Ana sayfa » Teknoloji » Firewall Nedir?
Teknoloji

Firewall Nedir?

Hosting Fiyatları
Sending
User Review
0 (0 votes)

Ağınıza gelen ve ağınızdan çıkan trafiği belirli kurallar çerçevesinde denetleyen ve bu trafiğin akışını sağlayan güvenlik sistemine “firewall” denir. Türkçeye “güvenlik duvarı” şeklinde çevrilebilecek olan bu web teknolojisinde; ağınıza giriş yapacak ve ağınızdan çıkış yapacak olan trafiğin kuralları, sistem yöneticisi tarafından belirlenir. Eğer söz konusu trafikte kuralları çiğneyen herhangi bir durum yoksa trafik; serbest şekilde giriş – çıkış yapabilir. Daha evvel yasaklanan ya da şüpheli olarak tanımlanan hallerde ise, durum sistem yöneticisine bildirilir ve herhangi bir istisna tanınıp tanınmayacağı sorulur.

Firewall Nasıl Çalışır?

Eğer web teknolojileri konusuna aşina değilseniz, girişte yaptığımız açıklama biraz karışık gelebilir. Firewall teknolojisinin çalışma mantığını reel yaşantıdan bir örnekle tanımlarsak, anlaşılması daha net olacaktır.

Firewall teknolojisini, herhangi bir iş merkezine bulunan güvenlik bankosuna benzetmek mümkündür. İş merkezinin kapısından girenler önce x-ray kapısından girer. Üzerlerinde izin verilmeyen bir şey yoksa ve binaya giriş kartları varsa; turnikelerden geçerek, binanın istediği noktasına ulaşırlar. Zira iş merkezi yöneticisi “x-ray cihazından geçebilen ve turnikeye geçerli bir kart okutan herkes binaya girebilir” kuralı koymuştur.

Öte yandan iş merkezine ziyaret amaçlı gelen ve turnikeden geçiş kartı olmayan kişi; güvenlik masasına uğramak zorundadır.  Güvenlik personeli, ziyaretçinin ziyaret etmek istediği kişiyi öğrenir ve ilgili kişiyi arar. Eğer onay alabilirse, ziyaretçiye turnikede geçmesi için geçici bir kart verir. Dolayısı ile şüpheli trafik için, yönetici onayı alınarak girişine izin verilmiş olur.

Olayı bir de teknolojik bir örnekle anlattığımızda, tam olarak anlaşılabileceğine inanıyoruz. Birkaç bilgisayar bulunan bir iş yerinde, tüm bilgisayarların iş gereği internet erişimine açık olduğunu ve harici depolama aygıtı bağlanabildiğini düşünelim. Sistem yöneticisinin ise; belirli bir boyut üzerindeki dosyaların herhangi bir bilgisayara yüklenmesine, sosyal medya sitelerine girilmesine, anlık mesajlaşma programlarının kullanılmasına, .exe, .zip, .rar uzantılı dosyaların indirilmesine izin vermek istemediğini varsayalım. Aynı binada olan ama birbirinden uzak (veya yakın) noktalarda bulunan bilgisayarlarda, sistem yöneticisinin istemediği trafiği engellemenin en verimli yolu; firewall teknolojisinden faydalanmaktır. Firewall yazılımı üzerine girilen yasaklarla, kullanıcıların yapmasına müsaade edilmek istenmeyen her şey engellenebilir.

Proxy Firewall Nedir?

Üst başlıkta verdiğimiz iş merkezi örneğindeki “x-ray cihazı”, “proxy firewall” teknolojisini anlatabilmek için en doğru örnektir. Zira bazı firewall yazılımlarına, proxy yazılımları entegre edilmiştir. Bu sayede gelen ve giden trafik; önce proxy yazılımında kontrol edilir. Eğer trafikte tespit edilen bir sorun yoksa ağ erişim kurallarını ihlal edip etmediğine bakılır.

Örneğin; .txt uzantılı dosyaların geçişine izin verilen bir firewall sisteminde, proxy yazılımı entegre değil ise, .txt görünümlü bir virüs dosyası ağa girebilir. Ancak proxy firewall’da veri önce proxy sunucusunda test edileceği için, izin verilen dosyalardan da olsa ağa girmesine izin verilmez.

Firewall Türleri ve Çeşitleri

Firewall teknolojisini birçok sınıfta incelemek ve birçok türe ayırmak mümkündür. Ancak teknik terimlerden uzak ve herkes tarafından anlaşılabilir kılmak adına, “mimarisine göre firewall çeşitleri” ve “yapısına göre firewall çeşitleri” olarak iki sınıfta inceleyeceğiz.

Yapılarına Göre Firewall Çeşitleri

Firewall teknolojisini yapı bakımından, “donanım tabanlı firewall” (donanımsal firewall) ve “yazılım tabanlı firewall” (yazılımsal firewall) olarak iki ana kategoride incelemek mümkündür.

Donanım Tabanlı Firewall

Adından da anlaşılabileceği üzere, firewall için harici bir cihaz kullanılmaktadır. Bu cihaza yüklenen firewall yazılımı, paket filtreleme yöntemi ile trafiği kontrol eder. Kötü niyetli kişilerin ya da ağınızdaki herhangi bir kullanıcının devreden çıkarması neredeyse imkansızdır. Ayrıca bağımsız yapısından dolayı, sistem kaynaklarını tüketmezler.

Üst düzey güvenlik sağlamak için tasarlanmış bu cihazların kullanıcı arayüzleri biraz karışık gelebilir. Yazılıma özel bir cihazla çalıştıkları için, maliyeti daha yüksek bir firewall çözümüdür. Genelde sadece ağa gelen trafiği denetlemek için kullanılırlar.

fiziksel-firewall

Yazılım Tabanlı Firewall

Çalışması için herhangi bir donanıma ihtiyaç duymayan ve server tayin edilen bilgisayara kurularak yönetilen firewall çeşididir. Bu firewall türü, daha az sayıda bilgisayarın oluşturduğu ağların güvenliğini sağlamak için kullanılır. Fiyat bakımından da donanım tabanlı firewall çözümlerine göre daha ucuzdur. Arayüzü basit ve kullanımı kolaydır. Ağınızdan çıkan trafiği de kontrol etmenize olanak tanır. Bu sayede, istemediğiniz bilgilerin ağınızdan çıkması da engellenebilir.

En büyük dezavantajı, ağ üzerine bindirdiği yük nedeni ile ağ yavaşlamasına sebep olmasıdır. Ağınızdaki diğer kullanıcılar tarafından da devre dışı bırakılma durumu söz konusu olabilir.

Mimarisine Göre Firewall Çeşitleri

Firewall çeşitlerini mimarisine göre sınıflandırmak, trafiği ne şekilde kontrol ettiğine göre gruplandırılarak yapılır. Firewall teknolojisini mimarisine göre beş sınıfta incelemek mümkündür.

Statik Paket Filtre Firewall

Kullanımı terk edilmiş bir firewall çeşidi olan statik paket filtre güvenlik duvarı; ağınıza erişmek isteyen trafiği denetlemek için kullanılır. Dezavantajı ise gelen trafiğin (örneğin, bilgisayara indirilen bir dosyanın) içeriğini kontrol etmemesidir. Bu firewall türü için ilk olarak önem arz eden, ilgili trafiğin hangi kaynaktan geldiğidir. Eğer trafik kaynağı beyaz listede ise hangi porta, hangi protokolü kullanarak erişim gerçekleştirilmek istendiğini kontrol eder. Her şey sistem yöneticisinin belirlediği kurallar dahilinde ise trafiğin akışı sağlanır.

Bu firewall türünü tabiri caiz ise tedavülden kaldıran, yeni nesil firewall teknolojilerinin trafiğin içeriğini de kontrol edebilmesidir. Zira bu bir gereksinimdir. Örneğin, Google Drive gibi güvenilir bir kaynaktan bile, virüslü bir yazılıma rastlamak mümkündür.

Devre Seviyesi Firewall

Devre seviyesi güvenlik duvarı, tıpkı bir üst başlıkta anlatılan statik paket güvenlik duvarı gibi trafik içeriğini kontrol etmez. Ancak bazı özelliklerinden dolayı hala yoğun bir biçimde kullanılmaktadır.

Devre seviyesi firewall yazılımlarında ağınıza bir trafik geldiğinde, IP adresiniz trafik kaynağına bildirilmez. Önce bu trafiğin kaynağı, gideceği port ve kullanmak istediği protokol denetlenir. Eğer her şey beyaz listede ve kurallara uygun ise IP adresinizin bilgisi paylaşılır.

Gerçek yaşamdan bir örnekle anlatmak gerekirse; bir iş merkezine girip güvenlik bankosuna ulaştığınızda güvenliğin, sizin kime geldiğinizi öğrenmeden önce kimlik sorması olarak tanımlayabiliriz. Kimliğinizi kontrol eden görevli; ziyaret etmek istediğiniz kişinin gelmesine izin verdiği ziyaretçilerin listesini de kontrol ettikten sonra,  adınız o listede yazıyorsa, size hangi kata gideceğinizin bilgisini verir. Yani tüm kurallar kontrol edilmeden, ilgili kişinin binada nerede olduğu bile sizinle paylaşmaz.

Fakat trafik içeriğinin kontrol edilmiyor olması, bir dezavantaj olmaya devam eder. Bin bir kontrol ile odasını öğrendiğiniz kişinin yanına silahla çıkabilirsiniz. Çünkü kimliğiniz sorulmuştur, kişinin sizi beklediği doğrulanmıştır ama üzeriniz aranmamıştır.

Dinamik Paket (Durum Denetimli) Firewall

Sadece ağınıza giren trafiği kontrol eden bir başka firewall teknolojisi de “dinamik paket firewall” ya da “durum denetimli firewall” olarak isimlendirilir. Ağınıza gelen trafiğin kaynağı, kullanmak istediği protokol çeşidi, erişim sağlamaya çalıştığı port ve en önemlisi trafiğin içeriği kontrol edilir.

İş merkezi örneğine geri dönmek gerekirse; gelen kişinin kimlik bilgileri kontrol edilir, geldiği yeri doğru söyleyip söylemediği araştırılır ve üst araması yapılır. Ayrıca binaya izin verilmeyen yerlerden giriş yapıldığında da, bu girişler engellenir. Yani birisi iş merkezine çatıdan girmek isterse, bu giriş tespit edilir, engellenir ve sistem yöneticisine bildirilir. Elbette sistem yöneticisi “çatıdan girmesine ben izin verdim” derse, bu girişe izin verilir.

Proxy Destekli Güvenlik Duvarları

Oldukça ağır çalışan, bu nedenle de veri trafiğinden ziyade veri güvenliğinin önemli olduğu ağlarda kullanılan firewall teknolojisidir. Genelde finans kurumlarının kilit departmanları, askeri bilgileri saklayan veri merkezleri ve kritik devlet daireleri tarafından kullanılır.

İş merkezi örneği ile anlatmaya devam etmek gerekirse; ziyaretçi sizi ziyaret etmek için güvenliği arar, güvenlik görevlisi ziyaretçinin evine gider, buradan ziyaretçiyi alır, iş merkezinin kapısında kimlik sorar ve üst araması yapar, sistem yöneticisinin belirlediği ziyaretçi listesini kontrol eder, her şey kurallara uygunsa ziyaretçinin binaya girmesine izin verir. Hali ile bu işlemler de normalden fazla vakit aldığından, veri trafiği son derece yavaş olur.

“Ağınıza ulaşmak isteyen trafiğin geldiği adresin bizzat yerinde kontrol edildiği, adres doğrulansa bile trafik kabul edilmeden ağın dışında diğer güvenlik kontrollerinin tamamlandığı firewall teknolojisi” olarak da teknik tanımlamasının yapılması mümkündür.

Hibrit (Melez) Firewall

Yukarıda anlattığımız dört farklı firewall çeşidinin en az iki tanesinin bir araya gelmesi ile oluşan güvenlik duvarlarına “melez firewall” ya da “hibrit firewall” adı verilir. Bu güvenlik duvarı türünde proxy kullanımı yaygındır.

Firewall Neden Gereklidir?

Aslına bakarsanız firewall kullanmanın birden çok zorunluluğu vardır. Doğru okudunuz. Firewall kullanmak, günümüzün internet koşullarında zaruri bir durum haline gelmiştir. Yazımızın devamında “neden firewall kullanmalıyım?” sorusuna, maddeler halinde cevap vereceğiz.

  • Kanuni Zorunluluk: 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” kapsamında, yöneticisi olduğunuz ağdaki tüm faaliyetlerden yasal olarak sorumlu tutulursunuz. Yani eğer bir iş yeri sahibi veya mesul müdürü iseniz ve sizin ağınız kullanılarak internet ortamında bir suç işlendi ise bu suçu işleyenin siz olmadığını ve suçun işlenmesine engel olmak için her türlü önlemi aldığınızı kanıtlamak zorundasınız. Güvenlik duvarı yazılımları ile suç teşkil edecek sitelere erişimi engelleyebileceğiniz gibi, suç teşkil eden ağlardan gelecek verilerin aktarılmasının da önüne geçebilirsiniz. Ayrıca ağınızda yapılan her hareketi anlık olarak kaydedebilirsiniz.
  • Davetsiz Misafirleri ve Kötü Amaçlı Yazılımları Engelleme: Risklerle dolu internet ortamında, ağınıza sızmak isteyen art niyetli kişileri ve kötü amaçlı yazılımları; firewall ile engelleyebilirsiniz. Oyun sitelerinden, uygulama marketlerinden, kısacası internetteki herhangi bir mecradan indirilebilecek zararlı yazılımların önüne firewall ile geçmek mümkündür.
  • E-Posta Trafiğini Güvenli Hale Getirme: Şirket içi iletişim ve müşteri iletişimi için yoğun şekilde e-posta kullanan firmaların, sistemlerinin ve postalarının güvenliğini sağlayabilmesinin şartlarından biri firewall kullanmaktır.
  • Site Erişimi Kısıtlama: Personelinizin ya da ev ahalisinin girmesini istemediğiniz siteleri firewall üzerinden tanımlayarak, bu sayfalara erişmelerini engellemek güvenlik duvarı ile yapılabilir.

Domain Sorgulama