sophos firewall kurulum – Datakey Bilişim Blog

Sophos XG Firewall ile Static Yönlendirme

Bu yazıda birbirleriyle haberleşemeyen 2 network’ü statik yönlendirme ile nasıl haberleştirilebileceği uygulamalı bir şekilde anlatılacaktır.

Öncellikle lab ortamından kısaca bahsetmek istiyoruz. Merkez(172.16.16.0/24) ve Şube(172.17.17.0/24) olmak üzere 2 networkümüz vardır. Bu iki networkün önünde Sophos XG güvenlik duvarı konumlandırdık.

Güvenlik duvarları 10.0.0.0 networkü ile birbirlerine bağlılar ve yapılacak işlem ile merkez ve şubedeki bilgisayarları statik yönlendirme ile birbirleriyle haberleştirmek amaçlanmaktadır.

Herhangi bir ayar yapmadan önce merkezdeki ve şubedeki bilgisayarlarımızın birbirleriyle haberleşemediğinden emin olmak için her iki tarafta ping testleri yapıldı.

Şekilde görüldüğü gibi merkez bilgisayarımızdan şubedeki bilgisayarımıza ping çalıştırıyoruz ve haberleşmediklerini görüyoruz.

Aynı şekilde şubedeki bilgisayarımız da merkezdeki bilgisayarımızla haberleşemiyor.

Şimdi Her iki firewall’umuzda gerekli ayarları yapabiliriz.

Merkez bilgisayarımızda(172.16.16.18) bir tarayıcı açıp tarayıcıya firewall’un LAN IP’sini(172.16.16.16) port numarası(4444) ile birlikte htttps metodu kullanarak giriyoruz. (https://172.16.16.16:4444) bu ip ve port Sophos XG firewall’un varsayılan değerleridir.

Yukarıdaki değerler değiştirilebilir!

Açılan pencereden aşağıdaki gibi önce Routing sekmesine tıklıyoruz.

Sonra çıkan ekranda Static routing sekmesinden IPv4 unicast route alanından Add butonuna tıklıyoruz.

Çıkan ekrandan aşağıdaki gibi ayarlamalar yapıyoruz. Bu ayarlardan kısaca şöyle bahsedebiliriz.

Destination IP / Netmask : Gitmek istenilen hetef network ve subnet mask değerinin girileceği alandır.

Gateway: Hedefe giderken kullanacağı ağ geçidi adresidir.

Interface : Hedefe giden paketin kullanacağı fiziksel ağ arayüzüdür.

Save butonuna tıklayıp ayarları tamamlıyoruz.

Merkez Firewall üzerinde yapılan ayarları aşağıdaki gibi şubedeki firewall’umuzda da yapıyoruz.

Şubedeki firewall’umuzun LAN IP si aşağıdaki şekilde de görüldüğü gibi varsayılan(172.16.16.16) değerden farklı bir değer(172.17.17.17) olarak ayarlanmıştır.

Konumuz yönlendirme olduğu için bu ayarlamanın nasıl yapıldığından bahsedilmemiştir.

Hem şubede hem de merkezdeki bilgisayarlarımızın birbirleriyle haberleşmesini test ediyoruz.

Şekilde görüldüğü gibi merkezdeki bilgisayarımızdan şubedeki bilgisayarımıza ping atılabiliyor.

Aynı şekilde şubedeki bilgisayardan merkezdeki bilgisayara da ping atılabiliyor.

Sophos UTM Cihazımız Default ip = https://172.16.16.16:4444

Kullanıcı Adı : admin

Password : admin `dir.

1 Numaralı Bacak Local LAN

2 Numaralı Bacak Adsl Modem veya Metro internet için’dir.

3 Numaralı Bacak 1 den fazla internet hattımız var ise kullanılabilir veya Ayrı bir network için kullanılabilir.

Sophos`un Her bacağı ayrı networkler oluşturabilir veya 3-4 tane internet hattı bağlayabilirsiniz.

Cihaza https://172.16.16.16:4444 nolu ip numarasından bağlandıktan sonra sağ üst köşede ki admin yazısına tıklanır ve wizard seçeği seçilir.

Sophos XG Firewall İlk Kurulum

Açılan Pencere’de Sophos Cihazın ayarlarını adım adım yapacağınızı bu adımlar içerisinde, Interface Ayarları, Notification mail gönderebilmesi için ayarlar, Web and Application kuralları Tarih ve saat , gibi ayarlar yer alacaktır bilgisi verilmektedir.

Cihazınızı hangi mod için kurmak istediğinizi soruyor, Biz cihazımızı Gateway olarak kullanacağız ve Gateway seçiyoruz.

Burada Sophos XG Firewall ın arkadasında bulunan interface (Bacaklar) in Ayarlarını yapmamız gerektiğini söylüyor.

Port 1 Local Yani switch e giden kablomuz olacak. ip numarası 10.0.0.1 ‘dir, aynı zamanda Sophos XG Firewall ‘in erişim numarası da olacaktır.

Subnet değerleri girilir ve Zone LAN olarak Seçilir.

Port 2 bacağı Internet hattımız için kullanacağız. Bridge mod a gelmiş adsl,vdsl,uydunet,modemimizi port 2 ye takacağız ve ayarlarını yapacağız.

Metronet internet`imiz var ise metronet switch’inden çıkan Cat 6 kabloyu direk port 2 ye takabiliriz. Zone olarak WAN Seçeceğiz.

İkinci internet hattımız var ise burayı kullanabiliriz. Port 2 deki ayarlar gibi yapıp Zone seçeneğini WAN ayarlamamız gerekir.

Eğer tek internet hattı var ise DHCP seçeneğini seçebiliriz.

Eğer ayrı bir network oluşturmak isterseniz (Örneğin: Toplantı odasında ki network 10.1.1.0/24 olsun)

O zaman Port 1 ayarları gibi yapıp sadece ip numaralarını değiştirebilirsiniz.

Wireless hattı ayrı bir network olsun derseniz yönetilebilir switch ile VLAN oluşturmanız gerekmektedir.

Eğer Yönetilebilir Switch iniz yok ise 2. bir switch alarak port 3 ‘den cıkan ilk kabloyu ikinci switch’e switch ‘den access pointlerin her birine ayrı bir kablo gitmesi gerekir.

Bu bölümde DNS Çözmek için nasıl bir yöntem olması gerektiğini soruyor.

İnternet Servis Sağlayıcının otomatik verdiği DNS Numaralarını kullan seçeneğini işaretliyoruz.

İsteğe bağlı farklı DNS numaraları Verilebilir.

Bu bölümde Cihaz ilk kurulduğunda çıkan trafik için kural yazmak ister misiniz? diye soruyor.

Tabi biz ayarlarımızı tamamlarken filtre uygulansın. Resimdeki ayarları yapmanızı tavsiye ederim.

Web Filtre olarak Default Workplace policy seçeceğiz ya da size hangisi uygun ise onu seçebilirsiniz.

App filter henüz olmadığı için None kalabilir.

IPS olarak General Policy Seçilebilir.

Buradaki Filtreler Default Workplace Policy’i temsil etmektedir. Default Workplace Policy hangi kategorileri kapsıyor onu göstermektedir.

Cihaz kurulduktan sonra isteğe bağlı policy oluşturulup değiştirilebilir.

Bu bölümde Cihaz internet`e çıktıktan sonra kritik durumlar için mail atabilir özelliğini devreye sokuyor.

Otomatik Yedek ile config dosyasını mail atmak isterseniz burayı mutlaka ayarlamanız gerekir.

Aynı zamanda internetin gelip gittiğinde mail atabilir, IPSec VPN Bağlantılar up / down olduğu zaman haber verebilir.

Bu ekran’da Tarih,saat ve bölgesel ayarları yapmamız gerekir.

Otomatik olarak tarih saat güncellemesi yapılması için Otomatik Senkronizasyon seçeneğini işaretlemenizde fayda var, çünkü tarih saat ayarlanmamış cihazlarda SSL VPN de problem çıkartabilir.

Kurulum işlemi bittik ‘ten sonra belirlemiş olduğumuz ip’den ” https://10.0.0.1:4444 ” ulaşabiliriz.

Cihaz da DHCP Ayarı otomatik yapılandırılmamış olarak gelmektedir, yani bilgisayarınıza elle ip vermeniz gerekir.

Giriş yaptıktan sonra DHCP Oluşturabilirsiniz.