Forum
Merhabalar,
Wetransfer tarzı Linux üzerine kurulan bir dosya paylaşım sunucusuna dışarıdan secure ftp yada https olarak erişim vereceğim. DMZ ile ayrı bir zone oluşturup dışarıdan ve içeriden kurallar yazarak izole etmek arasında bir fark var mıdır? Özellikle DMZ diyorlar fakat fortigate in videolarını incelediğimde herhangi bir interface e ip adresi ve isim olarak dmz vererek wan to dmz ve lan to dmz şeklinde kurallar yazıp geçiyorlar dolayısıyla herhangi bir fark göremedim siz ne düşünüyorsunuz?
Teşekkürler.
Network konusunda uzman arkadaşlarım yardımcı olacaktır ancak eski bir CCNA olarak özetlemek gerekir ise;
DMZ aslında kurumsal bir farkındalık içindir, yani nasıl RDP yi dış dünyaya açmak yerine insanlar VPN kullanıyor ve daha kurumsal, güvenlik bir erişim alt yapısı sağlıyorlar ise DMZ de aslında bir takım dışa açık sistemlerin iç network sızıntılarına neden olmasını engellemek içindir.
Misal bir web server doğrudan 80 nolu port ile dış dünyaya açılır ve web server üzerindeki OS kaynaklı veya uygulama kaynaklı bir zafiyet nedeni ile tüm local ağa ulaşılmış olur.
Ancak bu makine internal network yerine DMZ de olur ise bu durumda o makine ele geçirilse bile iç network e geçmek için yine iyi, kötü bir firewall kural setinden geçer. Özetle gerçekten External 10.10.10.x gibi, DMZ 172.16.0.0 gibi internal 192.168.16.0 gibi ayırmak ve buna göre konumlandırmak tavsiye edilir.
Tabiki günümüzde eskisi gibi fiziksel makineler yok, yani eskiden gerçekten web server' ı alıp firewall' un DMZ bacağına veya o bacağa bağlı switch e takardık şimdi vlan ve switch topolojiniz ile bunu düzgün yapılandırmanız gerekli. Bunun da yine en iyi yöntemlerinden birisi DMZ için ayrı sanallaştırma alt yapısı kullanmanız, bu sayede gerçekten sanal makineleri de fiziksel olarak ayırmış olursunuz. Tabiki bunu ek kaynak ve lisans gibi maliyetleri olacaktır.
Dediğim gibi konusunda daha uzman olan arkadaşlarım yardımcı olacaktır.
Danışman - ITSTACK Bilgi Sistemleri
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Bilgi için teşekkürler Hakan hocam,
Sanallaştırma tarafından da bahsetmişsiniz anladığım kadarıyla bir sunuyu dmz portuna bağlayıp wan to dmz, lan to dmz kurallar yazmakla firewall da ayrı bir vlan interface oluşturup vmware da virtual port group larla bunu destekleyerek sonrasında firewall da dışarıdan ilgili vlan interface ve içeriden ilgili vlan interface kurallar oluşturmak arasında bir fark yoktur diye düşünüyorum bu yüzden sorma gereği duydum?
Teşekkürler.
Bilgi için teşekkürler Hakan hocam,
Sanallaştırma tarafından da bahsetmişsiniz anladığım kadarıyla bir sunuyu dmz portuna bağlayıp wan to dmz, lan to dmz kurallar yazmakla firewall da ayrı bir vlan interface oluşturup vmware da virtual port group larla bunu destekleyerek sonrasında firewall da dışarıdan ilgili vlan interface ve içeriden ilgili vlan interface kurallar oluşturmak arasında bir fark yoktur diye düşünüyorum bu yüzden sorma gereği duydum?
Teşekkürler.
Merhaba,
Aynen belirtmiş olduğunuz şekilde portgroup'lar oluşturabilir ve bunlara ilgili VLAN'ları tag'leyerek kullanabilirsiniz.
Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com
Mail: [email protected]
Bu konu efsanedir.
genelde katmanli yapilar bu sekilde kurulur.
sebebi soyle;
dmz = sadece internetten inbound yonunde trafigi kabul eden zone, kesinlikle inside a erisimi olmaz.
zararli geldiginde burda ki kaynaklara bulasabilir. Genelde av ips vs ile saglam sekilde korunur.
inside= internetten trafik kabul etmez, ihtiyac halinde (db vs) dmz den trafik kabul edilir. Sadece ilgili port ile.
eskiden dmz real ip inside private ip olurdu. Lakin guncel baktigimizda webapp sunucularin burda bulunmasi, db vs ise inside bulunmasi onemli. Bunlari dmz, inside gibi ayirmak ise sadece bir mahlas ve kolay yonetilebilirlikten ibaret.
fortide interfaceleri lan wan dmz olarak ayirdiginizda bu zonelara ozel ozellikler acilir mesela wanda interface ozel bandwith tanimlayabilirsin. Ayri ayri monitor edip trafigi izleyebilirsin.
Mustafa hocam ve Tayfun hocam bilgi için teşekkürler.
Özellikle anlamak istediğim konu bu iş için özellikle firewall ın DMZ portunu mu kullanmak gerekir.
Yani herhangi bir interface isim verip (mesela DMZ) inbound ve outbound yönünde kuralları yazsam yada ayrı bir vlan olarak izole etsem aynı şey midir?
Teşekkürler.
Merhaba,
Mimarisel bir karar bu kesin net veya şu doğrudur bu yanlıştır diyemeyiz ki. Belirtmiş olduğunuz şekilde yapılabilir.
Tayfun DEĞER
Cisco Champions, vExpert, VCP4/5/6, VCP5-DT, VCP-Cloud
https://www.tayfundeger.com
Mail: [email protected]
Kesinlikle, herhangi bir port kullanilabilir. Bu mimarisel bir durum
Bilgi için teşekkürler,
Herhangi bir interface düzenlediğimizde Tags in altında bulunan rollerde LAN, WAN ve DMZ bulunmaktadır.
Bunlarla ilgili detaylara nasıl ulaşabilirim? Yani bir sunucuyu DMZ alacaksam rol kısmında DMZ yerine WAN seçersem artısı yada eksisi ne olur?
aslinda soyle, sen dmz yada lan sectiginde, cli danda yapabilecegin, baz seyler guiden yapilabilir olur. Lakin bir listesi yok. Ama sonuc olarak hepsi ayni.