Fortigate fiyat/performans ve yetenek çeşitliliği açısından tercih sebebi olan bir güvenlik duvarı (UTM) ürünüdür. Başlangıç seviyesi temel Fortigate kurulum anlatımını aşağıda bulabilirsiniz.
1.CLI’dan Firmware Upgrade
Fortigate cihaz kutusu üzerindeki console portu aracılığı ve Putty veya benzeri bir program ile Fortigate komut satırına bağlanmak için gerekli kablo bağlantılarını yapın. Ayrıca bir UTP kablo ile Fortigate’in MGMT (2 mgmt portu varsa MGMT1’e) portu ile PC’nizi bağlayın. Fabrika çıkışında MGMT portunun IP adresi 192.168.1.99 olarak ayarlanmıştır. Bağlantıları tamamladıktan sonra cihaza enerji verin. Bilgisayarınıza 192.168.1.168 IP adresini (255.255.255.0 maskesi ile) verin. Cihaz ayağa kalktıktan sonra:
1.1 Bir tarayıcıdan https://192.168.1.99 adresine gidin, varsayılan kullanıcı adı: admin şifre boş olacak şekilde oturum açın. Dashboard’a gidin ve ilk backup’ı bilgisayarınıza kaydedin (tercihen).
1.2 support.fortinet.com’dan indirdiğiniz firmware’i tftpd64 veya benzeri bir tftp server programıyla Fortinet tarafından indirilebilecek bir dizine yerleştirin.
1.3 Firmware upgrade işlemini Windows işletim sistemi ile çalışan bir PC’de yapıyorsanız güvenlik duvarını devre dışı bırakmayı unutmayın. Aksi takdirde güvenlik duvarı tftp ile dosya transferini engelleyecektir.
1.4 Cihazı reboot edin. CLI’da “Press any key to display configuration menu…” yazısını gördüğünüzde SPACE tuşuna basın.
1.5 Gelen menüde G tuşuna basın.
1.6 “Please connect TFTP server to Ethernet port “MGMT”” çıkacak, MGMT portunun PC’nize takılı olduğunu kontrol edin ve Enter tuşuna basın
1.7 “Enter TFTP server address [192.168.1.168]:” yazısı çıkacak, Eğer PC’nize başta belirtildiği gibi 192.168.1.168 adresini verdiyseniz Enter ile devam edin farklı bir IP adresi verdiyseniz bu adımda yazarak Enter tuşuna basın.
1.8 “Enter Local Address [192.168.1.188]:” yazısı çıkacak, bu Fortigate’in TFTP transferini sağlayabilmek için MGMT portuna geçiçi olarak tanımlayacağı IP adresi. Enter tuşuna basıp geçebilirsiniz.
1.9 “Enter File Name [image.out]:” yazısı çıkacak, Buraya support.fortinet.com’dan indirdiğiniz image dosyasının adının tamamını uzantısı (*.out) ile beraber yazın. TFTP serverda bu dosyayı paylaştığınızdan emin olun ve Enter’a basın.
1.10 Kopyalama işlemi tamamlanınca karşımıza: “Save as Default firmware/Backup firmware/Run image without saving:[D/B/R]?” sorusu çıkacak. Bu firmware’i varsayılan yapmak için D yazıp Enter’a basın. Yedek firmware olarak kullanmak için B, bir kereliğine çalıştırmak için (birdahaki restartta eski firmware’e döner) R yazıp Enter’a basın.
Birkaç dakika firmware yükleme işlemi devam eder. Cihaz ayağa kalktıktan sonra tekrar bir tarayıcıdan https://192.168.1.99 adresine gidin.
2. Fortigate Kurulum
2.1 Network > Interfaces altına gelin
LAN olarak kullanmak istediğiniz porta çift tıklayıp içine girin.
Adressing mode manual seçip iç Ağda kullanmak istediğiniz IP ve subneti belirleyin. (10.71.71.1 / 255.255.255.0 gibi)
Bu belirlediğiniz aralık için isteğe göre DHCP enable veya disable edin. Enable ettiğiniz takdirde hemen altta açılacak tabloda dağıtılmasını istediğiniz IP aralığını belirleyebilirsiniz.
Administrative Access kısmının altında bu fiziksel porta tanımlı L3 adresten(IP adresinden) Fortigate’e yönetim amaçlı hangi erişim izinlerinin verileceğini belirleyebilirsiniz. Bu LAN interface’nin misafirlerin kablosuz ağ erişimleri için oluşturduğunu varsayalım, bu durumda güvenlik amacıyla tüm IPv4 ve IPv6 erişimlerinin tiklerini kaldırmamız yararlı olacaktır. Ağ & Güvenlik yöneticilerinin olduğu bir LAN’da en azından HTTPS ve SSH erişimlerine izin verilmesi doğru olacaktır.
2.2 WAN portunun ayarlarını yapmak için çift tıklayıp içerisine girin.
Addressing mode manual seçin.
Senaryo 1: Ofisinizdeki Router (modem)’in IP adresinin 192.168.2.1 olduğunu varsayarsak WAN interfacesine 192.168.2.2 IP adresini verebilirsiniz.
Senaryo 2: Metro ethernet, R/L vb. bir çıkışınız var ve 88.88.88.88/30 gibi bir subnetiniz varsa WAN bacağına 88.88.88.90 IP adresini verin.
Dışarı bakan ve üzerinde reel ip bulunan interface’lerde yönetimsel erişimlere mümkün olduğunca izin vermeyin, eğer vermek durumunda iseniz bu erişimleri yazacağınız bir IPv4 policy ile kaynak IP bazında kısıtlamaya çalışın. Bilinçsizce internete açılmış güvenlik duvarınız daha çok saldırıya maruz kalacaktır. İnternete açık güvenlik duvarlarını tespit etmenin ne kadar kolay olduğunu görmek için bu yazıya göz atabilirsiniz.
2.3 Network > Static Routes başlığına gelin ve Add tıklayın.
Senaryo 1: Destionation: 0.0.0.0 – Destination interface: WAN – Gateway: 192.168.2.1 olarak ayarları yapın.
Senaryo 2: Metro ethernet vb. varsa Destination: 0.0.0.0 – İnterface: WAN – Gateway: 88.88.88.89 route’nu ekleyin
2.4 Bir IPv4 policy oluşturun
Source: all
Destination: all service: all NAT: yes
Bu aşamada basit fortigate kurulum ‘u tamamlanmış oluyor. Bu haliyle fortigate bir routerdan çok da farklı değil 🙂 sadece port1 arkasındaki kullanıcılar internete çıkabilir durumdalar.
Fortigate’in DNS filter, web filter, uygulama kontrolü, SSL VPN ve IPSec VPN, IPS/IDS, SSL inspection gibi özelliklerinden yararlanmak için ilk aşamayı geçmiş bulunuyorsunuz.
Unutmadan: Admin şifresini değiştirin.
Administrative access için standart port (443) kullanmaktan kaçının.
Diğer Fortigate yazılarını okumak için buraya gidebilirsiniz.
Fortigate kurulum
Hocam , teşekkürler gayet açık ve anlaşılır faydalı bir döküman olmuş.
Beğenmenize sevindim! Değerli yorumunuz için teşekkür ederim Hasan Hocam.
Eline sağlık hocam.
Güzel ve düzenli hazırlanmış bir yazı. Tebrik ederim.
Gökhan Hocam, beğenmenize çok sevindim 🙂 Yeni kitabınızın çıkmasını sabırsızlıkla bekliyorum.