Hillstone NGFW ürünleri hakkında bilgi vermek gerekirse, 2016 NSS Lab (NSS Lab: Uluslararası bilinen güvenlik cihazlarının fiyat/performans karşılaştırması yapan bağımsız bir kuruluştur) raporlarında performans ve fiyatta birinci seçildi. Giriş seviyesi ürün olan E1600 modeli üzerinden ilk kurulum ve ayarlarının nasıl yapılacağını sizlere aktaracağım.
Hillstone firewall’un default ip adresi 192.168.1.1 olarak gelmektedir. Bağlanacağımız port e0/0‘dır.
Kullanıcı adı: hillstone,
Şifre: hillstone
Yönetim arayüzüne Chrome üzerinden ilerlemeniz tavsiye edilir.
Arayüze ilk girişte bizi ilk karşılayan pencere Dashboard arayüzüdür. Buradaki özellikleri daha sonra anlatacağız.
System information bölümünde aygıt ismi, saat ayarları gibi ayarları yapabiliriz.
Device Management bölümünde,
- Administrators: Cihaz için yönetici atayabilir, atayacağımız yöneticinin bağlantı metodunu belirleyebiliriz.
- Admin Rules: Cihaza atayacağımız yöneticinin haklarını (cihaz üzerinde neler yapabileceğini) belirleyeceğimiz alandır.
- Trust Host: Cihaza bağlanacak adminlerin ve cihazda trafiğine izin verilen ip bloklarını belirlediğimiz alandır. Öyleki buraya ekli olmayan bir ip bloğundan ya da ip adresinden gelmeyen trafiğe yönetim izni verilmeyecektir.
- Management Interface: Cihaza bağlanacağmız zaman, bağlancağımız portları belirleyeceğimiz alandır. Aşağıda örnek resim bulunmaktadır.
- System Time: Cihazın time aralığını ayarladığımız bölümdür.
İhtiyacımız olan şimdilik bu kadardır.
Configuration File Management: Cihazın yedeklerini alabileceğimiz ve aldığımız backupların restore edilmesi gibi işlemeleri bu alandan yaparız. Ayrıca current configuration tabında cihazdaki bütün yapılandırmayı görebilmekteyiz.
Network Menüsü
Zone :
Baktığımızda, neredeyse bütün zone base firewalllarda olduğu gibi Trust, untrust kavramını görmekteyiz. Bu şu demek ki inteface’imizi hangi zone altına alırsak o interface o zone da çalışıyor olacaktır. Ayrıca kurallar zone esasına göre yazılacaktır.
Ayrıca zone bölümünü incelediğimizde, Vswitch1 ve trust-vr kavramı ile de iki kavram bulunmakta. Birisi switch için diğer ise router için kullanılmakta. Yani sanal switch ve sanal router gibi düşünebiliriz. Sanal router Fortigate’teki vdom’lara denk düşüyor demek yanlış olmayacaktır. Sanal switch üzerine interface atamak için, interface’i l2-trust seçmek gerekecektir. Aşağıda ki örneği inceleyiniz. L2 trust dediğimiz bir zone ve virtual switche atanabilmektedir.
Yukarıdaki örnekte e0/4 inteface’ini l2-trust’a aldım. Böylece artık vswitch1 tanımlanmış oldu. Vswitch1 l3 çalıştığı için trafik vswitch1 üzerinden dönecek.
Yukarıdaki yapılandırmayı incelediğimizde 0/1 – 0/8 arasındaki bütün portlar vswitch1’e eklenmiş durumdadır. Bu durumda vswitch1 in ip adresi istemciler için gateway olacaktır. Kaçtane vswitch kaçtane vrouter gerekiyorsa kendi aksiyonunuza göre ayarlayabilirsiniz. Her ikisi içinde sol menüde bölümler bulunmaktadır.
Interface:
Yapılan İşlem:
Öncelikle e0/0 üzerinden bağlantı kurdum. IP adresini 10.0.0.254 yaptıktan sonra bağlantıyı kurdum. Sonrasında kalan bütün portları vswitch üzerine l2 olarak bağladım. E0/0 portunu untrust olarak tanımladım. Modemi dmz moda alarak buraya bağladım. E0/0 portunun yapılandırması aşağıdaki gibidir.
Interface e0/0’i Layer 3 zone olarak belirliyorum ve untrust zone olarak belirliyorum. Sonrasında rewerse route seçeneğini enable ederek ok butonuna basarak ayarlarımı gerçekleştiriyorum. DHCP’den ip aldığı için route yazmamıza gerek kalmayacak ancak, static ip tanımı yaptığımızda route yazmamız gerekecek. Bu durumda routingbölümünde destination route yamamız gerekecek. Destination route bölümüne gelerek interface bazında route yazalım.
Yukarıda destination route yazma penceresinde ayarları kendinize uygun şekilde yazabilirsiniz. Next Hop: bölümünü değiştirerek Gateway olarak da yazabilirsiniz bu durumda aşağıdaki gibi yapmanız gerekecek.
Bu ayarlarla internete çıkabilmem için bir de policy yazmam gerekecek. Ayrıca kullanıcılarımın ip adreslerini Hillstone üzerinden almasını istiyorsam bu durumda DHCP yapılandırması da yapmamız gerekecek. Şimdi DHCP yapılandırmasını yapalım ve sonrasında da Policy’mizi yazalım.
Öncesinde dilerseniz DNS sunucu olarak da Hillstone’u kullanabilirsiniz. DNS ayarlarını Default olarak’ da bırakabilirsiniz
DHCP :
New butonu ile dhcp sunucumuzu oluşturalım.
DHCP Server seçeneğini seçiyoruz. Dilerseniz içeride bir dhcp sunucusu var ise relay olarak da kullanabiliriz
Interface seçimini yaparak diğer alanları olması gerektiği şekilde doldurarak add butonuna basıyoruz.
Sol menüdende görebileceğiniz gibi Rezervasyonlar ayarlamalarını yapabilir, IP-MAC eşleştirmelerini de yapabileceğimiz seçenekler bulunmaktadır. Sonrasında OK butonuna basarak işlemlerimizi bitirmiş oluyoruz.
Artık istemcilerimiz ip alabilir duruma geldiler. Şimdi Policy’mizi oluşturarak istemcilerimizi internete çıkarma vakti gelmiştir.
Policy:
Policy sekmesine gelelim.
Security Policy bölümünde new butonu yardımı ile yeni policy’mizi oluşturalım.
Source ve Destination bölümlerini yukarıdaki gibi seçerek ok butonu ile işlemi tamamlıyoruz.
Şimdi sırada SNAT ayarını yapmaya geldi bu ayar ile internete çıkışımızı sağlamış olacağız.,
SNAT:
Nat bölümüne gelerek SNAT bölümüne geçiyoruz ve New botunu ile yeni bir SNAT policy oluşturacağız.
Yukarıdaki örneğe benzer bir kuralı oluşturalım.
Client’larımız DHCP’den ip alarak internete çıkabilir pozisyona gelmiş olacaklar. Client’larımızın DNS ihtiyacını da Hillstone cevap verecektir.
Yorumlar
Yorum Gönder