21 KEJ ИнтерКосмос★Кузнец
Bilgili
Firewall Nedir?
Bu yazımızı okumayı bitirdiğinizde; “firewall nedir?”, “firewall ne işe yarar” ve “firewall çalışma mantığı nedir?” gibi sorulara en anlaşılabilir şekilde verilen cevapları bulabileceksiniz. Teknik detaylara boğulmadan, gerçek yaşamdan örneklerle, basitleştirerek anlatım yaptığımız firewall teknolojisini anlamak için yazımızı okumaya başlayabilirsiniz.
Firewall terimi dilimizde “güvenlik duvarı” anlamına gelmektedir. Temel amacı ağınızdaki gelen trafik ile giden trafiği kontrol etmek ve önceden belirlenmiş iletim kuralları çerçevesinde trafiği ilgili yere yönlendirmektir.
Firewall yazılımında; tehdit olarak algılanacak dosya ve davranışlar ile güvenli sayılacak dosya ve davranışlar önceden kurallar biçiminde saptanır. Bu kurallara uyan her türlü eyleme otomatik olarak izin verilir. Kural dışı hareketler ise ağ yöneticisinin istisna olarak tanımlaması durumunda ağa kabul edilir.
Firewall Nasıl Çalışır?
Firewall çalışma mantığı oldukça basittir. Ağ yöneticisi tarafından oluşturulan “güvenli liste” içerisindeki tüm trafik, herhangi bir engele maruz kalmadan ağınıza iletilir. Güvenli listede olmayan trafik ise bloke edilerek ağınıza erişmesi engellenir ve tarafınıza bilgi verilir.
Gerçek yaşamdan bir örnek vermek gerekirse; büyük ve güvenlik bankosu, turnikesi olan bir plazaya plaza çalışanları; firma kartlarını okutarak turnikelerden sorunsuz bir biçimde geçerek girer. İşte bu firewall tarafından tanınan güvenli listedir. Fakat plazada çalışan herhangi bir kişi ile görüşmek isteyen ziyaretçi; önce güvenlik bankosuna uğramak ve kiminle görüşmek istediğini söylemek zorundadır. İşte bu da firewall tarafından erişime izin verilmeyen şüpheli trafiktir. Güvenlik ilgili kişiyi arar ve ziyaretçisi olduğunu söyler, eğer ilgili kişi ziyaretçiye izin verirse güvenlik (yani firewall) ziyaretçinin binaya girmesine izin verir. Bazen de plazadaki yöneticilerden biri “x isimli kişi gelirse bekletmeden yukarı alın” der. Tahmin edeceğiniz gibi bu durum da ağ yöneticisinin güvenli listeye yeni bir trafik eklemesidir.
Bazı firewall yazılımları veya firewall cihazları bazen bir Proxy sunucusu ile birlikte çalışırlar. Eğer “Proxy firewall” kullanıyorsanız; gelen ve giden trafiğiniz hedefe iletilmeden önce bir Proxy sunucusunda kontrol edilir. Yukarıdaki plaza örneğinden devam edersek; bu Proxy sunucusunu da güvenlik bankosundan geçmeden evvel kontrol edildiğiniz x-ray cihazı olarak tanımlayabiliriz.
Firewall Türleri ve Çeşitleri Nelerdir?
Firewall teknolojisini en sade şekilde anlatmak adına; “yapılarına göre firewall türleri” ve “mimarisine göre firewall türleri” olarak ikiye ayırabiliriz.
Yapılarına göre firewall çeşitleri de kendi aralarında ikiye ayrılırlar. Bunlar;
Şimdi bu başlıkları mümkün olabilecek en sade şekilde açıklamaya çalışalım.
Yapılarına Göre Güvenlik Duvarı Ürünleri
Güvenlik duvarı ürünleri yapılarına göre incelenirken temel iki guruba ayrılır. Her yapıda mutlaka bir güvenlik duvarı yazılımı söz konusudur. Ancak bazen bu güvenlik duvarı harici bir cihaz üzerine kurularak kullanılır. Yapılarına göre ikiye ayırdığımız bu ürünleri anlatmaya devam edelim.
Donanım Tabanlı Firewall Avantajları
Sistemdeki işletim sistemi üzerine kurulan, ekstra bir donanım gerektirmeyen güvenlik duvarı çeşididir. Bu ürünün avantajları ve dezavantajları ise aşağıdaki gibidir.
Yazılım Tabanlı Firewall Avantajları
Statik Paket Filtre Güvenlik Duvarları
Günümüzde çok tercih edilmeyen bir güvenlik duvarı sistemidir. Ağınıza gelen trafiğin temel bilgilerini değerlendirir, içeriği ile ilgilenmez. Trafiğin geldiği kaynak, ulaşmak istediği kaynak, hangi porta erişmek istediğini ve hangi protokolü kullanacağını denetler. Eğer güvenli olan liste ile örtüşüyorsa trafiğe izin verir.
Halbuki, Yandex ve Google gibi dünyanın en güvenilir teknoloji şirketlerinin sunucularına bile; ağınıza zarar verecek yazılımlar yüklenebilmektedir. Yani statik paket filtre güvenlik duvarı; ağınıza indirmeye çalıştığınız bir dosyanın içeriğini kontrol etmeyeceği için, güvenli sitelere yüklenebilmiş bir virüs yazılımını bilgisayarınıza indirebilirsiniz.
Devre Seviyesi Güvenlik Duvarları
Yaygın kullanılan bir güvenlik duvarı türüdür. Bir binaya girmeye çalışan ziyaretçiye direk kimlik soran güvenlik görevlisi olarak nitelendirebiliriz. Hatta bu güvenlik görevlisi; “ziyaret edilmek istenen kişinin hangi ofiste olduğunu da güvenlik kontrolü bitene kadar gizli tutmakta” desek tam anlamı ile anlatmış olacağız.
Yukarıdaki örnekten de anlaşılacağı üzere; devre seviyesi güvenlik duvarlarında kaynağa (yani gelen trafiğe) sizin ip adresiniz hemen iletilmez. Önce güvenlik kontrolü yapılır, eğer kaynaktan gelen trafik güvenlik kontrolünden geçerse ip adresinize trafik yönlendirilir.
Statik paket filtre güvenlik duvarında bulunan dezavantaj bu güvenlik türünde de bulunmaktadır. Devre seviyesi firewall yazılımları da gelen trafikteki paketin içeriğini kontrol etmez. Yani binaya girmeye çalışan ziyaretçiye kimlik kontrolü yapılır ama ziyaretçinin üstü aranmaz.
Dinamik Paket (Durum Denetimli) Filtre Güvenlik Duvarları
Statik paket filtre güvenlik duvarı” yazılımlarının bir üst modeli olarak tanımlayabiliriz. Bu pakette binaya gelen ziyaretçinin hem geldiği adres doğrulanır, hem kimliği sorulur, hem de üst araması yapılır.
Teknik tabirle anlatmak gerekirse; ağınıza gelen verinin kaynağı, verinin içeriği, erişmek istediği port denetlenir ve veri hala güvenli ise ağınıza geçmesi izin verilir. Yüksek performanslı çalışması için de bu işlem, trafik hemen ağınıza girmek isterken yapılır.
Bu paketin en büyük avantajı port sorgulama sistemidir. Bunu gerçek hayata uyarlayarak açıklayalım. Diyelim ki birisi binanıza yangın merdivenini kullanarak girmek istedi. Bu normal bir giriş teşebbüsü olmadığı için güvenlik görevlisi hemen bu kişiyi yakalar ve size haber verir. Eğer siz “evet haberim var, girmesine müsaade ediyorum” derseniz bu geçişe izin verir. İşte “port sorgulama sistemi”, yangın merdiveninden giriş yapmaya çalışan kişiyi yakalayan güvenlik görevlisidir.
Proxy Destekli Güvenlik Duvarları
Hadi “Proxy destekli güvenlik duvarı” isimli yazılımı da yukarıdaki örneklere benzer biçimde anlatalım. Aslında bu yazılım da “dinamik paket filtre güvenlik duvarı” mantığına yakın bir mantıkla çalışır. Ancak bu sistemde ziyaretçinin geldiği adresin doğrulanması için güvenlik görevlisi bizzat ziyaretçinin geldiği yere gider, ziyaretçiyi adresinden alır, sizin binanıza geldiğinde dışarıda durdurur, kimliğini kontrol eder, üzerini arar ve binaya girişine izin verir. Bu kadar detaylı bir güvenlik taraması yaptığı için de doğal olarak ziyaretçinin binaya girmesi daha uzun zaman alır ve yoğun bir ziyaretçi trafiğinde kullanılamaz.
Teknik tabirle anlatmak gerekirse; ağınıza girmek isteyen trafiğin kaynağına bir oturum açma talebi gönderilir, bu talebe cevap veren kaynak ağın dışında incelenir, uygun bulunması hallinde ağ geçişine izin verilir. Yani verinin kaynak adresi doğrulaması bizzat kaynak adresinde gerçekleştirilir, güvenlik kontrolü ise ağınızın dışında yapılır.
Hibrit (Melez) Güvenlik Duvarları
Buraya kadar mimarisine göre dört gurupta sınıflandırdığımız güvenlik duvarı teknolojilerinin en az iki tanesini yapısında barındıran güvenlik duvarı mimarisine “hibrit güvenlik duvarı” veya “melez güvenlik duvarı” denir. Bir hibrit güvenlik duvarı yazılımında yüksek ihtimalle Proxy teknolojisi barındırılır
Firewall Neden Gereklidir?
Her şeyden evvel firewall, izinsiz uzaktan erişime karşı sizi korur. Sizin haberiniz olmadan herhangi bir yöntemle ağınıza girmeye çalışan yetkisiz kişiler; güvenlik duvarı tarafından belirlenir ve bu girişler engellenir. Dolayısı ile ağınıza girmeye çalışan anonim kişilere karşı alabileceğiniz en kesin güvenlik önlemlerinden biridir.
Özellikle yüksek sayıda personel istihdam eden, iç ve dış haberleşmesinin büyük bir bölümünü elektronik posta ile çözen firmalarda; e-posta trafiğini denetlemek ve e-posta ile ağınıza sızabilecek zararlı yazılımlardan korunmak oldukça zordur. Güvenlik duvarı yazılımları; elektronik postalardan gelecek virüsleri ağınıza girmeden engelleyeceği gibi , istenmeyen içerikleri barındıran spam mesajlar engellenir ve daha güvenli bir mail trafiği sağlanır.
Özellikle oyun sunucuları virüslerin ve kötü amaçlı yazılımların dağıtım merkezidir. Birçok virüs bilgisayarınıza oyun sitelerinden bulaşır. Özellikle bilinçsiz internet kullanıcıları tarafından bu virüsler; oyunun bir parçası zannederek bilgisayarına indirebileceğinden dolayı, internet üzerinde oynanan online oyunlar firewall ile daha güvenli hale gelir.
Personelinizin veya aile fertlerinizin istemediğiniz siteleri gezmesini istemiyor iseniz, kesinlikle güvenlik duvarı yazılımı kullanmalısınız. Firewall ile uygunsuz içerikleri engelleyin ve ağınızdaki kişilerin internetten amacı doğrultusunda faydalanmasını sağlayın.
Özetlemek gerekirse; firewall ile ağ trafiğini yönetmek ve kontrol etmek mümkündür. İster işyerinizde, ister evinizde; ağınıza kimin nasıl girmesi gerektiğini bir kurallar bütünü haline getirebilirsiniz. Dilediğiniz zaman bu kuralları esnetebilir ya da daha katı uygulayabilirsiniz.
Bu yazımızı okumayı bitirdiğinizde; “firewall nedir?”, “firewall ne işe yarar” ve “firewall çalışma mantığı nedir?” gibi sorulara en anlaşılabilir şekilde verilen cevapları bulabileceksiniz. Teknik detaylara boğulmadan, gerçek yaşamdan örneklerle, basitleştirerek anlatım yaptığımız firewall teknolojisini anlamak için yazımızı okumaya başlayabilirsiniz.
Firewall terimi dilimizde “güvenlik duvarı” anlamına gelmektedir. Temel amacı ağınızdaki gelen trafik ile giden trafiği kontrol etmek ve önceden belirlenmiş iletim kuralları çerçevesinde trafiği ilgili yere yönlendirmektir.
Firewall yazılımında; tehdit olarak algılanacak dosya ve davranışlar ile güvenli sayılacak dosya ve davranışlar önceden kurallar biçiminde saptanır. Bu kurallara uyan her türlü eyleme otomatik olarak izin verilir. Kural dışı hareketler ise ağ yöneticisinin istisna olarak tanımlaması durumunda ağa kabul edilir.
Firewall Nasıl Çalışır?
Firewall çalışma mantığı oldukça basittir. Ağ yöneticisi tarafından oluşturulan “güvenli liste” içerisindeki tüm trafik, herhangi bir engele maruz kalmadan ağınıza iletilir. Güvenli listede olmayan trafik ise bloke edilerek ağınıza erişmesi engellenir ve tarafınıza bilgi verilir.
Gerçek yaşamdan bir örnek vermek gerekirse; büyük ve güvenlik bankosu, turnikesi olan bir plazaya plaza çalışanları; firma kartlarını okutarak turnikelerden sorunsuz bir biçimde geçerek girer. İşte bu firewall tarafından tanınan güvenli listedir. Fakat plazada çalışan herhangi bir kişi ile görüşmek isteyen ziyaretçi; önce güvenlik bankosuna uğramak ve kiminle görüşmek istediğini söylemek zorundadır. İşte bu da firewall tarafından erişime izin verilmeyen şüpheli trafiktir. Güvenlik ilgili kişiyi arar ve ziyaretçisi olduğunu söyler, eğer ilgili kişi ziyaretçiye izin verirse güvenlik (yani firewall) ziyaretçinin binaya girmesine izin verir. Bazen de plazadaki yöneticilerden biri “x isimli kişi gelirse bekletmeden yukarı alın” der. Tahmin edeceğiniz gibi bu durum da ağ yöneticisinin güvenli listeye yeni bir trafik eklemesidir.
Bazı firewall yazılımları veya firewall cihazları bazen bir Proxy sunucusu ile birlikte çalışırlar. Eğer “Proxy firewall” kullanıyorsanız; gelen ve giden trafiğiniz hedefe iletilmeden önce bir Proxy sunucusunda kontrol edilir. Yukarıdaki plaza örneğinden devam edersek; bu Proxy sunucusunu da güvenlik bankosundan geçmeden evvel kontrol edildiğiniz x-ray cihazı olarak tanımlayabiliriz.
Firewall Türleri ve Çeşitleri Nelerdir?
Firewall teknolojisini en sade şekilde anlatmak adına; “yapılarına göre firewall türleri” ve “mimarisine göre firewall türleri” olarak ikiye ayırabiliriz.
Yapılarına göre firewall çeşitleri de kendi aralarında ikiye ayrılırlar. Bunlar;
- “donanımsal firewall” (donanım tabanlı firewall)
- “yazılımsal firewall” (yazılım tabanlı firewall)
- şeklinde sınıflandırılır.
- Statik Paket Filtre Güvenlik Duvarları
- Devre Seviyesi Güvenlik Duvarları
- Dinamik Paket (Durum Denetimli) Filtre Güvenlik Duvarları
- Proxy Destekli Güvenlik Duvarları
- Hibrit (Melez) Güvenlik Duvarları
Şimdi bu başlıkları mümkün olabilecek en sade şekilde açıklamaya çalışalım.
Yapılarına Göre Güvenlik Duvarı Ürünleri
Güvenlik duvarı ürünleri yapılarına göre incelenirken temel iki guruba ayrılır. Her yapıda mutlaka bir güvenlik duvarı yazılımı söz konusudur. Ancak bazen bu güvenlik duvarı harici bir cihaz üzerine kurularak kullanılır. Yapılarına göre ikiye ayırdığımız bu ürünleri anlatmaya devam edelim.
Donanım Tabanlı Firewall Avantajları
- Yazılım tabanlı firewall gibi kolayca devreden çıkarılamazlar
- Ayrı bir cihaz olarak kullanıldığı için sisteminizdeki kaynakları tüketmezler
- Bazı cihazların ara yüzü karmaşık olabileceğinden ayarlarını yapmak uzmanlık gerektirebilir
- Yazılım tabanlı güvenlik duvarı ürünlerine göre yatırım maliyeti daha fazla olabilir
Sistemdeki işletim sistemi üzerine kurulan, ekstra bir donanım gerektirmeyen güvenlik duvarı çeşididir. Bu ürünün avantajları ve dezavantajları ise aşağıdaki gibidir.
Yazılım Tabanlı Firewall Avantajları
- Ekstra bir donanım maliyeti gerektirmediğinden, az sayıda bilgisayarı korumak için fiyat yönünden daha avantajlıdır.
- Basit bir ara yüze sahiptir. Kullanıcılar genelde birkaç tuşlama ile güvenli listeye trafik ekleyebilir veya kara listeye alabilir.
- Giden trafiğiniz için de kural oluşturmaya olanak sağlayabilirler
- Sürekli arka planda (yani işletim sistemi üzerinde) çalışacağı için sistem kaynaklarını tüketirler.
- Sistemdeki tüm kullanıcılar tarafından devre dışı bırakılabileceği için bazen tam manası ile güvenlik sağlayamayabilirler.
Statik Paket Filtre Güvenlik Duvarları
Günümüzde çok tercih edilmeyen bir güvenlik duvarı sistemidir. Ağınıza gelen trafiğin temel bilgilerini değerlendirir, içeriği ile ilgilenmez. Trafiğin geldiği kaynak, ulaşmak istediği kaynak, hangi porta erişmek istediğini ve hangi protokolü kullanacağını denetler. Eğer güvenli olan liste ile örtüşüyorsa trafiğe izin verir.
Halbuki, Yandex ve Google gibi dünyanın en güvenilir teknoloji şirketlerinin sunucularına bile; ağınıza zarar verecek yazılımlar yüklenebilmektedir. Yani statik paket filtre güvenlik duvarı; ağınıza indirmeye çalıştığınız bir dosyanın içeriğini kontrol etmeyeceği için, güvenli sitelere yüklenebilmiş bir virüs yazılımını bilgisayarınıza indirebilirsiniz.
Devre Seviyesi Güvenlik Duvarları
Yaygın kullanılan bir güvenlik duvarı türüdür. Bir binaya girmeye çalışan ziyaretçiye direk kimlik soran güvenlik görevlisi olarak nitelendirebiliriz. Hatta bu güvenlik görevlisi; “ziyaret edilmek istenen kişinin hangi ofiste olduğunu da güvenlik kontrolü bitene kadar gizli tutmakta” desek tam anlamı ile anlatmış olacağız.
Yukarıdaki örnekten de anlaşılacağı üzere; devre seviyesi güvenlik duvarlarında kaynağa (yani gelen trafiğe) sizin ip adresiniz hemen iletilmez. Önce güvenlik kontrolü yapılır, eğer kaynaktan gelen trafik güvenlik kontrolünden geçerse ip adresinize trafik yönlendirilir.
Statik paket filtre güvenlik duvarında bulunan dezavantaj bu güvenlik türünde de bulunmaktadır. Devre seviyesi firewall yazılımları da gelen trafikteki paketin içeriğini kontrol etmez. Yani binaya girmeye çalışan ziyaretçiye kimlik kontrolü yapılır ama ziyaretçinin üstü aranmaz.
Dinamik Paket (Durum Denetimli) Filtre Güvenlik Duvarları
Statik paket filtre güvenlik duvarı” yazılımlarının bir üst modeli olarak tanımlayabiliriz. Bu pakette binaya gelen ziyaretçinin hem geldiği adres doğrulanır, hem kimliği sorulur, hem de üst araması yapılır.
Teknik tabirle anlatmak gerekirse; ağınıza gelen verinin kaynağı, verinin içeriği, erişmek istediği port denetlenir ve veri hala güvenli ise ağınıza geçmesi izin verilir. Yüksek performanslı çalışması için de bu işlem, trafik hemen ağınıza girmek isterken yapılır.
Bu paketin en büyük avantajı port sorgulama sistemidir. Bunu gerçek hayata uyarlayarak açıklayalım. Diyelim ki birisi binanıza yangın merdivenini kullanarak girmek istedi. Bu normal bir giriş teşebbüsü olmadığı için güvenlik görevlisi hemen bu kişiyi yakalar ve size haber verir. Eğer siz “evet haberim var, girmesine müsaade ediyorum” derseniz bu geçişe izin verir. İşte “port sorgulama sistemi”, yangın merdiveninden giriş yapmaya çalışan kişiyi yakalayan güvenlik görevlisidir.
Proxy Destekli Güvenlik Duvarları
Hadi “Proxy destekli güvenlik duvarı” isimli yazılımı da yukarıdaki örneklere benzer biçimde anlatalım. Aslında bu yazılım da “dinamik paket filtre güvenlik duvarı” mantığına yakın bir mantıkla çalışır. Ancak bu sistemde ziyaretçinin geldiği adresin doğrulanması için güvenlik görevlisi bizzat ziyaretçinin geldiği yere gider, ziyaretçiyi adresinden alır, sizin binanıza geldiğinde dışarıda durdurur, kimliğini kontrol eder, üzerini arar ve binaya girişine izin verir. Bu kadar detaylı bir güvenlik taraması yaptığı için de doğal olarak ziyaretçinin binaya girmesi daha uzun zaman alır ve yoğun bir ziyaretçi trafiğinde kullanılamaz.
Teknik tabirle anlatmak gerekirse; ağınıza girmek isteyen trafiğin kaynağına bir oturum açma talebi gönderilir, bu talebe cevap veren kaynak ağın dışında incelenir, uygun bulunması hallinde ağ geçişine izin verilir. Yani verinin kaynak adresi doğrulaması bizzat kaynak adresinde gerçekleştirilir, güvenlik kontrolü ise ağınızın dışında yapılır.
Hibrit (Melez) Güvenlik Duvarları
Buraya kadar mimarisine göre dört gurupta sınıflandırdığımız güvenlik duvarı teknolojilerinin en az iki tanesini yapısında barındıran güvenlik duvarı mimarisine “hibrit güvenlik duvarı” veya “melez güvenlik duvarı” denir. Bir hibrit güvenlik duvarı yazılımında yüksek ihtimalle Proxy teknolojisi barındırılır
Firewall Neden Gereklidir?
Her şeyden evvel firewall, izinsiz uzaktan erişime karşı sizi korur. Sizin haberiniz olmadan herhangi bir yöntemle ağınıza girmeye çalışan yetkisiz kişiler; güvenlik duvarı tarafından belirlenir ve bu girişler engellenir. Dolayısı ile ağınıza girmeye çalışan anonim kişilere karşı alabileceğiniz en kesin güvenlik önlemlerinden biridir.
Özellikle yüksek sayıda personel istihdam eden, iç ve dış haberleşmesinin büyük bir bölümünü elektronik posta ile çözen firmalarda; e-posta trafiğini denetlemek ve e-posta ile ağınıza sızabilecek zararlı yazılımlardan korunmak oldukça zordur. Güvenlik duvarı yazılımları; elektronik postalardan gelecek virüsleri ağınıza girmeden engelleyeceği gibi , istenmeyen içerikleri barındıran spam mesajlar engellenir ve daha güvenli bir mail trafiği sağlanır.
Özellikle oyun sunucuları virüslerin ve kötü amaçlı yazılımların dağıtım merkezidir. Birçok virüs bilgisayarınıza oyun sitelerinden bulaşır. Özellikle bilinçsiz internet kullanıcıları tarafından bu virüsler; oyunun bir parçası zannederek bilgisayarına indirebileceğinden dolayı, internet üzerinde oynanan online oyunlar firewall ile daha güvenli hale gelir.
Personelinizin veya aile fertlerinizin istemediğiniz siteleri gezmesini istemiyor iseniz, kesinlikle güvenlik duvarı yazılımı kullanmalısınız. Firewall ile uygunsuz içerikleri engelleyin ve ağınızdaki kişilerin internetten amacı doğrultusunda faydalanmasını sağlayın.
Özetlemek gerekirse; firewall ile ağ trafiğini yönetmek ve kontrol etmek mümkündür. İster işyerinizde, ister evinizde; ağınıza kimin nasıl girmesi gerektiğini bir kurallar bütünü haline getirebilirsiniz. Dilediğiniz zaman bu kuralları esnetebilir ya da daha katı uygulayabilirsiniz.