KURULUM USG WAN portlarından DHCP istemcisi, LAN portlarından ise DHCP Server olarak çalışmaktadır. LAN/DMZ portlarına bağlanan cihazlar USG den IP alacaklardır. Cihaza LAN tarafından 192.168.1.1 IP adresinden veya WAN tarafından otomatik olarak almış olduğu IP adresinden erişebilirsiniz. - 3 -

Kullanıcı adı : admin Şifresi: 1234 Gelen ekranda sizden mevuct şifrenizi değiştirmenizi isteyecektir. İstenirse bu bölümde şifre değişim işlemini yaparak (Yeni şifrenizi girerek) Apply tuşuna, şifre değişikliğini geçmek için Ignore tuşuna basınız. - 4 -

Şifre değişikliğ yaptığınız için USG yeni şifre ile giriş yapmanızı isteyecektir. Tekrar giriş yaparak kuruluma devam ediniz. Karşınıza Kolay kurulum sihirbazı gelcektir. Bu kısım USG Kolay Kurulum Klavuzu içerisinde anlatılmıştır. Goto Dashboard diyerek Ana Menüye ye geçiş yapınız. - 5 -

Cihaz Ana Menüsü karşınıza çıkacaktır. GWAN Ayarları USG Üzerinde İnternet i sonlandırmak için: ***Modeminizi Bridge Mod a aldığınızı ve DHCP Server özelliğini kapattığınıza emin olunuz. Configuration> Object > ISP Account adımlarını takip ediniz. - 6 - www.zyxel.com.tr

WAN1_PPoE_Account üzerine çift tıklayınız. Açılır menü içerisine İnternet servis sağlayıcınız vermiş olduğu kullanıcı bilgilerini giriniz. Configuration> Network >Interface> PPP sekmesi altında wan1_ppp üzerine çift tıklayınız. - 7 -

Açılır menü içerisinde; Account Profile alanını WAN1_PPPoE_Account olarak seçiniz. Enable Interface i aktif duruma getiriniz. İnternet servis saplayıcınız tarafından verilmiş kullanıcı alanın User Name sekmesinde yazılı olduğunu gözlemleyiniz. - 8 -

Tüm ayarlar yapıldıktan sonra wan1_ppp bağlantısı aktif olacak ve İnternet trafiği UAG4100 üzerinde sonlacaktır. USGmyZyXELKAYIT İŞLEMLERİ USG üzerindeki UTM fonksiyonlarının lisanslanması, AP yönetimine ait lisansların yönetimesi ve USG cihazınıza ait bilgileri takip edilebilmesi için myzyxel hesabı kullanılmaktadır. Cihaza ait detaylı kayıtlar myzyxel hesabında tutulmaktadır. Configurations > Licensing > Registration > Registration sekmesi altında myxel e erişim için verilen link e tıklayınız. ( www.myzyxel.com ) - 9 -

Açılan Web sayfasından myzyxel.com 2.0 üzerine tıklayınız. - 10 -

myzyxel2.0 üyeliğiniz yoksa Üye değilim seçeneğini seçiniz ve açılan form da iletişim bilgilerinizi doldurarak kayıt olunuz. myzyxel2.0 üyeliğiniz varsa kullanıcı adı / şifrenizi sisteme giriniz. *Kayıt işlemi esnasında karşılaşacağınız; Bireysel : Son kullanıcılar için myzyxel hesabı İş : Kurumsal ve müşterileri olan kullanıcılar için myzyxel hesabı - 11 -

Cihaz Kaydı: Cihaz Kaydı seçeniğini seçiniz. Cihaz a ait bilgileri giriniz. Bayi kısmında USG yi tedarik ettiğiniz bayi nin adını seçiniz. - 12 -

Kayıt işlemini tamamladıktan sonra Gösterge Paneli ne geliniz. USG cihazınız başarılı bir şekilde kayıt edildi ise kayıtlı cihazlar listesinde yer alacaktır. USG Lisans ekleme: Servis Kaydı sekmesine geliniz. Lisans Anahtarı kısmına AP veya Kullanıcı sayısını arttırmak için almış olduğunuz S ile başlayan lisansları giriniz. Lisans ekleme işlemini tamamladıktan sonra Gösterge Paneli ne geliniz. Servis Yönetimi altında yer alanda lisansı Etkinleştir butonu ile etkinleştiriniz. - 13 -

Bu işlem sonrası USG cihazınızda Configuration>Licensing>Registration> Service sekmesi altında Service LicenceRefresh butonuna basınız. Bu işlem sonrası USG cihazınız myzyxel e tanımlamış olduğunuz lisansları uygulayacaktır. - 14 -

TRUNK AYARLARI USG Cihazlarında birden fazla İnternet bağlantısı sonlandırılabilir. Bu İnternet bağlantılarının arasında farklı önceliklendirme ve yedekleme faaliyetleri gerçekleştirilebilir. Trunk ayarlarına erişmek için; Configuration> Network >Interface>Trunk adımlarını takip ediniz; User Configuration>Add ile Trunk ayarlarına erişiniz. - 15 -

LoadBalancingAlgorithm seçenekleri; WeightedRoundRobin: Kullanılan hat değerlerinin yüzdelik dilimler ile kullanım oralarının belirlenmesini sağlar. 1 ile 10 arasında değer verilerek hatların kullanım yüzdeleri belirlenir. LeastLoad First: Hat kullanım durumlarına göre öncelik sağlar. Sıralama önce olan hat kullanımı dolduktan sonra diğer hattın kullanımını sağlar. Spillover: Hat değerlerinin ne kadar kullanılması gerektiği kb şeklinde belirlenerek hatlar arasında ki kullanım oranlarının belirlenmesi sağlar. LoadBalancing Index; Inbound: Ounbound : Upload yönünde yapılan trafik. Download yönünde yapılan trafik. Mode: Active: Passive: Hattın aktif olarak çalışması Hattın pasif olarak beklemesi. *Active Active : Öncelik değerleri gözetilerek iki hattında aynı anda kullanılması *Active - Passive: Öncelik değerleri gözetilerek iki hattan Active olanının devamlı kullanılması. Passive olan hattın ise beklemede olmasıdır. *Active Passive ile hatların yedekliliği sağlanmaktadır. Böylece Active olarak çalışan hat bozulduğunda Passive olan hat devreye girecek ve yedeklilik sağlanacaktır. Active hattın geri gelmesi ile Passive hat tekrar beklemeye geçecektir. - 16 -

Default WAN Trunk altında User ConfiguredTrunk ile ayarlamış olduğunuz Trunk ı seçiniz ve ardından Apply butonuna basınız. - 17 -

Oluşturulan Trunk ayarlarının hangi gruplara uygulanacağını belirlemek için yönlendirme yapılmalıdır. Bunun için; Configuration>Newtwork> Routing >PolicyRoute sekmesi altında IPv4 Configuration>Add ile yeni bir rota ekleyiniz. Criteria ile Trunk ı kullanacak kişi, kullanıcı, kullanıcı grupları, zaman, protokol belirlenebilir. Next-Hop ile Criteria alanında belirlenen kullanıcı veya kullanıcı gruplarının kullanacağı hat veya Trunk seçilebilir. - 18 -

NOT:Trunk yapısı bazı noktalarda sizlere problem çıkarabilir. Gov uzantılı siteler ve banka sitelerine girişte trunking devredeyken siteye gönderdiğiniz paketlerin bir kısmı WAN1/WAN1_PPP gerçek IP nizden bir kısmı da WAN2/WAN2_PPP gerçek Ip nizden sunuculara geldiğinde bu paketleri güvenlik gereği discard edebilirler ve bağlantı problemleri yaşayabilirsiniz. Bunun için policyroute menüsüne lan1 için geçerli rota kuralının üzerine sadece https servisini belirli tek bir interface den (wan1_ppp/wan1 veya wan2_ppp/wan2) çıkaracak şekilde bir next hop tanımı yapılmalıdır. - 19 -

USG NAT Ayarları ZyWALL üzerinde port yönlendirme işlemleri için Network_NATmenüsü kullanılır. Örnek olarak içerideki bir sunucuya iç Network dışından bir Uzak masaüstü bağlantısı yapacağımızı düşünelim. Yapmak istediğimiz işlem ofis dışındaki bir IP den mstsc (remotedesktopconnection) ekranına wan1_ppp gerçek IP mizi (Örnek; 88.245.34.45:3389 yazarak içerideki 192.168.1.x IP liuzak masaüstüne ulaşmak) Bunun için ilk olarak NAT menüsünde Add butonuna tıklayarak kural eklememiz gerekiyor. Burada oluşturacağımız kuralı aktiflemek için EnableRule u seçip tanımlayıcı bir İfadeyle kurala isim veriyoruz. Incominginterface olarak dışarıdan geleceğimiz IP yi alan interface i wan1_ppp yi seçiyoruz. - 20 -

OriginalIp yeany olarak giriş yapıp Mapped IP ye içeride bağlanmak istediğimiz IP yi yazıyoruz. Bunun için bu Ip yi bir object olarak cihaza tanımlamamız gerekiyor. Sol üst köşeden Createobject seçilerek karşınıza gelecek pop-up menüsü ekranında bu tanım yapılabilir. - 21 -

- 22 -

Bu ekranda bu uygulamada ihtiyacımız olacak tek bir IP tanımlamak için Adress Type kısmında HOST seçilerek name kısmına tanımlayıcı bir isim ve IP adress kısmına da içeride ulaşmak istediğimiz cihazın Ip sini tanımlıyoruz. Bu ekranı kaydedince otomatik olarak kural ekranına dönüş yapacağız. Mapped IP kısmında oluşturmuş olduğumuz object i seçiyoruz. - 23 -

Port mappingtype kısmında Service, Port ve Ports seçilebilir. Port seçerek Original ve Mapped Port kısmına Remote Desktop Connection ın kullandığı 3389 portunu yazınız. NatLoopback özelliğini devre dışı bırakarak ayarlarınızı kaydediniz. - 24 -

Bu örnekte 3389 portunu yönlendiriyoruz. Eğer belirli bir port aralığını yönlendirmemiz gerekseydi, ports seçeneğini kullanmamız gerekirdi. Port olarak seçim yapıldığında ihtiyacımız olan 3389 portunu; hem ZyWALL gelişi hem de içerideki cihaza erişim için bu port kullanılacağından; hem original porta hem de mapped porta girmemiz gerekiyor. Dışarıdan içeriye doğru ZyWALL a gelecek olan 3389 trafiğini ilgili sunucuya yönlendirdik fakat bu noktada göz önüne alınması gereken bir diğer faktör de Firewall davranışıdır. Fabrika ayarları gereğince LAN danwan a doğru (içeriden dışarıya) tüm trafik açık durumda iken WAN danlan a (dışarıdan içeriye); ki bu örnekte de ZyWALL a dışarıdan içeriye bir trafik söz konusu; tüm trafik kapalıdır. - 25 -

Firewall dawan danlan a 3389 trafiği ile ilgili bir istisna kuralı oluşturmaz isek yapılan port yönlendirme işleminin herhangi bir faydası olmayacaktır. Bunun için Firewall menüsünden add butonuna basarak kural tanımlamamız gerekiyor. - 26 -

Kuralı aktiflemek için Enable seçilir. Tanım için description kısmına bir isim verilir ve trafiğin yönü WAN danlan a doğru olduğu için From kısmı WAN to kısmı LAN1 olarak seçilir. Schedule,User, Source menüsü any olarak seçilir.(source kısmı createobject ile tanımlanacak dış Ipler olarak seçilirse kaynak adresi belirli bir IP veya IPlerden gelir. Destination kısmına uzak erişim olacak bilgisayarın IP adresini seçiniz. Service kısmında ise hazır tanımlı RDP (3389) portunu seçiniz. OK ile değişiklikleri tanımlayınız. Firewall işleyişinde kuralların sıralaması önemlidir. Örneğin burada ZyWALL a gelen trafik 3389 trafiği ise sırayla kontrol edeceği kurallardan 1 numaralı kurala uyduğu algılanacak ve ona göre işleme tabii olacaktır. Fakat bu trafikwan danlan a farklı bir porttan trafik olsaydı, 1 numaralı kurala uymayacak, bunun dışındaki tüm trafik için 2 numaralı tüm portları kapatan kurala tabi olacaktır. Bu genel kuralın 3389 nolu port için oluşturduğumuz istisnai kuralın sıralamada üzerinde olduğunu varsayalım. Bu genel kural üstte olsaydı, 3389 dan da trafik gelse genel kurala uyacağı için yasaklanacak ve alttaki buna izin veren kurala bakılmayacaktı. Bu kural tamamen etkisiz hale gelirdi. Bu tip birbirini ezecek kuralların sıralamasını düzenlemek için sağdaki N butonu kullanınız. - 27 -

BWM USG Cihazınızda yeni nesil Band genişliği kontrolü yapılmaktadır.configuration> BWM sekmesi altında Enable BWM etkin duruma getirniz böylece yazılan kuralların kuralların aktif duruma gelmesini sağlayınız. Add ile yeni bir bandgenişliği kuralı ekleyiniz. Açılan sekmede 3 adet BWM Type görünecektir. Bunlar; 1. Shared: Belirlenen band genişliğinin kullanıcılar arasında ortak kullanılmasını sağlar. (Örneğin; LAN1 subnetine 10Mb İnternet tahsisi yapılmış ise LAN1 de bulunan herkez 10Mb i paylaşacaktır. LAN1 de bulunan kullanıcıların trafikleri birbirlerinden etkilenecektir.) 2. Per User: Kullanıcı başına band genişliği yapılmasını sağlar. (Örnegin LAN1 subnetine 10Mb İnternet tahsisi yapılmış ise bu subnette bulunan herkeze 10Mb tahsis edilmiş anlamına gelmektedir. LAN1 de bulunan kullanıcıların trafikleri birbirlerinden etkilenmeyecktir.) 3. Per-Source-IP: Tanımlı kullanıcı başına band genişliği yapılmasını sağlar. - 28 -

- 29 -

LAN1 subnet in de bulunan kullanıcıların, kullanıcı başına 1Mb internete sahip olmaları ve birbirlerinin bandgenişliğinden etkilenmemeleri istenir yapılması gereken; - 30 -

VPN Bağlantıları IPSec VPN: İki farklı lokasyonu birbirlerine bağlamak için en çok kullanılan VPN türüdür. Dikkat edilmesi gereken nokta; Birbirlerine bağlanacak iki network için farklı IP blokları bulunmalıdır. Örneğin; USG içerisinde 192.168.3.0 subnet i varken uzak bağlantı kurulacak lokasyonun IP adres bloğu 192.168.3.0 olur ise iletişim kurulamayacaktır. Bu sebepten dolayı IP Blokları her bir lokasyon için ayrı ayrı belirlenmelidir. IPSec VPN ayarları için; VPN >IPSec VPN > VPN Gateway altındaki Add ile yeni Gateway ekleyiniz. Açılan sekmede; My Address : USG nin WAN IP adresi Peer Gateway Address: VPN Kurulacak, karşı lokasyon cihazının IP adresi - 31 -

Sonrasında; Pre-SharedKey: ID Type Content: Phase1 Setting: VPN bağlantısını kullanacak lokasyonlar için şifre VPN kurulacak iki lokasyon için tanımlama başlıkları ve tanımlama içerikleri VPN için şifreleme algoritmalarının belirlenmesini sağlar. - 32 -

Tanımlama işleminden sonra VPN Gateway aşağıdaki gibi yapılandırılmış olacaktır. VPN Gateway kurulumu sonrası VPN Connection Add ile eklenmelidir. - 33 -

Enable ile VPN Connection ı etkin duruma getiriniz. Bağlantının devamlı kullanılabilmesini sağlamak için Nailed-Up ile seçeneğini aktif duruma getiriniz. VPN Gateway için oluşturulan VPN Gateway i seçiniz. Create New Object > IPv6 Address ile VPN için karşı tarafta kullanılacak subnet in bilgilerini yazınız. - 34 -

Daha sonrasında; Localpolicy; VPN in iletişim kuracağı localağ ınız seçiniz. Remote policy; VPN in iletişim kuracağı uzak bölgenin subnet i seçilir. OK ile yapılan işlem sonrası bağlantı durumu görülebilir. Bağlantı başarılı bir şekilde kuruldu ise Dünya sembolü mavi olarak görünecektir. - 35 -

SSL VPN: Uzak kullanıcıların Localağ a bağlanmaları için kullanılan VPN türüdür. Configuration> VPN > SSL VPN > Access Privilege altında yer alan Add ile yeni bir SSL kuralı ekleyiniz. SSL Bağlantıyı kullanacak kişiler için öncelikle USG üzerinde tanımlama yapılaması gerekmektedir. Açılan Pencereden Createnew Object > User ile SSL bağlantısını kullanacak kişileri tanımlayınız ve OK ile değişiklikleri kayıt ediniz. - 36 -

EnablePolicy ile SSL Bağlantısını etkin duruma getiriniz. User/Group alanında SSL bağlantıyı kullanacak kişileri seçiniz. Uzak erişim ile bağlanacak kullanıcı veya kullanıcılar için kullanacakları sanal IP adreslerini oluşturunuz. Bu işlem için Create New Object > Address adımlarını takip ediniz. - 37 -

Assign IP Pool ile SSL VPN i kullanacak sanal IP adreslerini seçiniz. Network List sekmesi altında SSL VPN den bağlanacak kullanıcıların iletişim kuracağı subnet leri seçiniz. Bu işlemler sonrasında uzaktan bağlanmak isteyen kullanıcı USG nin WAN IP adresi ile cihaza erişim sağlayacaktır. - 38 -

- 39 -

- 40 -

- 41 -

UTM Fonksiyonları: Application Patrol: Bilgisayar, akıllı telefon, tablet vb. cihazlar ve diğer platformlar üzerinde uygulama olarak çalışan ve birbirinden farklı TCP/UDP portlarını kullanarak hizmet sunan uygulamaların belirli başlıklar altında toplandığı ve sistem yöneticisine erişim denetimi sunan uygulamalardır. Ör: Social Network kategorisi altında; Facebook, Instagram, Flickr gibi uygulamaları ve bu uygulamalara ait; erişim, paylaşım, sohbet, oyun gibi alt başlıkların engellenmesi veya kontrollü bir şekilde erişimlerine izin verilmesini kapsamaktadır. NextGeneration USG içerisinde Application Patrol (Uygulama Denetimi) üç aşamada gerçekleştirilmektedir. 1. Erişim denetimi yapılacak uygulamaların listelenmesi veya gruplanması. 2. Erişim izinlerinin belirlenmesi 3. Erişim denetiminin uygulanacak kişi veya gruplar ile ilişkilendirilmesi 1.Uygulama seçimi: Erişim denetimi yapılacak uygulamaların listelenmesi ve gruplandırılması işlemlerini gerçekleştirilmelidir. Configuration> Object > Application adımlarını takip ediniz. Application sekmesi altında yer alan Configuration başlığına Add ile yeni bir liste oluşturunuz. - 42 -

Açılan menüden oluşturulacak liste için isim ve açıklama alanlarını doldurunuz. Listeye uygulamaları eklemek için Add e basınız. Açılan penceredesearch içerisinde ByCategory>Social Network >Search adımlarını takip ederek. Sosyal uygulamaları listeleyebilirsiniz. - 43 -

Sadece bir uygulama ve buna bağlı alt uygulamaları için liste oluşturulması istenir ise; By Service > Uygulama Adı >Searchadımlarını takip ediniz. - 44 -

Listeye eklenmesini istenilen Uygulamaları seçiniz ve OK ile listeye ekleyiniz. - 45 -

Eklenmesi istenilen uygulamaları seçtikten sonra OK ile listeyi tamamlayınız. *Uygulamalara ait birden fazla alt uygulama olduğunu ve bunlarında engellenmesi veya bilgi dahilinde erişim izinlerinin verilmesi istenirse; Bu alt uygulamalarında seçilmiş ve listeye eklenmiş olduğunu unutmayınız. *Bir sayfada varsayılan olarak 50 adet kayıt gösterildiğini. O kategoriye ait diğer sayfaların olabileceğini de unutmayınız. - 46 -

Uygulama Gruplama: Eğer birden fazla uygulama listesine aynı işlemlerin yapılması planlanmakta ise; Bu listeler için bir grup oluşturulabilir. Örnegin; Sosyal Medya ve Paylaşım uygulamalarının engellenmesi amaçlanmakta ise Paylaşım uygulamaları için de bir liste oluşturulabilir ve bu iki liste bir grup haline getirilebilir. Application Group altında yer alan Configuration sekmesine Add ile yeni bir grup ekleyiniz. - 47 -

Gruplanması istenilen uygulama listelerini bir başlık altında seçiniz. Yapılan işlemler sonrası Uygulama Grupları aşağı yer aldığı gibi olacaktır. - 48 -

Diğer adımlarda uygulamalar Yasakli_Uygulamalar olarak anılacak ve işlemler bu profil ismi ile gerçekleştirilecektir. 2.Erişim izinlerinin belirlenmesi: Bir önceki adımda listelenen veya gruplanan uygulamaların erişim izinleri belirlenir. Bu işlemler için; Configuration> UTM Profile >AppPatrol adımlarını takip ediniz. Add ile AppPatrol Profili oluşturunuz. Açılan menü içerisinde Kural için isim veriniz ve Add ile Uygulama listesi veya grupları seçiniz. - 49 -

Bir önceki adımda oluşturulan uygulama listelerini veya gruplarını seçiniz. Uygulamalara karşı alınacak aksiyonu seçiniz ve OK ile çıkınız. - 50 -

Uygulamalara ait kurallar aşağıda yer aldığı gibi oluşacaktır. OK ile bir üst menüye dönünüz. 3.Erişim Denetimlerinin İlişkilendirilmesi. NextGeneration USG serisi içerisinde oluşturulan UTM protokolleri genel Firewall kuralları olan Policy Control ile ilişkilendirilmelidir. - 51 -

Configuration> Security Policy>Policy Control adımlarını takip ediniz. Yeni bir Policy Control oluşturulabileceği gibi var olan bir Policy Control içerisin de UTM Profilleri uygulanabilir. Yeni bir Policyoluşturulaması istenirse; Add ile yeni bir profil oluşturunuz. - 52 -

Burada; PolicyControl e bir isim veriniz ve bu profillerin uygulanmasını istediğiniz kişileri, grupları veya IP bloklarını seçiniz. - 53 -

Bu işlemlerin ardından LAN1 Zone unda bulunan kullanıcılar İnternete erişim esnasında belirtilen Uygulamaları kullanamayacaklardır. Bu engellemeler dahili veya harici Syslog Server üzerine taşınması için Log aktif duruma getirilmiştir. Content Filter: Kullanıcıların internet erişimleri esnasında sistem yöneticisinin yasakladığ i çeriklere erişimi engelleyen, yasaklama işlemini belirli kategoriler dâhilinde yapan ve sorguları cloudbazlı denetleyen uygulamadır. İçerik Filtreleme işlemi iki adımda yapılmaktadır. 1. İçerik filtreleme profillerinin oluşturulması 2. Content Filterprofilinin uygulanacak kişi veya gruplar ile ilişkilendirilmesi 1.İçerik Filtreleme Profillerinin oluşturulması: Configuration> UTM Profile >Content Filter> Profile adımlarını takip ediniz. - 54 -

EnableContenetFilter Report Service seçeniğin aktif duruma getiriniz. Message todisplaywhen a site is blocked alanına; Denied Access Message : İçerik Filtreleme uygulanan siteler için uyarı yazısını yazınız. Redirect URL : İçerik Filtreleme sonrasında kullanıcıların yönlendirileceği siteyi yazınız. İçerik Filtreleme kategorilerinin oluşturulması; Profile Management sekmesi altında Add ile içerik filtreleme profili oluşturunuz. Açılır pencere içerisinde oluşturulacak profil için isim ve isteğe bağlı olarak açıklama tanımı yapınız. Enable Content FilterCategory Service i etkin duruma getiriniz. Log kutucuklarını işaretleyiniz. - 55 -

ManagedCategories sekmesi altında engelleme yapılacak içeriklere ait başlıkları seçiniz. OK ile içerik filtreleme profilinizi oluşturunuz. - 56 -

Seçim işlemlerinin ardından OK ile profilinizi kaydediniz. - 57 -

Özelliştirilmiş İçerik Filtreleme: Bu başlıkların haricinde engellenen bir siteye erişimi sağlamak, belirlenen başlıkların haricinde site engellemek ve kelime bazlı engelleme yapmak için Custome Service başlığını kullanınız. EnableCustom Service i etkin duruma getiriniz. - 58 -

Allow web trafficfortrusted web sitesonly ; seçeneği bu sekmede Trusted Web Sites olarak belirlenen sayfalar dışında kalan tüm siteleri engelleyecektir. CheckCommonTrusted/ForbiddenList ; seçeneği oluşturulan profillerin dışında yazılan ve bir üst sekmede bulunan Trusted/Forbidden Web sitelerinin kontrol edilmesini ve bu alanda yazılan kuraların kontrol edilmesini sağlar. Restricted Web Features Web siteleri içerisinde kullanılan uygulamaların ve kategori bazında engellenmesini sağlamaktadır. Sitele içerisinde yer alan; ActiveX, Java gibi uygulamaları ve bu uygulamaların kullanabileceği veya oluşturabileceği bilgileri; Cookies ile engel olabilir veya erişimleri Web Proxy bazında engelleyebilirsiniz. Allow Java/ActiveX/Cookies/Web proxy to trusted web sites ; seçeneğiiletanımlananve her zaman erişimineizinverilensiteleriçinbuuygulamalaraizinverebilirsiniz. Trusted Web Sites : Yapılan filtrelemelerin dışında kalmasını ve her koşulda erişilmesi istenen site veya sitelerin yazıldığı alandır. NOT: Bu kısımda * kullanılması sitenin alt adreslerinin de erişimlerine açık duruma getirebilecektir. Ör: *.zyxel*.com (com,net,orgvb) Forbidden Web Sites : Yapılan filtrelemelerin haricinde özellikle erişiminin engellenmesi istenilen sitelerin yazılabileceği alandır. NOT: Bu kısımda * kullanılması sitenin alt adreslerinin de erişimlerineengellenecektir. Ör: *.site_adresi*.net (com,net,orgvb) Blocked URL Keywords : Bu alanda belirlenen kelimeleri içeren web site adreslerinin (URL) engellenmesini sağlamaktadır. - 59 -

NOT: Bu kısımda * kullanılması ile yazılan ifadeyi içeren diğer site başlıkların da erişimleri engellenecektir. Ör: *.site_adresi*.net (com,net,orgvb) İşlemler sonrası OK ile profilinizi kaydediniz. 2.Content Filterprofilinin uygulanacak kişi veya gruplar ile ilişkilendirilmesi NextGeneration USG serisi içerisinde oluşturulan UTM protokolleri genel Firewall kuralları olan Policy Control ile ilişkilendirilmelidir. Configuration> Security Policy>Policy Control adımlarını takip ediniz. Burada mevcut bir profile Content Filter profili uygulanabilir veya yeni bir Firewall kuralı oluşturulabilir. - 60 -

Daha öncesinde UTM Profilleri için oluşturulan firewall kuralına Content Filterprofili uygulanmıştır. İşlemler sonrasında erişimi yasaklanan bir siteye erişmek isteyen kullanıcı aşağı yer alan uyarlıları görecek ve sonrasında yönlendirme yapılması istenen site yer alacaktır. - 61 -

** SSL içerikli sitelerin önlenmesine yönelik çalışma için Sayfa.. SSL Inspection yapılandırmasına göz atınız. SSL Inspection: HTTP haricinde SSL ile şifrelenmiş HTTPS sitelerin erişimlerinin kontrol edilmesinde kullanılmaktadır. SSL Inspectionile; Kullanıcı ile hedef site arasındaki şifrelenmiş veri açılır. Trafik UTM profilleri kapsamında değerlendirilir. Content Filter, Application Patrol, IDP, Anti-Virus gibi kurallardan herhangi biri ile eşleşmesi durumunda engellenir. SSL Inspection özelliği ile daha yüksek kapsamlı koruma sağlanmaktadır. SSL Inspection iki adımda yapılandırılmaktadır; - 62 -

1. SSL Inspectionprofilinin oluşturulması 2. SSL Inspectionprofilinin uygulanacak kişi veya gruplar ile ilişkilendirilmesi 1.SSL Inspection Profili: Configuration> UTM Profile > SSL Inspection adımlarını takip ediniz. Profile sekmesi altında Add ile yeni bir profil oluşturunuz. SSL Inspectionprofili için sadece isim belirlemeniz bu bölüm için yeterlidir. OK ile yapılan işlemleri kaydediniz. - 63 -

2.SSL Inspectionprofilinin uygulanacak kişi veya gruplar ile ilişkilendirilmesi NextGeneration USG serisi içerisinde oluşturulan UTM profilleri genel Firewall kuralları olan Policy Control ile ilişkilendirilmelidir. Configuration> Security Policy>Policy Control adımlarını takip ediniz. Burada mevcut bir profile Content Filter profili uygulanabilir veya yeni bir Firewall kuralı oluşturulabilir. - 64 -

Daha öncesinde UTM Profilleri için oluşturulan firewall kuralına Content Filterprofili uygulanmıştır. - 65 -

SENARYO :Bir şirketeki kullanılabilecek CONTENT FİLTER AYARLARI USG cihazımızda content filter özelliğinde http trafiğini engellemek için kategori bazlı, site bazlı ve kelime bazlı engelleme yapabilirsiniz. USG cihazımızda Content filter kuralı oluşturun. Senaryo: cihazı kurduğumuz lokasyonda örneğin 3 farklı bölüm var. bölümler: Muhasebe = yasaklı Satış= kısıtlı Yöneticiler: Full izinli İlk yapılması gereken işlem Dashbond menüsünden dhcp table linkine tıklayınız. Tabloda kullanıcıların almış olduğu IP adreslerini rezerve edelim. Configuration >Object>Address sekmesine giriniz. Add tıklayın.kullanıcın almış olduğu IP adreslerini kullanıcı isimlerine göre kayıt ediniz. - 66 -

Senaryomuza göre 3 tane Adres grubu oluşturun. Configuration>Object>Address>Address Group sekmesine giriniz.add tıklayın. Configuration > UTM Profile > Content Filter > tıklayın Add sekmesine tıklayın content filter kuralı oluşturabilirsiniz. - 67 -

Örnek olarak Muhasebe,Satış,full adında 3 adet kural oluşturun. YASSAKLI KULLANICILARI İÇİN OLUŞTURDUĞUMUZ CONTENT FİLTER - 68 -

KISITLI KULLANICILARI İÇİN OLUŞTURDUĞUMUZ CONTENT FİLTER - 69 -

FULL KULLANICILARI İÇİN OLUŞTURDUĞUMUZ CONTENT FİLTER Configuration > Security policy > Policy control sekmesine girin. Add tıklayınız. Policy kuralını oluşturun. Full kullanıcılarına FULL adında oluşturduğumuz profili ekleyin. - 70 -

KISITLI kullanıcılarına SATIS adında oluşturduğumuz profili ekleyin. YASAKLI_GRUP kullanıcılarına MUHASEBE adında oluşturduğumuz profili ekleyin. Kullanıcılar http sitelerine giriş yaparken uygulamış olduğumuz policy kuralına göre internete çıkacaktır. - 71 -

Kullanıcıların internete giriş yaptıklarında kullanıcıların karşısına çıkacak mesajı ayarayabilirsiniz. Veya şirketinizin web sayfasına yönlendirebilirsiniz. - 72 -

Content Filter ile birlikte SSL inspection kuralı oluşturma; Content filter fonksiyonu kategorilerine göre web siteleri ayırt edebilirsiniz. Content filter da bazı sitelerin trafikleri HTTPS olarak şifreli olduğunu biliyoruz, bu yüzden HTTPS web siteleri tespit edilemez. Ama şimdi biz paketleri şifresini çözmek için "SSL inspection" işlevini Content Filter ile birlikte kullanabilirsiniz. HTTPS isteği gönderdiğiniz sitenin yalnızca USG güvenmesi gerekiyor bu yüzden USG, bir vekil bu HTTPS web sitelerini doğrulamak için yardımcı olmuştur, çünkü SSL inspection etkinleştirdikten sonra, müşteriler sadece USG tarafından oluşturulan sertifikayı onaylamanız gerekir. Oluşturmuş olduğumuz content filter yasakları http trafiğini yasaklar.https olan sitelere kullanılar giriş yapabilir.https trafiğini kontrol altına almak için SSL inspection kuralı oluşturmanız gerekmektedir. Configuration > UTM Profile > SSL inspection> sekmesine tıklayın Add butonuna tıklayın. Yeni bir kural ekleyin. Content filter için oluşturduğunuz policy kuralına SSL Inspection kuralınızı ekleyin. - 73 -

Configuration > Security policy > Policy control sekmesine girin. HTTPS olan sitelere giriş yapmadığını göreceksiniz. Bu web sitesine devam et linkine tıkladığınızda sertifikayı yükleyebilirsiniz. - 74 -

Sertifika yüklendikten sonra girmiş olduğumuz https ile başlayan web sitesini kontrol eder. content filter da engellediğimiz için sayfa açılmıyacaktır. IDP: IDP (IntrusionDetectionPrevention) network e yapılacak saldırılara karşı uygulama, protokol ve port bazlı saldırı ve potansiyel atakların listelendiği ve yapılandırması durumunda bu kurallar dahilinde atak ve saldırılara karşı üstün koruma sağlayan UTM uygulamasıdır. IDP yapılandırması iki aşamada gerçekleşmektedir. 1. IDP profillerinin oluşturulması 2. IDPprofilinin uygulanacak kişi veya gruplar ile ilişkilendirilmesi 1.IDP Protokollerinin oluşturulması: Configuration> UTM Profile > IDP adımlarını takip ediniz. - 75 -

Profile sekmesi altında yer alan Profile Management başlığına Add ile IDP profili oluşturunuz. Açılır pencereden IDP profilinin uygulanacağı alanı seçiniz. Profile isim veriniz ve OK ile profili kaydediniz. - 76 -

2.IDP profilinin uygulanacak kişi veya gruplar ile ilişkilendirilmesi NextGeneration USG serisi içerisinde oluşturulan UTM protokolleri genel Firewall kuralları olan Policy Control ile ilişkilendirilmelidir. Configuration> Security Policy>Policy Control adımlarını takip ediniz. - 77 -

Burada mevcut bir profile IDP profili uygulanabilir veya yeni bir Firewall kuralı oluşturulabilir. Daha öncesinde UTM Profilleri için oluşturulan firewall kuralına Content Filterprofili uygulanmıştır. İşlemler sonrasında erişimi yasaklanan bir siteye erişmek isteyen kullanıcı aşağı yer alan uyarlıları görecek ve sonrasında yönlendirme yapılması istenen site yer alacaktır. - 78 -

****BURASI KONTROL EDİLECEK DYNDNS AYARLARI: Eğer kullanmış olduğunuz servis sağlayıcıdan DIŞ IP adresiniz rezerve değil ise DYNDNS özelliğini kullanabilirsiniz. DYNDNS özelliği kullanabilmeniz için DYNDNS hizmeti veren firmalardan DYNDNS hesabı almanız gerekmektedir. Örneğin: https://account.dyn.com/ web adresinden dynamik dns adresi alınız. 1- www.dyn.com adresinden account bilgisi oluşturulur. 2- Erişilmek istenen adres bilgileri My Account kısmında tanımlanır. 3. USG cihazımızda Configuration >>Network>>DDNS giriniz. Add tıklayınız. Almış olduğunuz DYNDNS hesab bilgilerini giriniz. - 79 -

4. Yapmış olduğumuz ayarları test etmek için farklı bir internette ddns kullanıcı adını giriniz. IPSEC VPN CLİENT KURULUMU IPSecVPN client yazılımı nedir? Bilgisayarınıza kurmuş olduğunuz IPSecVPN client yazılımı ile firewall cihazınızın bulunduğu lokasyon dışında bilgisayarınız ile siteminize vpn üzerinden dahil olabilirsiniz. IPSecVPN client ayarları için; VPN >IPSec VPN > VPN Gateway altındaki Add ile yeni Gateway ekleyiniz. - 80 -

Açılan sekmede; My Address : USG nin WAN IP adresi - 81 -

VPN Gateway kurulumu sonrası VPN Connection Add ile eklenmelidir. - 82 -

Bilgisayarınıza sağıdaki linkten indirmiş olduğunuz IPSec Vpn client yazılımını kurunuz. ftp://ftp.zyxel.com/zywall_ipsec_vpn_client/software/zywall%20ipsec%20vp N%20Client_3.3.204.61.51.zip Aşağıdaki gibi ayarları tamamlayın. IPSecVPN client çalıştırın. Tunnel sağ tıklayın. Tunnel acılıyor sekmesine tıklayın. VPN Tuneliniz baglanacaktır. - 83 -

IPSecVPN Client Lisans Etkinleştirme IPSecVPN programında? sekmesine tıklayınız. Açılan sekmede aktivasyon sekmesine tıklayınız. Satın almış olduğunuz Lisans anahtarı bilgilerini giriniz. İleri butonuna tıklayınız. Lisansınız aktif olacaktır. - 84 -

Yeni Nesil USG cihazlarının bazı özellikleri IP Mac building sınırı: USG 40 64, USG 40W 64,USG 60 96, USG 60W 96,USG 110 256,USG 210-256,USG 310 512,USG 1100 512,USG 1900 512 Max. NAT rule:usg40/40w: 128,USG60/60W: 128,USG110: 256,USG210: 256, USG310: 1024,USG1100: 1024,USG1900: 1024 Yeni USG serisi oluşturulabilir kullanıcı hesaplarının sayısı nedir? USG40/40W: 64,USG60/60W: 128,USG110: 128,USG210: 128,USG310: 256,USG1100: 512,USG1900: 1024 Trusted Websites list 1024 giriş yapılabilinir. USG x10 serilerinde maksimum ACL kural sayısı, maksimum Adres Object, ve maximum address grup değerleri; - 85 -

Device HA Ayarları; Uygulama senaryosu; Device HA kurulum ortamı Master cihaz Backup cihaz WAN interface IP 10.59.3.100/24 10.59.3.100/24 WAN Management IP 10.59.3.101/24 10.59.3.102/24 LAN1 Interface IP 192.168.1.1/24 192.168.1.1/24 LAN1 Management IP 192.168.1.11/24 192.168.1.12/24 Cluster ID 1 1 Configuration ayarları: 1. Master cihaz yapılandırılması; Configuration > Network > Interface > Ethernet sekmesine tıklayınız. WAN ve LAN ayarlarını yapınız. WAN interface is: 10.59.3.100/24 LAN interface is: 192.168.1.1/24-86 -

Configuration > Device HA > Activate-Passive Mode sekmesine giriniz. Device Role : Master. WAN management IP adres: 10.59.3.101 LAN management IP adres: 192.168.1.11 Configuration > Device HA > General giriniz. Device HA özelliğini etkinleştirin. Daha sonra Genaral bölümünden Monitored Interface Summary sekmesinden görebilirsiniz. Backup ayarları: Master cihaz yapılandırılması; Configuration > Network > Interface > Ethernet sekmesine tıklayınız. WAN ve LAN ayarlarını yapınız. WAN interface : 10.59.3.100/24 LAN interface : 192.168.1.1/24-87 -

Configuration > Device HA > Activate-Passive Mode sekmesine giriniz. Device Role : Master. WAN management IP adres: 10.59.3.102 LAN management IP adres: 192.168.1.12 Configuration > Device HA > General giriniz. Device HA özelliğini etkinleştirin. Daha sonra Genaral bölümünden Monitored Interface Summary sekmesinden görebilirsiniz. - 88 -

Doğrulama: Device HA durumunu kontrol edebilirsiniz. Master cihaz durumu Master/Activate olacaktır. Backup cihaz durumu Backup/Stand-By olacaktır. - 89 -

ACCESS POİNT YÖNETİMİ 1.Firmware Upgrade: Öncelikle NWA Serisi Access Point lerin yazılımlarının güncellenmesi gerekmektedir. ftp://ftp.zyxel.com/adresinden Access Point e ait son tarihlifirmware i indiriniz. NWA 3160N için: NWA 3560N için: NWA 5121NI için: NWA 5123NI için : ftp://ftp.zyxel.com/nwa3160-n/firmware/ ftp://ftp.zyxel.com/nwa3560-n/firmware/ ftp://ftp.zyxel.com/nwa5121-ni/firmware/ ftp://ftp.zyxel.com/nwa5123-ni/firmware/ 2.IP Adresi: Bilgisayarınıza elle 192.168.1.0/24 subnetinden IP veriniz.: IP: 192.168.1.11 Mask: 255.255.255.0 3. Erişim: NWA Serisi cihaza 192.168.1.2 IP adresinden erişiniz. (admin / 1234) - 90 -

4. Şifre: Şifre değiştirmek için gelen pencereyi (Ignore) ile geçiniz. - 91 -

5.Yazılım Güncelleme: İndirmiş olduğunuz klasörü sıkıştırılmış dosyadan çıkartınız. Maintenance> File Manager > Firmware Package altında Browse seçeniği ile indirmiş olduğunuz klasör içinde bulunan.bin uzantılı dosyayı seçiniz ve Upload tuşuna basınız. NOT: Firmware upgrade işlemi yaklaşık olarak 5 dakika içerisinde sonlanacaktır. Cihaza tekrar 192.168.1.2 IP adresinden erişiniz. - 92 -

6.Mod Değiştirme: Cihaza tekrar eriştikten sonra Configuration> MGMT Mode sekmesi altında Managed APmodunu seçiniz. Auto DHCP : Manuel: NOT: Cihaz IP sini ortamda bulunan DHCP Server dan alacaktır. Aynı zamanda cihaz Kontrol cihazı olan NXC2500, UAG4100, NXC5200, NXC5500 tarafından otomatik olarak bulunacaktır. Kontrol cihazının ip adresi manuel olarak belirlenebilir. Manuel kullanım Örneği: Uzak lokasyonlar, farklı subnet ler, ortamda birden fazla Kontrol cihazının bulunması durumu Manuel ile cihazın sadece Kontrol cihazına ait IP adresi belirlenir. NWA Serisi AP nin IP adresi bu alanda belirlenemez. - 93 -

7.Monitor: USG cihazına döndüğünüzde Monitör> Wireless > AP İnformation sekmesinden Online Management AP sayısının arttığını görebilirsiniz. 8. Yönetim: Kontrol cihazı üzerinde Configuration> Wireless > AP Management sekmesi altında yeni cihazı görebilirsiniz. NOT: NWA serisi AP, Kontrol cihazı tarafı tarafından otomatik olarak firmware güncellemesi yapılacak bu esnada kısa süreliğine AP ip adresi 0.0.0.0 olacak kalacaktır. - 94 -

9. Yönetim-2: Firmware upgrade işlemi sonunda sonrası NWA serisi cihazı AP Management sekmesi altında görebilirsiniz. 10. SSID: Configuration> Object > AP Profile > SSID sekmesi altında Add ile yayın yapacak SSID ye ilişkin bilgileri giriniz. - 95 -

11. Şifreleme: Create New Object >Add Security Profile ile SSID için şifre belirleyiniz. - 96 -

12. Radyo: Configuration> AP Profile >Radio sekmesi altında default üzerinde çift tıklayınız. - 97 -

13. MSSID: Oluşturmuş olduğunuz SSID yi SSID Profile altında seçiniz. 14. Radyo-5GHz Aynı işlemi 5 GHz bandı içinde yapınız. - 98 -

** Kullanılan cihaz çift radyo ise (NWA 3560-N, 5123N, 3550-N) 2.4GHz ve 5GHz bandlarında yayın yapılabilir. 15. AP Yönetimi: Configuration> Wireless > AP Management sekmesi altında NWA Serisi cihaz üzerinde çift tıklayınız. 16.Radyo Seçimi: NWA Serisi cihazınıza isim veriniz (*İsteğe bağlı) Radyo profillerinin uygulandığına emin olunuz. - 99 -

IP Mac Building ayarları: Yerel ağlardaki sistem/ağ yöneticilerinin en büyük sorunlarından biri IP adresini değiştirerek erişim kontrol listelerini asmaya uğrasan çalışanlardır. Bunun için genelde yapılanlar, DHCP aracılığı ile IP sabitlemek, MAC adresine gore filtreleme yapmak vs oluyor. Çoğu ortamda bu yapılanlar basarili olamıyor. DHCP den yapılan sabitleme, çalışan IP Adresini değiştirebilecek yetki ve bilgiye sahipse ise yaramıyor. MAC adresine gore filtreleme yapmak ise MAC adresini değiştirmeye bilenler için yine bir önlem olamıyor. Peki bu durumda ne yapilabilir? Bunun için çeşitli yöntemler düşünülebilir(benim sık rastladığım genelde mac tabanlı filtreleme, ip tabanlı filtreleme ve her ikisinin birleştirilerek Ip-mac karsılaştırmasının doğruluğunun kontrol edilmesidir. Böylece Ip ya da mac ini degistiren biri firewallun kurallarına takılır. Yapmamız gereken ayarlar: USG cihazımızda local ağda kullanmış olduğumuz subnet DHCP server olmalıdır. Dhcp table bölümünden kullanıcıların Almış oldukları IP adreslerini rezerve ediniz. - 100 -

Configuration>>Network>interface>Ethernet>Lan1 (kullanmış olduğumuz subnet) tıklayın. Edit sekmesine tıklayınız. Lan1 subretimiz Pool size bölümünü 1 yapınız. Pool size bölümünü 1 yaptığınızda cihaz IPmac building listesi dışındaki başka bir makineye IP vermeyecektir. Daha sonra Enable IP/MAC Binding ve Enable Logs for IP/MAC Binding Violation Static DHCP Table seçeneklerini işaretleyiniz. Configuration>Network>IP Mac Building sekmesine tıklayınız. IP Mac Building uyguladığımız subnet te kaç adet kullanıcı olduğunu görebiliriz. Ve manuel olarak kullanıcı ekleyebilir. Veya kullanıcı çıkartabiliriz. - 101 -

Add sekmesine tıkladıgımızda eklemek istediğimiz makinenin IP adresini ve mac adresini yazabilirsiniz. - 102 -

- 103 - ZyXEL Eğitim Merkezi 444 1 150

2024 © DocPlayer.biz.tr Gizlilik Politikası | Hizmet koşulları | Geri bildirim