OzzTech - Fortigate Firewall’da SD-WAN Nedir?

Fortigate Firewall’da SD-WAN Nedir?

Fortigate Firewalllarda (ve tabii ki diğer firewall cihazlarında da bu özellik mevcuttur, ancak örneğin Palo Alto bunun için ayrı bir Lisans isteyecektir) SD-WAN oluşturarak, birden fazla WAN hattınız varsa, loadbalance özelliğinden faydalanarak yedekliliğinizi arttırıp firewall cihazınızı kullanabilmeniz mümkün olacaktır. Bu durumda, mevcut WAN hatlarınızdan bir tanesi down olduğunda diğer hattınızdan kullanıcılarınız veya sunucularınız veya her iki networkünüz ya da sadece sizin belirleyebileceğiniz şekilde şu şu şu networküm şeklinde seçiminizi yaparak WAN tarafına doğru trafiğinizi yönlendirtebilirsiniz.

Bunun için ilk adım olarak bir virtual wan-link” oluşturmanız gerekecektir. Bunun için Fortigate Firewallumuzun GUI’sinden “Network” ana menüsü altından “SD-WAN” kırılımına gelerek “SD-WAN Zones” kısmından “Create New” butonuna tıklayarak yeni bir zona oluşturmanız gerekecektir.

Fortigate SD-WAN
Fortigate SD-WAN

“Create New” butonuna basarak yeni bir zone oluşturup bu zone içerisine mevcut 2 adet WAN hattınızı ekledikten sonra “OK” butonu ile işlemi onaylayıp sonraki adıma geçebilirsiniz. Sonraki adımda ise, en başta da belirttiğim gibi, loadbalance özelliğini kullanarak bir kural yazarak bu kuralda “Members” kısmına her iki WAN interfaceinizi belirterek, oluşturacağınız bir “Performance SLAs” profiline göre WAN tarafına doğru olan trafiğinize müdahale edebilirsiniz.

Örneğin ben bu örneğimde, tüm kullanıcılarımı WAN tarafına doğru gönderirken wan1 ve wan2 interfacelerimi kulan ama bunu yaparken hattın up veya down olduğu yine benim belirleyeceğim kriterlere göre kontrol ederek yap ve hangi hattım müsait ve uygunsa bu hattım üzerinden bu trafiklerin geçmesini sağlatıyorum Fortigate Firewall cihazıma. Bunun için bir önceki adımda “OK” diyerek size atacağı bir önceki sayfada “SD-WAN Rules” kırılımı altından “Create New” butonuna tıklayarak yapabiliyorum. Bu aşamada ise yine bu kuralım için bir isim belirledikten sonra Bu kuralımı kullanacak adreslerimi seçebilir veya “all” diyerek tüm kaynak adreslerimi bu kuraldan geçir diyebilirim, bu örnekte “all” olarak seçip ilerliyorum aynı şekilde, hedef olarak ta yine WAN tarafında nereye giderse gitsin anlamında “all” diyerek devam ediyorum. Belirli port kısıtlamalarını da dilerseniz yine bu sayfadan gerçekleştirebilirsiniz fakat bu örneğimde port kısmını da yine “ANY” olarak bırakıp ilerliyorum. Ve tabii ki bu kuralı “Internet Service” veya “Application” olarak seçimler yaparak belirteceğiniz uygulama ve servislere doğru da yazabilirsiniz ancak örneğimde bu kısımları da boş bırakıyorum bu durumda herhangi bir internet service veya uygulamaya giderken şeklinde belirtmiş oluyorum aslında. Fakat bu iki seçeği seçebilmeniz için destination kısmındaki “Address” alanını boş bırakmanız gerekecektir. Address alanında herhangi bir seçim olduğunda size herhangi bir “Internet Service” veya “Application” seçmenize müsade etmeyecektir.

Akabinde “Outgoing Interfaces” kısmından “Interface preference” altına wan1 ve wan2 hatlarımı ekleyerek bu hatlarım arasında neye göre seçim yapmasını istediğimi Fortigate Firewalluma söylüyorum. Bu örneğimde ve genel olarak tüm iş ortaklarımda “Best Quality” olarak bu seçimi yapıp wan1 ve wan2 hatlarımı da ekleyerek devam ediyorum şahsen. Burada seçebileceğiniz 4 seçenek mevcuttur. Açıklamaları zaten altlarında yazıyor olacaktır. “Best Quality” olarak seçmemin sebebi ise alt kısımda da görebileceğiniz “Measured SLA” seçimi yapmak istememdir. Bunun açıklamasını da bir sonraki ekran görüntüsü altında açıklıyor olacağım. “Measured SLA” kısmında da bir sonraki adımda oluşturacağımız performance kriterini seçip, “Quality Criteria” kısmından da “Packet Loss” olarak seçerek “OK” butonuna tıklayarak seçimlerimi tamamlayıp son adıma geçiyorum. Bu alanın örnek ekran görüntüsü ise aşağıdaki gibidir;

Son adımda ise bir önceki adımda bahsettiğim, “Measured SLA” için performance krtierimi oluşturuyorum. Bunun için “OK” butonuna bastığımızda otomatik olarak yönlendireceği sayfadan “Performance SLAs” kırılıma tıklayarak yine “Create New” butonu ile devam ediyoruz.

Bir isim belirterek işleme başlıyoruz, örnek olduğu için “x” olarak ismi yazıp devam ediyorum. “Detection Mode” kısmını “Active” seçerek “Protokol” kısmından da “Ping” I seçerek, “Server” alanına da 8.8.8.8(google dns) yazarak ilerliyorum. Bu şekilde Fortigate Firewall cihazıma şunu demiş oluyorum aslında; bu iki hattım arasından hangisi en iyi performansa sahipse o hat üzerinden WAN tarafına doğru trafiğimi yönlendir. Bunu yaparken de 8.8.8.8’e(google dns) en kısa sürede “Ping” imin ulaştığı interface imi kulan(wan1 veya wan2) ve tabii ki bunu yapabilmesi için “Participants” kısmından “Specify” diyerek WAN hatlarınızı eklemeniz gerkecektir veya “All SD-WAN Members” seçeneğini de işaretlemeniz yeterli olacaktır, bu durumda tüm SD-WAN üyesi yaptığınız WAN hatlarınız için geçerli bir performans kriteri oluşturmuş olacaksınızdır.

Diğer ayarlarımı default olarak bırakarak, static route kısmını otomatik olarak güncelleyerek ayarlayabilmesi için “Update Static Route” seçeneğimi de açarak “OK” butonuna tıklayarak bu son adımı da tamamlıyorum. Bu kısmın örnek ekran görüntüsü de aşağıdaki şekildedir;

Tüm bu adımlardan sonra, FortiGate SD-WAN için bir zone oluşturmuş ve SD-WAN kuralımı da yazmış oluyorum. Aynı zamanda bu kısımdan örneğin client networkünüzü wan1 hattınızdan, server networkünüzü ise wan2 hattınızdan da internete çıkarabilirsiniz tabii ki. Bunun için ise yapmanız gereken tek şey ise, ilk adımda anlattığım source kısmına server networkünüzü belirterek sadece bir WAN hattınızı ekleyerek bir kural oluşturup aynı şekilde bir kural da client networkünüz için oluşturup bu kuralda da diğer WAN hattınızı eklemek olacaktır.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.