Genel Politika
Güvenlik duvarı üzerine kural eklemek için https://labrisip:81 üzerinden web arayüzüne erişilir.
Arayüze geçiş yaptıktan sonra “Policies” sekmesi altında “Firewall > Rules” modülüne geçiş yapılır.
“Add” butonuna tıklanılarak kural eklenir.
1- Kural aktif-pasif hale getirilebilir. İlk eklendiğinde pasif haldedir.
2- Kurala bir isim verilebilir.
3- Kural bir gruba eklenebilir.
4- Kural üzerinde ne yapılacağı seçilir.
5- Trafiği başlatacak ip adresinin nesnesi eklenir.
6- Trafiğin hedef nesnesi eklenir.
7- Kullanılacak servis eklenir.
8- Uygulama kontrolü yapılmak isteniyorsa oluşturulan nesne eklenir.
9- Takvim nesnesi eklenir.
10- Bant genişliği uygulanacaksa oluşturulan nesne eklenir.
11- Dos&Ddos işlemi yapılacaksa oluşturulan nesne eklenir.
12- Kuralın önemlilik derecesini belirtilir.
13- Yazdığımız kuralın için icmp paketleri kullanılıyorsa o paketler hakkındaki işlemler yapılır.
14- Kuralın çift taraflı çalışıp çalışmayacağını belirtilir.
15- Oluşturduğumuz Alıcı profillerden yazdığımız kuralın logunu başka bir cihaza iletilebilir.
16- Politika bazlı Ids yapılandırılabilir.
Örnek Kurallar:
Yukarıdaki kuralda tüm yerel ağ için 10 mbps ortak bant genişliği tanımlanmıştır. Kuralda bant genişliği sınırlandırılması yapılacağından “Log” kutucuğu seçilir.
Yukarıdaki kuralda tüm yerel ağ için Youtube işareti geçen bütün istekleri yasaklamaktadır. Kural youtubeyi yasaklayacağı için “Drop” kutucuğu işaretlenir.
Yukarıdaki kuralda ise Youtube’u sadece mesai saatleri içerisinde yasakla şeklindedir.
Yukarıda bir port yönlendirilmesi yapılmıştır. Dışarıdan gelen istekleri sadece bir ip adresinden kabul etmektedir. Kuralın açıklaması ise Outsource nesnesinin ip adresinden tcp 2223 servisi ile gelen istekleri Server17(192.168.1.17) nesnesinin ssh servisine yönlendir. Aşağıda bu yönlendirmenin Genel Politika üzerinde izini yazılacaktır.
Yukarıda Nat politikasında yazdığımız ssh yönlendirme izini için Genel politika üzerinde izinlerini yukarıdaki kuralda yazılmıştır. Kuralın detayları ise Outsource nesnemizin ip adresinden Server17’ye gelen ssh servisi isteklerini kabul et. Hedef’e Server17 eklenmesinin nedeni bu politikalardan öncelikle Nat çalıştığından artık yönlenmiş bir istek olduğundan yereldeki cihaza gelen trafiğe izin vermektedir.
