Bu yazımızı okumayı bitirdiğinizde; “firewall nedir?”, “firewall ne işe yarar” ve “firewall çalışma mantığı nedir?” gibi sorulara en anlaşılabilir şekilde verilen cevapları bulabileceksiniz. Teknik detaylara boğulmadan, gerçek yaşamdan örneklerle, basitleştirerek anlatım yaptığımız firewall teknolojisini anlamak için yazımızı okumaya başlayabilirsiniz.

Firewall terimi dilimizde “güvenlik duvarı” anlamına gelmektedir. Temel amacı ağınızdaki gelen trafik ile giden trafiği kontrol etmek ve önceden belirlenmiş iletim kuralları çerçevesinde trafiği ilgili yere yönlendirmektir.

Firewall yazılımında; tehdit olarak algılanacak dosya ve davranışlar ile güvenli sayılacak dosya ve davranışlar önceden kurallar biçiminde saptanır. Bu kurallara uyan her türlü eyleme otomatik olarak izin verilir. Kural dışı hareketler ise ağ yöneticisinin istisna olarak tanımlaması durumunda ağa kabul edilir.

Firewall Nasıl Çalışır?

Firewall çalışma mantığı oldukça basittir. Ağ yöneticisi tarafından oluşturulan “güvenli liste” içerisindeki tüm trafik, herhangi bir engele maruz kalmadan ağınıza iletilir. Güvenli listede olmayan trafik ise bloke edilerek ağınıza erişmesi engellenir ve tarafınıza bilgi verilir.

Gerçek yaşamdan bir örnek vermek gerekirse; büyük ve güvenlik bankosu, turnikesi olan bir plazaya plaza çalışanları; firma kartlarını okutarak turnikelerden sorunsuz bir biçimde geçerek girer. İşte bu firewall tarafından tanınan güvenli listedir. Fakat plazada çalışan herhangi bir kişi ile görüşmek isteyen ziyaretçi; önce güvenlik bankosuna uğramak ve kiminle görüşmek istediğini söylemek zorundadır. İşte bu da firewall tarafından erişime izin verilmeyen şüpheli trafiktir. Güvenlik ilgili kişiyi arar ve ziyaretçisi olduğunu söyler, eğer ilgili kişi ziyaretçiye izin verirse güvenlik (yani firewall) ziyaretçinin binaya girmesine izin verir. Bazen de plazadaki yöneticilerden biri “x isimli kişi gelirse bekletmeden yukarı alın” der. Tahmin edeceğiniz gibi bu durum da ağ yöneticisinin güvenli listeye yeni bir trafik eklemesidir.

Bazı firewall yazılımları veya firewall cihazları bazen bir Proxy sunucusu ile birlikte çalışırlar. Eğer “Proxy firewall” kullanıyorsanız; gelen ve giden trafiğiniz hedefe iletilmeden önce bir Proxy sunucusunda kontrol edilir. Yukarıdaki plaza örneğinden devam edersek; bu Proxy sunucusunu da güvenlik bankosundan geçmeden evvel kontrol edildiğiniz x-ray cihazı olarak tanımlayabiliriz.

Firewall Türleri ve Çeşitleri Nelerdir?

Firewall teknolojisini en sade şekilde anlatmak adına; “yapılarına göre firewall türleri” ve “mimarisine göre firewall türleri” olarak ikiye ayırabiliriz.

Yapılarına göre firewall çeşitleri de kendi aralarında ikiye ayrılırlar. Bunlar;

  1. “donanımsal firewall” (donanım tabanlı firewall)
  2.  “yazılımsal firewall” (yazılım tabanlı firewall)

şeklinde sınıflandırılır.

“Mimarisine göre firewall” ürünleri ise kendi arasında beş kısma ayrılır. Bu sınıflar ise;

  1. Statik Paket Filtre Güvenlik Duvarları
  2. Devre Seviyesi Güvenlik Duvarları
  3. Dinamik Paket (Durum Denetimli) Filtre Güvenlik Duvarları
  4. Proxy Destekli Güvenlik Duvarları
  5. Hibrit (Melez) Güvenlik Duvarları

şeklindedir.

Şimdi bu başlıkları mümkün olabilecek en sade şekilde açıklamaya çalışalım.

Yapılarına Göre Güvenlik Duvarı Ürünleri

Güvenlik duvarı ürünleri yapılarına göre incelenirken temel iki guruba ayrılır. Her yapıda mutlaka bir güvenlik duvarı yazılımı söz konusudur. Ancak bazen bu güvenlik duvarı harici bir cihaz üzerine kurularak kullanılır. Yapılarına göre ikiye ayırdığımız bu ürünleri anlatmaya devam edelim.

Donanımsal Güvenlik Duvarları (Donanımsal Firewall – Donanım Tabanlı Firewall)

Ağınızın güvenliğini sağlayacak olan güvenlik duvarı yazılımının; bilgisayarınızdan ve routerınızdan bağımsız bir cihaza yüklenerek kullanılması şeklinde açıklayacağımız bir güvenlik duvarı çeşididir. İnternet ağınıza gelen trafiği önce denetler ve kurallara uygunsa ağınıza iletir. Çalışma mantığı paket filtreleme şeklindedir.

Donanım Tabanlı Firewall Avantajları

  • Yazılım tabanlı firewall gibi kolayca devreden çıkarılamazlar
  • Ayrı bir cihaz olarak kullanıldığı için sisteminizdeki kaynakları tüketmezler

Donanım Tabanlı Firewall Dezavantajları

  • Bazı cihazların ara yüzü karmaşık olabileceğinden ayarlarını yapmak uzmanlık gerektirebilir
  • Yazılım tabanlı güvenlik duvarı ürünlerine göre yatırım maliyeti daha fazla olabilir

Yazılımsal Güvenlik Duvarı (Yazılımsal Firewall – Yazılım Tabanlı Firewall)

Sistemdeki işletim sistemi üzerine kurulan, ekstra bir donanım gerektirmeyen güvenlik duvarı çeşididir. Bu ürünün avantajları ve dezavantajları ise aşağıdaki gibidir.

Yazılım Tabanlı Firewall Avantajları

  • Ekstra bir donanım maliyeti gerektirmediğinden, az sayıda bilgisayarı korumak için fiyat yönünden daha avantajlıdır.
  • Basit bir ara yüze sahiptir. Kullanıcılar genelde birkaç tuşlama ile güvenli listeye trafik ekleyebilir veya kara listeye alabilir.
  • Giden trafiğiniz için de kural oluşturmaya olanak sağlayabilirler

Yazılım Tabanlı Firewall Dezavantajları

  • Sürekli arka planda (yani işletim sistemi üzerinde) çalışacağı için sistem kaynaklarını tüketirler.
  • Sistemdeki tüm kullanıcılar tarafından devre dışı bırakılabileceği için bazen tam manası ile güvenlik sağlayamayabilirler.

Mimarisine Göre Güvenlik Duvarı Ürünleri

Statik Paket Filtre Güvenlik Duvarları

Günümüzde çok tercih edilmeyen bir güvenlik duvarı sistemidir. Ağınıza gelen trafiğin temel bilgilerini değerlendirir, içeriği ile ilgilenmez. Trafiğin geldiği kaynak, ulaşmak istediği kaynak, hangi porta erişmek istediğini ve hangi protokolü kullanacağını denetler. Eğer güvenli olan liste ile örtüşüyorsa trafiğe izin verir.

Halbuki, Yandex ve Google gibi dünyanın en güvenilir teknoloji şirketlerinin sunucularına bile; ağınıza zarar verecek yazılımlar yüklenebilmektedir. Yani statik paket filtre güvenlik duvarı; ağınıza indirmeye çalıştığınız bir dosyanın içeriğini kontrol etmeyeceği için, güvenli sitelere yüklenebilmiş bir virüs yazılımını bilgisayarınıza indirebilirsiniz.

Devre Seviyesi Güvenlik Duvarları

Yaygın kullanılan bir güvenlik duvarı türüdür.  Bir binaya girmeye çalışan ziyaretçiye direk kimlik soran güvenlik görevlisi olarak nitelendirebiliriz. Hatta bu güvenlik görevlisi; “ziyaret edilmek istenen kişinin hangi ofiste olduğunu da güvenlik kontrolü bitene kadar gizli tutmakta” desek tam anlamı ile anlatmış olacağız.

Yukarıdaki örnekten de anlaşılacağı üzere; devre seviyesi güvenlik duvarlarında kaynağa (yani gelen trafiğe) sizin ip adresiniz hemen iletilmez. Önce güvenlik kontrolü yapılır, eğer kaynaktan gelen trafik güvenlik kontrolünden geçerse ip adresinize trafik yönlendirilir.

Statik paket filtre güvenlik duvarında bulunan dezavantaj bu güvenlik türünde de bulunmaktadır. Devre seviyesi firewall yazılımları da gelen trafikteki paketin içeriğini kontrol etmez. Yani binaya girmeye çalışan ziyaretçiye kimlik kontrolü yapılır ama ziyaretçinin üstü aranmaz.

Dinamik Paket (Durum Denetimli) Filtre Güvenlik Duvarları

“Statik paket filtre güvenlik duvarı” yazılımlarının bir üst modeli olarak tanımlayabiliriz. Bu pakette binaya gelen ziyaretçinin hem geldiği adres doğrulanır, hem kimliği sorulur, hem de üst araması yapılır.

Teknik tabirle anlatmak gerekirse; ağınıza gelen verinin kaynağı, verinin içeriği, erişmek istediği port denetlenir ve veri hala güvenli ise ağınıza geçmesi izin verilir. Yüksek performanslı çalışması için de bu işlem, trafik hemen ağınıza girmek isterken yapılır.

Bu paketin en büyük avantajı port sorgulama sistemidir. Bunu gerçek hayata uyarlayarak açıklayalım. Diyelim ki birisi binanıza yangın merdivenini kullanarak girmek istedi. Bu normal bir giriş teşebbüsü olmadığı için güvenlik görevlisi hemen bu kişiyi yakalar ve size haber verir. Eğer siz “evet haberim var, girmesine müsaade ediyorum” derseniz bu geçişe izin verir. İşte “port sorgulama sistemi”, yangın merdiveninden giriş yapmaya çalışan kişiyi yakalayan güvenlik görevlisidir.

Proxy Destekli Güvenlik Duvarları

Hadi “Proxy destekli güvenlik duvarı” isimli yazılımı da yukarıdaki örneklere benzer biçimde anlatalım. Aslında bu yazılım da “dinamik paket filtre güvenlik duvarı” mantığına yakın bir mantıkla çalışır. Ancak bu sistemde ziyaretçinin geldiği adresin doğrulanması için güvenlik görevlisi bizzat ziyaretçinin geldiği yere gider, ziyaretçiyi adresinden alır, sizin binanıza geldiğinde dışarıda durdurur, kimliğini kontrol eder, üzerini arar ve binaya girişine izin verir. Bu kadar detaylı bir güvenlik taraması yaptığı için de doğal olarak ziyaretçinin binaya girmesi daha uzun zaman alır ve yoğun bir ziyaretçi trafiğinde kullanılamaz.

Teknik tabirle anlatmak gerekirse; ağınıza girmek isteyen trafiğin kaynağına bir oturum açma talebi gönderilir, bu talebe cevap veren kaynak ağın dışında incelenir, uygun bulunması hallinde ağ geçişine izin verilir. Yani verinin kaynak adresi doğrulaması bizzat kaynak adresinde gerçekleştirilir, güvenlik kontrolü ise ağınızın dışında yapılır.

Hibrit (Melez) Güvenlik Duvarları

Buraya kadar mimarisine göre dört gurupta sınıflandırdığımız güvenlik duvarı teknolojilerinin en az iki tanesini yapısında barındıran güvenlik duvarı mimarisine “hibrit güvenlik duvarı” veya “melez güvenlik duvarı” denir. Bir hibrit güvenlik duvarı yazılımında yüksek ihtimalle Proxy teknolojisi barındırılır.

Firewall Neden Gereklidir?

Her şeyden evvel firewall, izinsiz uzaktan erişime karşı sizi korur. Sizin haberiniz olmadan herhangi bir yöntemle ağınıza girmeye çalışan yetkisiz kişiler; güvenlik duvarı tarafından belirlenir ve bu girişler engellenir. Dolayısı ile ağınıza girmeye çalışan anonim kişilere karşı alabileceğiniz en kesin güvenlik önlemlerinden biridir.

Özellikle yüksek sayıda personel istihdam eden, iç ve dış haberleşmesinin büyük bir bölümünü elektronik posta ile çözen firmalarda; e-posta trafiğini denetlemek ve e-posta ile ağınıza sızabilecek zararlı yazılımlardan korunmak oldukça zordur. Güvenlik duvarı yazılımları; elektronik postalardan gelecek virüsleri ağınıza girmeden engelleyeceği gibi , istenmeyen içerikleri barındıran spam mesajlar engellenir ve daha güvenli bir mail trafiği sağlanır.

Özellikle oyun sunucuları virüslerin ve kötü amaçlı yazılımların dağıtım merkezidir. Birçok virüs bilgisayarınıza oyun sitelerinden bulaşır. Özellikle bilinçsiz internet kullanıcıları tarafından bu virüsler; oyunun bir parçası zannederek bilgisayarına indirebileceğinden dolayı, internet üzerinde oynanan online oyunlar firewall ile daha güvenli hale gelir.

Personelinizin veya aile fertlerinizin istemediğiniz siteleri gezmesini istemiyor iseniz, kesinlikle güvenlik duvarı yazılımı kullanmalısınız. Firewall ile uygunsuz içerikleri engelleyin ve ağınızdaki kişilerin internetten amacı doğrultusunda faydalanmasını sağlayın.

Özetlemek gerekirse; firewall ile ağ trafiğini yönetmek ve kontrol etmek mümkündür. İster işyerinizde, ister evinizde; ağınıza kimin nasıl girmesi gerektiğini bir kurallar bütünü haline getirebilirsiniz. Dilediğiniz zaman bu kuralları esnetebilir ya da daha katı uygulayabilirsiniz.

Ayrıca;  5651 sayı numaralı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” kapsamında ki sorumluluğunuzu da güvenlik duvarı yazılımı sayesinde yerine getirebilirsiniz. Söz konusu kanunda; “sahibi olduğunuz ya da yönettiğiniz ağdaki olayları kaydedin ve raporlayın” anlamına gelen kanuni bir zorunluluktan bahsedilmektedir. Bir çalışanınızın ya da ağınıza davetsiz bağlanan kötü niyetli birinin işleyeceği siber suçlardan kendinizi korumanız için mutlaka güvenlik duvarı ürünlerinden faydalanmalısınız.

Bu yazımızda size firewall teknolojisinin içeriğini ve çalışma mantığını mümkün olan en kısa şekilde anlatmaya çalıştık. Sitemizde gezinmeye devam ederek internet teknolojileri hakkında farklı bilgiler edinebilirsiniz.