FortiWeb Virtual Server oluşturmak için öncelikli olarak FortiWEB’ımızın içinde “Network” altında “Virtual IP” alanından “Create New” diyerek WAF arkasına alacağımız URL’imiz için bir “Virtual IP” oluşturmamız gerekiyor. Örnek bir ekran görüntüsü aşağıda paylaşıyorum;
“Virtual IP” mizi oluşturduktan sonra, “Server Objects” altından “Virtual Server” kısmına gelip “Create New” diyerek yeni bir “Virtual Server” oluşturuyoruz, oluşturduktan sonra tekrar içine girerek edit kısmındayken “Create New” diyerek ilk adımda oluşturduğumuz “Virtual IP” mizi seçip onaylıyoruz ve bir sonraki adıma geçiş yapıyoruz;
Akabinde yine “Server Objects” kısmından “Server Pool” altından “Create New” diyerek bir havuz oluşturuyoruz. Havuzu oluştururken edit sayfasında bu işlemi yaptığımız sırada “Create New” butonuna basarak içerdeki URL’imizin çalıştığı local IP adresini ve çalıştığı portu belirterek WAF arkasına alacağımız bilgilerimizi girip “OK” butonumuz ile kaydedip sonraki adıma geçiş yapıyoruz;
Bir sonraki adımımızda ise “Web Protection” menümüz altındaki “Known Attacks” kısmından “Signatures” alanından bir signature eklememiz gerekmektedir. Bunun için bu kırılıma girerek kendimiz bu alanları manuel seçebilir veya “Signature Wizard” butonuna tıklayarak uygulamamızda kullanılan database I vs seçerek FortiWEB’ın otomatik olarak bu bilinen atakları seçip kullanmasını isteyebiliriz. Aşağıda kendi sistemim üzerinden bir örnek ekran görüntüsü paylaşıyorum yine, burada kendim bu adımları yapmayı tercih ettim be bilinan saldırılar için ayarlamamı yapıp “OK” butonuna bastum(SQL Injection, Trojans, Bad Robot vs.)
“Signature Wizard” butonuna tıkladığınızda karşınıza gelecek ekran için de aşağıda bir örnek paylaşıyorum;
Son adımdan bir önceki adım için ise “Policy” kısmından “Web Protection Profile” alanına girip burada “Create New” butonuna tıklayarak, yeni bir profil oluşturuyoruz;
“Create New” butonuna tıkladıktan sonra karşımıza gelen ekranda bu profilimiz için bir isim belirtip, yapmak istediğimiz işlemleri yapıp “OK” butonuna tıklayıp kaydedip son adıma geçiyoruz. Bu alanda “Signatures” kısmında bir önceki adımda oluşturduğumuz signature profile ımızı seçiyor olmamız gerekmektedir. Diğer alanlarda eğer bir ayarlama yapmadıysanız boş bırakarak devam edebilirsiniz. Ben FortiWEB’ımda bir kaç değişiklik yaptığım için bu alanlarda kendi ayarlamalarımı seçtim fakat default ayarlarda olarak bir URL’Inizi WAF arkasına almak istiyorsanız “Cookie, Advanced Protection, Input Validation” gibi alanlarda ayarlamalar yapmanıza gerek kalmayacaktır fakat belirttiğim gibi ben bu profillerin ayarlamalarını da tabii ki yaptım dolayısıyla, yapılmasına gerek yok gibi bir cümle kurmuyorum elbette. Lütfen buna dikkat ediniz. Bu adımla ilgili örnek ekran görüntüsünü de aşağıda bulabilirsiniz;
Tüm bu işlemlerimizden sonra en son adım olarak, tıpkı bir Firewall’a kural yazıyormuşuz gibi FortiWEB’ımıza da bir kural eklememiz gerekmektedir. “Policy” menümüzden “Server Policy” kırılımına tıklayarak “Create New” botunumuza basıp WAF’ımız için yeni bir kural ekliyoruz. Bu kısımda da ekleyeceğimiz kuralımıza bir isim belirtip, “Virtual Server” alanına önceki adımlarda oluşturuduğumuz “Virtual Server” ımızı giriyoruz, “Server Pool” seçimimizde yine önceki adımlarımızda oluşturduğumuz “Server Pool” bilgimiz olacaktır. En son “Security Configuration” kısmımızdan da ayarlamasını yaptığımız bir önceki adımda oluşturduğumuz “Web Protection Profile” seçimimizi yaparak “OK” butonuna tıklayıp işlemlerimizi tamamlıyoruz ve URL’imizi artık FortiWEB arkasına alarak korumaya başlamış oluyoruz. FortiWeb Virtual Server işlemimizi tamamlamış oluyoruz. Bu alanın bir örnek ekran görüntüsünü de aşağıda paylaşıyorum;