Bu makalede 3 bölümden oluşacak olup Huawei USG6370 firewall cihazının basit kurulumu ve ilk ayarlarının nasıl yapıldığını göreceğiz.
Makale sonunda cihazı kurup basit yapılandırmalarını yaparak cihaz hakkında azda olsa belirli bilgiye sahip olmuş olacağız.
Ürün görsel olarak aşağıdaki gibidir. Üzerinde 1 adet Managemet, 8 Adet UTP, 4 adet SFP port bulunmaktadır.
Cihazın default ip adresi 192.168.0.1 olup bu ip adresi ile sadece MGMT port ile erişmeniz mümkündür.
Cihaza bağlanmak için öncelikle yapılaması gereken bilgisayarınızın ağ kartına yukarıda belirtmiş oluğumuz network üzerinden ip vermeniz gerekmektedir.
İp yapılandırmanız aşağıdaki gibi yapılabilir.
Bilgisayarınızda bağlı olan kablonun huawei firewall tarafında aşağıdaki görüldüğü gibi MGMT portuna takılmalıdır.
Cihazın default olarak gelen Kullanıcı adı: Admin Şifresi Admin@123 şeklindedir.
Bu işlemleri tamamladıktan sonra web tarayıcımıza https://192.168.0.1 yazıyoruz.
Karışımıza yukarıdaki gibi ekran geliyor.
Yukarıdaki ekranda Kullanıcı adı Admin şifre olarak Admin@123 olarak yazıyor ve login diyoruz.
Login işleminden sonra karşımıza default şifrenin değişmesi için bir ekran geliyor bu ekranda Current Password yazan kısıma eski şifremizi yazıyoruz ve diğer alanlara kendi belirlediğimiz şifreyi yazarak OK deyip geçiyoruz.
Yukarıdaki işlem sonucunda karşımıza aşağıdaki gibi ekran geliyor ve artık firewall web arayüzüne girmiş oluyoruz.
Karşımıza gelen ilk ekran Startup Wizard ekranı olup, kurulumu bu ekran üzerinden yapacağız.
Startup Wizard ekranını kullanmadan da yapacak olduğumuz işlemleri yapmak mümkün ama biraz karmaşık gelmesi muhtemel bu sebepten wizard kullanmamız daha iyi olacaktır düşüncesindeyim.
İlk ekranı Next diyerek geçiyoruz.
1. Bölümde Bizden firewall cihazıma bir isim vermemiz aynı zamanda şifre değişikliği yapmak istersek bu kısımdan yapabileceğimiz göstermekte. Next diyerek geçiyoruz.
2. Bölümde kendi ülkemize uygun saat dilimini seçerek devam ediyoruz.
3. Bölüm İnternet ayarlarımızın yapılacağı kısımdır. Aşağıda görüldüğü üzere 3 ayrı kısım bulunmaktadır.
1-Statik ip
Statik ip kısmını kullanacak olan kullanıcıların almış oldukları internet hizmetlerinin metro internet gibi yada benzeri çalışan hizmetlerin internet sağlayıcısı tarafından kendilerine verilen ip adresi –subnet- Gateway bilgilerini girmeleri gerekmektedir. Öncelikle sizden internet hattınızın firewall cihazının hangi portunda sonlanacağını sormaktadır.
Biz GE 1/0/0 portunu kullandık ve temsili bir ip adresi yazdık siz sizinle paylaşılan ip adresini bu kısma yazmanız yeterli olacaktır.
2.Dhcp
Bu bölüm çok kullanılan bir bölüm değildir sahada pek karşılaşmazsınız bu bölüme girmeyeceğiz.
3-Pppoe
Bu bölümde internet sağlayıcımız bize vermiş olduğu modemler ya da router cihazlarının köprü ( bridge) moduna alınarak kullanılan alandır.
Örnek verecek olursak iş yerinde ADSL ya da VDSL hat kullanıyorsunuz bu cihazın hemen önünde güvenlik için huawei firewall koyacaksınız ama sistemi huawei cihazının yönetmesini kontrol etmesini yönlendirme, vpn web filter apps filter gibi işlemlerin hepsini firewall cihazının yapmasını istiyorsunuz.
Durum böyle iken ilgili modemi köprü(Bridge) moduna almanız gerekmektedir. Bu işlemden sonra artık muhatap huawei firewall cihazı olacaktır.
Küçük bir ayrıntı köprü modunda internet servis sağlayıcısının size vermiş olduğu kullanıcı adı ve şifreyi bilmek zorundasınız örnek adsl12111@ttnet şifre xxxxxx şeklinde bu bilgileri huawei firewall cihazına yazmamız gerekecek.
Next işleminde sonra karşımıza aşağıdaki gibi ekran gelecek olup bize hangi interface ile işlem yapmak istediğimizi soracak
İlgili kısımları aşağıdaki gibi doldurarak next diyerek devam ediyoruz.
Next işleminden sonra karşımıza lan bacağına ip vereceğiz bu ip bizim ağ geçidimiz olacak ya da route görevini yapan cihazın internete çıkış trafiğini route ettiği ip olacak.
İp olarak 192.168.1.254/24 şeklinde verip devam ediyoruz.
Sonrasında karşımızda ortamda bir dhcp sunucusu yoksa ip dağıtmak için ekran geliyor. Burada başlangıç ve bitiş aralığı belirtiyoruz.
Aşağıdaki gibi firewall cihazının kendi ip adresini aralık içeresinde tutmuyorum.
Next diyerek devam ettikten sonra aşağıdaki gibi yapmış olduğumuz işlemlerin özeti gelmektedir.
Apply diyerek devam ediyoruz.
Apply işleminden sonra en son olarak karşımıza aşağıdaki ekran gelmekte Finish diyerek işlemi sonlandırıyoruz…
Finish işleminden sonra karşımıza aşağıdaki gibi dashboard gelmekte
Kısaca ekranda 2 bölümden bahsetmek isterim…
System Resoruce bölümünde cihazın performans değerleri verilmektedir.
System Information bölümünde cihaz ile ilgili bilgiler bulunmaktadır.
Huawei firewall üzerinde şimdi yapmış olduğumuz işlemleri kontrol edelim
Yukarıdaki ekranda internet hattımızın default zone olarak untrust olarak gelmekte LAN olarak ta trust zone olarak gelmektedir.
Karışıklığa sebep vermemek için internet hattını WAN olarak LAN hattının da local ya da internal olarak değiştirmemiz yararımıza olacaktır.
Öncelikle 2 adet zone ekleyelim ve istediğimiz interface bu zone dahil edelim aşağıdaki menüleri takip ederek.
Aşağıda görüldüğü üzere WAN şeklinde bir zone oluşturduk.
Daha sonra WAN zone üzerine almak istediğimiz interface üzerine gelerek tıklıyoruz
Yukarıda görüldüğü üzere zone kısmından untrust olan zone adını WAN olarak değiştirdik.
Şimdi LAN olarak bildiğimiz zone trust zone a dahil yani biz internete çıkış kurullarını yazarken
Trust to Wlan olarak yazmamız gerekmekte
Huawei cihazında default olarak policy yazılı şekilde gelir. Bu poliçede ip zone servise bakmazsınız trafiği geçirir ilk kurulumda bu şekilde ama bu sonrasında ciddi sıkıntı yaratacaktır güvenlik olarak size sıkıntıya sokacaktır.
Şimdi örnek olarak 1 adet internete çıkış için policy yazacağım ve default olan policy deny yapacağım yani yazdığım policy geçerli olacak ve yazdığım policye dahil olmayan kimse internete çıkmayacak
Aşağıda görüldüğü üzere sadece trust zone dan gelen kişiler internete çıkacaklar ve her hangi bir ip ya da user kısıtlaması yapmadım.
Policy kısmının son hali aşağıdaki gibidir.
Sistem üzerinde 192.168.1.0/24 networkünden farklı networkler olması muhtemel durum böyle iken zaten bu networkler firewall cihazına ya route aracılığı ile geliyordur ya da farklı interface lere bağlıdır.
Bir switch üzerinden route ile firewall cihazına gelen network den bahsedeceğim
Örnek: Sistemde 172.16.16.0/24 networkü olsun ve bu networkünde yine firewall üzerinden internete çıkması gereksin durum böyle iken zaten biz daha önce policy yazmıştık source olarak any seçmiştik burada yapacak bir şeyimiz kalmadı sadece 172.16.16.0 networkünün firewall cihazı ile haberleşmesi kaldı.
Sistemdeki switch ip adresimiz 192.168.1.1/24 olsun
172 li network içinde 172.16.16.1/24 olsun
Her iki network switch üzerinde bulunan routing ile haberleşecekler ama firewall cihazı 172li networkü tanımayacak durum bu şekilde iken switch üzerinde aşağıdaki gibi route olduğunuz varsayarsak
Aşağıdaki gibi route yazmamız gerekmektedir.
Destination address ulaşacağımız network
Next hop bu networke ulaşmak için soru soracağımız ip
İnterface soru sormak için gideceğim yere hangi port üzerinden gitmem gerektiğini belirten alan
Cihazın yeni route tablosu aşağıdaki gibidir.
Huawei cihazına şuanda MGMT zone dan başka bir zone üzerinden erişmemiz mümkün değil bunun için trust zone için http ya da https bağlantısını açmamız gerek default olarak kapalı gelir.
Ayrıca interface içerinse girmek için edit kısmı da kullanılabilir.
Yukarıda görüldüğü üzere ilgili erişim şekillerinin açılması mümkündür.
Cihaza son olarak Console üzerinden erişip yaptığımız ayarları da CLI ekranından görebilirsiniz.
Putyy yazılımı ya da benzeri yazılımları kullanarak ekrandaki ayarlar doğrultusunda
Yukarıdaki komutu yazarak cihaz üzerinde neler yaptığımızı görmek mümkün
Config olarak hepsini almadım sadece yaptığımız alanları göstermek istedim DNS ile ilgili alan aşağıdaki gibi
İlgili interface ler için verdiğimiz ipler ve dhcp ayrıntıları
Yarattığımız zone
Yazmış olduğumuz route
Yazmış olduğumuz policy
Ayrıca web üzerinden yaptığımız çoğu işlemi CLI üzerinden de yapmamız mümkün örnek olarak zone oluşturma yapalım. Aşağıdaki komutu CLI üzerinde koşturmamız yeter
Bu komutu çalıştırdıktan sonra içerisine giriş yapalım
Priority vermemiz gerek
Aşağıdaki ekranda görüldüğü üzere WAN1 zone olarak geldi.
Bu bölümün sonuna geldik diğer bölümde görüşmek üzere…