Bir önceki makalemde CheckPoint NGX-R61 ürününün kurulumunu anlatmıştım . Bu makalemde ise kaldığımız yerden yani Dashboard'a bağlandıktan sonra gereken konfigürasyonlarımızı anlatacağım.
Öncelikli olarak ; Node ve Network oluşturmak daha sonra ise Kural yazma ile ilgili bilgiler vereceğim .Bu temel bilgilerden sonra ise ; Dinamik ve Sabit NAT' ın CheckPoint üzerinde nasıl yapıldığını anlatacağım.
Şekil 1
CheckPoint Firewall?in kurulumdan sonra Dashboard ile Firewall!a bağlandık. Burada solda gördüğünüz gibi CheckPoint sekmenin altındaki cpmodule nin üstüne 2 kere tıkladım ve karşıma gelen ekranda Firewall!a bir isim verdim . Daha sonra ise IP adresini değiştirdim . CheckPoint products daki kutulardan herhangi birine tıkladığımızda ise buradaki ürünleri kullanabilirsiniz .
Şekil 2
Node oluşturmak için yine sol menüden "Node" kısmına tıklıyorum . CheckPointte içerden dışarı yada dışardan içeriye herhangi bir kural yazmak istediğimiz zaman bize gerekli olan "Node ların " tanımlanması gerekmektedir. Tanımladığımız Node lar göre kurallar yazarız. Mesela Lokal bir Web Server var ise ve biz Web Server için 80 molu portu açmak istiyorsak , Checkpoint üzerinde öncelikle bu Web Server ın ip bazlı tanımlanması gerekmektedir. Solda gördüğünüz gibi Node butonunun üstünde sağ tıklayarak yeni Node tanımlıyabiliriz. İsim olarak WebServer verdim . Checkpoint ip bazlı kural tanımladığı için WebServer isimi "Node" u temsil eden makine için ip adresini veriyoruz . WebServer ın şirket için ip adresi "10.10.10.200" dir. Açıklama olarak ta herhangi bir ibare yazabiliriz. Renk olarak ise renklendirmeniz de fayda var. Çünkü kurduğumuz checkpointin arkadasındaki PC sayısı çok ise Node lar arasında kaybolabiliyorsunuz .Mesela 3 adet WebServeriniz var bunları mavi renk atıyabiliriz. Diğer serverlerida diğer renkler kullanabiliriz.
Şekil 3
WebServer isimli Node için iç ip yi belirttik ancak bu Web Server a şirket dışından gelecek olan kullanıcılar için bir Real IP tanımlaması yapmak zorundayız . Bunun için Node menüsünde iken General Properties bölümünden NAT sekmesine geliyoruz . Burada şekilde gösterildiği gibi Web Server için aldığımız sabit ip yi yazabiliriz. Ancak siz şirket içinde bulunan Web Server için ayrı bir ip almamış iseniz o zaman "Translation Method" bölümünden "Hide Behind Gateway" i seçersek sadece Port yönlendirmesi yaparız. Static olarak seçtiğimizde atatığımız IP yi localdeki belirlediğimiz makineye yönlendirir.
Şekil 4
Örnek bir Node tanımı yaptık . Şimdi ise kural bölümüne bakalım . Dashboard üzerinde üst menüsünden Rules in altında Add Rule > Top u seçiyoruz ve bir adet kural oluşturuyoruz .
Şekil 5
Burada yapmamız gereken ; dışarıdan içeriye kural yazacağımız için. Source : Any bırakıyoruz. Destination olarak oluşturduğumuz Node'u ekliyoruz. Fare ile Node'u tutup istersek sürükleyebiliriz , istersek ise kural a sağ tıklayarak açılan menüden "Add" diyerek Node u çağırabiliriz. Service olarak Webserver belirlediğimiz için HTTP protokolünü seçiyoruz. Action kısmını Accept olarak seçiyoruzki bu trafiğin akışına izin verelim.Track de ise kayıtların tutulmasını sağlıyoruz . ( Webserverimize bağlanan IP leri ve durumunu loglamak için ) . Şimdi yazdığımız kuralı açıklamak gerekir ise ; herhangi bir adresten gelen ve bizim webserver a gelen http istekleri Checkpoint tarafından izinli kabul edilecektir. belirteyim. Bu kurala isterseniz diğer servisler için gerekli olan protokolleri de ekleyebilirsiniz . ( SMTP , POP3 , FTP vb )
Şekil 6
Kuralımızı yazdık , fakat bunu daha install etmediğimiz için kural aktif olmayacaktır. Bu konuya daha sonra değineceğim . Şimdi ise yine Checkpoint ile beraber gelen bir özelliğe değineceğim . Lisanslanması halinde kullanabilieceğiniz Smart MAP . Bu yukarıdaki şekilde gösterildiği gibi programımızın alt bölümünde bize topoloji hakkında bilgi veren bir haritadır . İlk kurulum ile birlikte Cpmodule ve interneti temsil eden iki şekil görüyoruz ve şirket içi network u çözümlemek için cpmodule üzerine sağ tıklayarak "Expand" seçeneğini seçiyoruz.
Şekil 7
Topolojinin son hali yukarıdaki gibidir . Tanımladığınız bütün Node lar , CP ve internetin yeri ayrıntılı bir şekilde gösterilmektedir . Yine bu menüden şirketinizin sahip olduğu diğer CP ları da yönetebilirsiniz . Bu sayede merkezden tüm şirket network üne hakim olabilirsiniz .
Şekil 8
İlk kurulum ile beraber aldığımız Real ip ; 213.243.1.0 li olsun , burada ip ile internet arasında ok bağlantısı yoktur , bunun için üzerine gelip Connect to internet demeliyiz.
Şekil 10
Siz Webserver için kural yazdınız ancak bu arada Müdürümüz geldi ve dedi ki ; Ben internete çıkamıyorum , beni firewall ilgilendirmez , ben heryere girerim veya her servisi kullanacağım dedi. Burada yapmamız gereken , hemen Müdürümüz için bir Node oluşturmak ve onun için de yukarıdaki gibi kural yazmamız gerekir. Çünkü CheckPoint yukarıdada belirtiğimiz gibi ilk kurulumdan sonra dışarı ve içeri bütün portları kapalı olarak kurulur. Hemen Node oluşturduk , açıklamasına Müdür yazdık . Eğer Müdürünüz birden fazla ise diğerleri içinde Node oluşturmalısınız , ama bu oluşturduğunuz bütün Nodeleri bir gruba atayıp o grub için sadece bir kural yazmamız yeterli olacaktır.
Şekil 11
Gördüğümüz gibi her bir Node oluşturduğumuzda aşadaki SmartMap e resim olarak ekleniyor. Biz iki tane müdür düşündük ve 2 adet Node ekledik. Networklerimizi de belirlememiz gerekir. Node sekmesinin altında Network sekmesini açarak orada network belirliyebiliriz. Oluşturduğumuz 2 Node 2 ayrı kural yazmaktansa 1 grub oluşturup onları bu gruba atayıp tek bir kural yazacağız. Group altında Simple Group u seçtik.
Şekil 12
Bu ekranda gördüğümüz gibi daha önceden tanıttığımız Nodeler gözüküyor. Ben burada Msn group olarak bir grup oluşturmak istiyorum. Ahmet ve Mehmet olarak tanıttıgım Node üzerindeki kişiler MSN e çıkmaları gerekiyor. Grubun ismini MSN group olarak verdim. Soldaki Menüden sağ tarafa 2 Node uda ekledim. Ok dedim. Böylece bir grup oluşturduk ve buna 2 adet Node ekledik .
Şekil 13
Grubumuzu oluşturduk. Daha sonra en yukardaki menüden policylere gelip yeni bir Policy ekliyoruz ya da 1. inci Policy nin üzerinde Mouse un sağ tuşuyla yeni bir policy açabiliriz. oluşturduğumuz yeni Policy'yi içerden dışarıya doğru yazmamız gerekiyor. Source olarak bir önceki şekilde oluşturduğumuz grubu çekip source in üstüne atıyoruz. Destination olarak Any kalıyor. Services kısmını ise MSN_Messenger olarak seçiyoruz. Action : Accept ve track olarakta log bırakıyorum . Şimdi yazdığım kuralı söylüyorum. Msn grup kaynağı olan , hedefi herhangi bir yer ve servisi MSN olan kurala izin ver ve logla. Aynı bu şekilde diğer servisler içinde kurallar yazabiliriz. Network grup ve kişi bazından kurallar olabilir aynı şekilde dışardan içeride olabilir. Eğer Networkdeki herkezin MSN e çıkmasını isteseydik , o zaman source MSN grup değil daha önceden belirttiğimiz Network'u Source bölümüne atmamız gerekiyordu. Bizim networkümüz 10.10.10.* yukarıda grupları üstünde.
Şekil 14
Yukarıda msn grubu izin veren kural oluşturduk ve bir kural daha yazıyoruz. Source yine MSN grup destination : any, Services : MSN_messenger action drop ve log in yapalım. Source kısmında grup belirttik o grubun üstünde sağ tuşa basıp Negate cell I işaretliyoruz ve üzerinde çarpı tuşu çıkıcak.
Şekil 15
Yukarıda üçüncü kuralımızı anlatalım. MSN grubu hariç herhangi bir yere gidenleri MSN servisinden dropla. MSN_grubun üzeri gördüğünüz gibi kırmızı çarpı oldu. Bu Onun haricinde anlamına gelir. CheckPointte zaten bütün portlar kapalı 3 kişinin çıkmasına izin vermiştik. Neden bir kural daha yazıp diğerleri çıkmasın dedik ? Normalde üçüncü kuralı yazmamıza gerek yoktur. Ama ben örnek olarak verdim. Bu örneğin vermemin sebebi bazı senaryolarda, mesela şirketin bazı kişilerine bütün hakları Verdiniz şu kişiler Any den Any servisler internete çıksın dediniz, Any çıksın ama MSN I kullanmasın diyelim o şartta bu kuralı yazmamız gerekir. Ama şunu unutmayalım kuralların sırası checkpointte çok önemlidir. Checkpoint kurallara aker bi kurala uygun görürse alttaki kurallara bakmasızın ilk gördüğü kuralı uygular.
Şekil 16
Bu senaryoda bütün networkümüzün nete çıkmasını istiyoruz. O zaman herkezin tek tek Node oluşturup gruba atamamıza gerek yok. Kural oluşturalım ve direk olarak tanıttığımız Networkü kuralın Source kısmına çekelim. Service olarak http https ve dns verelim. Bu kuralımızla bütün network http https ve dns serviceslerine izin vermiş oluruz. Kısacası bütün network internete çıkabilir.
Şekil 17
Bu kadar kural yazdııık. Ama baştan beridir yazdığmız kuralların hiçbiri şu aktif olmadı. Eğer makalenin hepsini okumadan kural yazıp neden olmadı diyen arkadaşlar olursa şimdide kusura bakmasınlar J. Yazdığımız bütün kuralları CheckPointteki her hareketin aktif olmasını istersek. Kural sonra install policy yapmamız gerekir. Yukarıda Okla işaretli olan yere basıyoruz.
Şekil 18
Install Policy tuşuna bastıktan sonra önümüze bu ekran geldi. OK tuşuna basarsak yazdığımız bütün kuralları sistemimize yükler. Create database versiona basar iken. Daha önceki ayarları backup alır. Yeni kuralları daha sonra basar üstüne. Mesela yeni kural yazdık ve bir şeyler ters gitti. Data base resivion control ile backup aldıktan install etmeden önceki kurallarımıza geri dönmemizi sağlar. Dönem dönem bunu almanızı önenirim bir sonraki makalemde bu konuyada deyineceğim.
Şekil 19
Kuralları yükledik ve herhangi bir hata olmadığını Instalation Completed succesfully dan anlamış olduk. Ileride çok fazla kuralımız olduğu zaman aynı kuralı ikilersek yada servislerde yanlışlık yaparsak bize hata mesajı vericektir. Hata mesajını editleyip sorunun nerde olduğunu çözebiliriz. SmartView Tracker SmartView Monitor. Site to Site VPN, Client to Site VPN. Smart Defense, Web intelligence, Quality of services konularına bu makalemde deyinemedim. İlerki makalelerimde bu konuları anlatacağım.
|