ozztech_logo_white

Fortinet Best Practise-En İyi Öneriler Serisi-8

Ağ yapılandırması networking

Networking- Ağ yapılandırması

Ağ yapılandırması yani Networking konfigüre edilirken, korunan ağın “back door” erişimi olmadığıa dikkat edin. Örneğin, bir kablosuz erişim noktası varsa, parola ve şifreleme ile uygun şekilde korumalısınız.

IP adresleme, kablolama ve ağ yapılandırması öğelerini içeren güncel bir ağ şeması da bulundurduğunuzdan emin olmalısınız.

Yönlendirme yapılandırması

  • Her zaman varsayılan (default) rota oluşturmalısınız.
  • VPN tünelleri kullanılarak erişilebilen subnetler için blackhole yolları eklemelisiniz. Böylece, VPN tüneli çökerse trafiğin yanlışlıkla şifrelenmemiş bir şekilde İnternet’e yönlendirilmemesini sağlar.

Policy Yönlendirme

Rota aramada performansı en iyi duruma getirmek ve sorun gidermeyi basitleştirmek için policy yollarının sayısını en az sayıda tutun.

Dinamik yönlendirme

  • Bir arayüze atanan IP ile eşleşen bir Router ID seçin. Bu şekilde, aynı Router ID sahip iki cihaza sahip olma olasılığını ortadan kaldırır.
  • Bir IPsec tüneli üzerinden yönlendirme için, tünelin her iki ucuna da IP adresleri yapılandırın.

Gelişmiş Yönlendirme

Border Gateway Protocol (BGP) ve Önce En Kısa Yolu Aç (OSPF) ile uğraşırken gelişmiş yönlendirme yapabilmek için aşağıda yer verdiğimiz best practice yöntemlerini uygulayabilirsiniz.

Sınır Ağ Geçidi Protokolü (BGP)

BGP kullanıyorsanız, soft-reconfiguration’u etkinleştirmenizi öneririz. BGP kullanmanızın size iki faydası vardır:

  1. Bir BGP policysinde değişiklik yapıldıktan sonra peers için “soft clear” gerçekleştirmenizi sağlar.
  2. Her neighbordan öğrenilen belirli öneklere daha fazla görünürlük sağlar.

FortiGate’inizin belleğinde yeterince alan mevcut değilse, soft-reconfiguration’u devre dışı bırakın. Soft-reconfiguration, yerel BGP veritabanına ek olarak alınan ve duyurulan prefixlerin ayrı kopyalarının tutulmasını gerektirir.

Önce En Kısa Yolu Aç (OSPF)

  1. Mümkünse, her yerde pasif arayüzlerin kullanmamaya çalışın.
  2. Alanları bağlamak için sanal bağlantılar (virtual links) kullanmayın. Tüm alanlar doğrudan backbone alanına bağlanacak şekilde tasarlanmalıdır.
  3. Tüm backbone yönlendiricilerinin diğer backbone komşularıyla en az iki eşleme bağlantısına sahip olduğuna emin olmalısınız.
  4. OSPF etki alanının tamamı ortak yönetim (common administration) altında olmalıdır.

Ağ Adresi Çevirisi (NAT)

  • IP Pool aralığını yanlış yapılandırmaya karşı dikkatli olun. Her IP Pool aralığının başlangıç ​​ve bitiş IP adreslerini iki defa kontrol edin. IP Pool, FortiGate arabirimlerine veya doğrudan bağlı ağlardaki hostlara atanan adreslerle üst üste gelmemelidir.
  • Aynı sunuculara erişen dahili (internal) ve harici (external) kullanıcılarınız varsa, dahili kullanıcılara bir dahili IP sunmak için bölünmüş DNS kullanın, böylece harici VIP’yi kullanmalarına gerek kalmayacaktır.

NAT’ı yapılandırma

Bir uygulama tarafından gerekli olmadığı sürece, inbound trafik için NAT’ı etkinleştirmeyin. Mesela, inbound SMTP trafiği için NAT etkinleştirilirse, SMTP sunucusu açık geçiş (open relay) görevi görebilir.

Şeffaf Mod

  • Bir swtichdeki İki bağlantı noktasını aynı VLAN’a veya aynı hub’a bağlamayın. Çünkü, bazı Layer 2 switchleri, birden fazla switch arabiriminden veya birden fazla VLAN’dan gelen aynı MAC adresini algıladıklarında kararsız hale gelirler.
  • FortiGate ünitenizde birden fazla VLAN çalıştırıyorsanız, yayın kapsamının kaynaklandığı VLAN’ın ötesine geçmediğinden emin olmanız için, her VLAN kimliğini kendi yönlendirme etki alanına atamalısınız.

Layer 2 döngülerine karşı korumak için:

Tüm arabirimlerde stpforward‘ı etkinleştirin.
Üretim trafiği (TP modu VDOM) ve yönetim trafiği (NAT modu VDOM) için ayrı VDOM’ler kullanmalısınız.
Yalnızca üretim için kullanılan arabirimleri TP modu VDOM’ye yerleştirin. Diğer tüm arayüzleri NAT modu VDOM’ye yerleştirin. Bu önlem sayesinde Layer 2 döngülerine karşı korunursunuz.

Ağ yapılandırması Networking için Sanal IP’leri (VIP’ler) kullanma

Harici arabirim IP adresinin dinamik olarak atandığı bir FortiGate birimi için VIP oluştururken 0.0.0.0 harici IP’sini kullanın.
Yeni bir sanal(virtual) IP (VIP) oluştururken doğru harici arayüzü seçtiğinizden emin olun. Harici arayüz, FortiGate ünitesinin harici ağlardan(external networks) bağlantı isteklerini aldığı arayüze ayarlanmalıdır.

Fortigate en iyi öneriler (fortigate best practise) serimizin beşinci bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yaracaktır.

Fortinet Best practise serimizin bir önceki bölümünde Policy Konfigürasyonu/yapılandırmasını anlattık yazımıza ulaşmak için tıklayabilirsiniz.

İlginizi Çekebilecek Makaleler​

Message Broker Nedir?

Message broker, birçok farklı uygulama veya sistem arasında iletişim kurmak için kullanılan bir yazılım aracıdır. Bu araç, bir uygulama tarafından gönderilen mesajları bir veya daha

Devamı »
Loglama Nedir?

Loglama, bilgisayar sistemlerindeki olayları, hataları ve diğer önemli durumları kaydetme işlemidir. Bu kayıtlar, sistem yöneticileri ve geliştiriciler tarafından, sistemlerin işleyişini anlamak, hataları tespit etmek ve

Devamı »
Vcenter Üzerinden ESXI Upgrade’i Nasıl Yapılır?

Öncelikle herkese merhaba arkadaşlar, sizlere Vcenter üzerinde ESXI hostunuzu nasıl upgrade edeceğinizi anlatacağım. Öncelikle hangi versiyona yükselteceksek o versiyonun ISO dosyasını indiriyoruz. Ardından Vcenter’ımızı açıyoruz.

Devamı »
.OrianaLOG Nedir?

.OrianaLOG Nedir? ve Ne işe Yarar?  .OrianaLOG bir sistem veya uygulamanın çalışması sırasında oluşan log (kayıt) dosyalarının toplanması, depolanması, analiz edilmesi ve incelenmesine olanak sağlayan bir

Devamı »