Siber güvenlik dünyasında firewall uygulamaları ve konfigürasyonları büyük bir önem taşımaktadır.
Firewall’ın çalışma prensibini ve türünü anlamak, güvenlik duvarının trafiği nasıl değerlendireceğini bilmek, neye izin verilip neye izin vermeyeceğine karar vermekle başlar.
Güvenlik duvarının uygulamasını anlamak, güvenlik duvarının koruduğu ağa göre nasıl kurulduğunu bilmekle başlar. En yaygın kullanılan konfigürasyonlar ise aşağıdaki gibidir.
- Ağ ana bilgisayar tabanlı
- Çift bağlantılı ana bilgisayar
- Yönlendirici tabanlı güvenlik duvarı
- Screened host firewall
Ana Bilgisayar Tabanlı
Ana bilgisayar tabanlı senaryosunda güvenlik duvarı, mevcut bir işletim sistemine sahip mevcut bir makineye yüklenen bir yazılım çözümü olarak karşımıza gelir. Bu senaryoda en önemli nokta güvenlik duvarı çözümü ne kadar iyi olursa olsun, temeldeki işletim sistemine bağlı olarak çalıştığını bilmekle başlar. Böyle bir senaryoda, güvenlik duvarını barındıran makinenin sıkılaştırılmış (hardening) bir işletim sistemine sahip olması çok önemlidir. İşletim sistemini sıkılaştırmak, aşağıdakiler de dahil olmak üzere çeşitli güvenlik önlemleri almayı zorunlu kılar.
- Tüm yamaların güncellenmesini yapmak.
- Gereksiz uygulamaların veya yardımcı programların sistemden kaldırılması.
- Kullanılmayan bağlantı noktalarını kapatmak.
- Kullanılmayan tüm hizmetleri kapatmak.
Ağ ana bilgisayar tabanlı uygulamada, güvenlik duvarı yazılımını var olan bir sunucuya yüklersiniz. Bu seçeneğin birincil avantajı maliyettir. Güvenlik duvarı yazılımını mevcut bir makineye kurmak ve o makineyi firewall olarak kullanmak çok daha uygun bir çözümdür.
Çift Yönlü Ana Bilgisayarlar
Çift bağlantılı bir ana bilgisayar, en az iki ağ arabirimine sahip bir sunucuda çalışan bir güvenlik duvarı uygulamasıdır. Bu günümüz teknoloji dünyasına göre çok eski bir metodolojidir. Bugünkü teknolojide çoğu güvenlik duvarı sunucular yerine gerçek yönlendiriciler kullanılarak uygulanmaktadır. Sunucu, ağ ve bağlı olduğu arabirimler arasında yönlendirici görevi görür.
Bunu yapmak için, otomatik yönlendirme işlevi devre dışı bırakılır. Yani İnternet’ten gelen bir IP paketi doğrudan ağa yönlendirilmez. Yönetici hangi paketlerin yönlendirileceğini ve bunların nasıl yönlendirileceğini seçebilir. Güvenlik duvarının içindeki ve dışındaki sistemler çift bağlantılı ana bilgisayarla iletişim kurabilir, ancak birbirleriyle doğrudan iletişim kuramazlar.
Çift bağlantılı ana bilgisayar yapılandırması, ağ ana bilgisayar güvenlik duvarı uygulamasının genişletilmiş bir sürümüdür. Bu, aynı zamanda temel işletim sisteminin güvenliğine de bağlı olduğu anlamına gelir. Firewall herhangi bir tür sunucuda her çalıştığında, o sunucunun işletim sisteminin güvenliği normalden daha kritik hale gelir.
Bu seçenek, nispeten basit ve ucuz olma avantajına sahiptir. En önemli dezavantaj, işletim sistemine bağımlı olmasıdır.
Yönlendirici Tabanlı Güvenlik Duvarı
Bugün en basit, düşük uçlu yönlendiriciler bile bir tür güvenlik duvarına sahiptir. Birden fazla koruma katmanına sahip daha büyük ağlarda, ilk koruma katmanı olarak karşımıza gelir. Bir yönlendiriciye çeşitli türlerde güvenlik duvarları uygulanabilse de, en yaygın türde kullanılan firewall paket filtreleme türüdür. Bir ev veya küçük ofisdeki geniş bant bağlantısı kullanıcıları, geniş bant şirketi tarafından sağlanan temel yönlendiricinin yerine paket filtreleme güvenlik duvarı yönlendiricisi alabilir.
Çoğu durumda, bu çözüm teknik bilgisi yetersiz kişiler için idealdir. Bazı satıcılar, müşterinin ihtiyaçlarına göre önceden yapılandırılabilen yönlendirici tabanlı güvenlik duvarları sunabilir. Müşteri daha sonra ağ ve harici İnternet bağlantısı arasına bu cihazı yerleştirerek kullanabilir.
Bir ağ bölümlere ayrılırsa, her bölümün diğer bölümlere bağlanmak için bir yönlendirici kullanması gerekir. Güvenlik duvarı da içeren bir yönlendirici kullanmak güvenliği önemli ölçüde artıracaktır. Ağın bir bölümünün güvenliği tehlikeye atılırsa, ağın geri kalanı korunmuş olacaktır.
Yönlendirici tabanlı güvenlik duvarlarının belki de en iyi avantajı kurulum kolaylığıdır. Çoğu durumda, satıcılar güvenlik duvarını sizin yapılandırabilir ve basitçe kullanabilirsiniz. Linksys, veya Netgear gibi ev tabanlı yönlendiricilerin çoğunda yerleşik bir güvenlik duvarı vardır.
Screened Host Firewall
Ekranlı bir ana bilgisayar aslında güvenlik duvarlarının birleşimi olarak karşımıza gelir. Bu yapılandırmada, bir bastion host ve bir tarama yönlendiricisinin kombinasyonu kullanılır. Kombinasyon, trafiği filtrelemede etkili olan çift güvenlik duvarı çözümü oluşturur. İki güvenlik duvarı farklı tiplerde olabilir. Tabya ana bilgisayarı bir uygulama ağ geçidi ve yönlendirici paket taraması (veya tam tersi) olabilir. Bu yaklaşım, her iki güvenlik duvarı türünün avantajlarını sağlar ve kavram olarak çift bağlantılı ana bilgisayara benzer.
Ekranlı ana bilgisayarın, çift bağlantılı güvenlik duvarına göre bazı avantajları vardır. Çift bağlantılı güvenlik duvarından farklı olarak, görüntülenen ana bilgisayarın yalnızca bir ağ arabirimine ihtiyacı vardır ve uygulama ağ geçidi ile yönlendirici arasında ayrı bir alt ağ gerektirmez. Bu, güvenlik duvarını daha esnek ancak belki daha az güvenli hale getirir, çünkü yalnızca bir ağ arabirim kartına güvenmesi, belirli güvenilir hizmetleri güvenlik duvarının uygulama ağ geçidi bölümüne ve doğrudan ağ içindeki sunuculara geçirecek şekilde yapılandırılabileceği anlamına gelir.
Taranan ana bilgisayarı kullanırken en önemli endişe, aslında iki güvenlik duvarını bir arada birleştirmesidir. Bu nedenle, herhangi bir güvenlik kusuru veya yanlış yapılandırma her iki güvenlik duvarını da etkiler. Bir DMZ kullandığınızda fiziksel olarak iki ayrı güvenlik duvarı vardır ve herhangi bir güvenlik açığının her ikisine de yayılma olasılığı düşüktür.