Firewall’un Tanımı ve Amacı
Güvenlik duvarı (firewall), bir ağ veya cihaz ile dış dünya arasındaki trafiği tanımlı politikalara göre denetleyen ve kontrol eden güvenlik katmanıdır. Basitçe; “hangi kapılardan (port/protokol) kimin, hangi koşullarda geçeceğine” karar verir. Trafik kaynak/destek IP, port, protokol, uygulama ve hatta içerik bazında filtrelenerek, yetkisiz erişim, zararlı yazılım yayılımı ve veri sızıntısı riskleri azaltılır.
Kurumsal mimarilerde firewall; DMZ, iç ağ, uzaktan erişim ve bulut segmentleri arasında ayırıcı görevi görür. Son kullanıcı tarafında ise Windows/Mac gibi işletim sistemlerinde yerleşik yazılım firewall’ları, uygulamaların ağ erişimini yönetir. Doğru konumlandırılmış bir güvenlik duvarı, minimum erişim (default deny) ve allowlist yaklaşımıyla saldırı yüzeyini görünür biçimde küçültür.
Özet: Firewall Ne Sağlar?
Erişim Kontrolü (kim, nereye, nasıl) • Segmentasyon (DMZ–iç ağ ayrımı) • Görünürlük (log, uyarı, rapor) • Koruma (kural/politika, IPS/WAF entegrasyonu).
Varsayılan Reddet (Default Deny)
Önce her şeyi kapat, sonra iş ihtiyaçlarına göre yalnızca gerekli trafiği aç prensibi.
Ağ Segmentasyonu
Web, uygulama ve veritabanı katmanlarını ayırarak bozulma etkisini sınırla, yan hareketi (lateral movement) engelle.
Gözlemlenebilirlik
Bağlantı kabul/red olaylarını logla, şüpheli trafik için uyarı oluştur; SIEM ile ilişkilendir.
“Güvenli mimaride ilk kural: Yetki gerekliyse verilir, aksi halde erişim kapalıdır.” – Güvenlik Mimarları
Donanım ve Yazılım Firewall Arasındaki Fark
Donanım firewall (appliance/NGFW), ağın sınırında veya segmentler arasında konumlanan, yüksek performanslı paket denetimi için tasarlanmış özel cihazlardır. Trafiği L3’ten L7’ye kadar inceleyebilir; IPS/IDS, uygulama farkındalığı, SSL/TLS kırıp inceleme (decryption), VPN, yüksek erişilebilirlik (HA) ve SD-WAN gibi kurumsal özellikler sunar.
Yazılım firewall ise sunucular, iş istasyonları ve mobil cihazlarda çalışan uç nokta (host) tabanlı çözümlerdir. Windows Defender Firewall, pf/ipfw (BSD), iptables/nftables (Linux) gibi bileşenlerle uygulama/port/IP bazlı kontrol sağlar, giden trafik politikalarını da uygulayabilir. Bulutta ise Security Group/NSG gibi platform tabanlı yazılım firewall’lar yaygındır.
Kısa Özet
Donanım firewall: Ağ kenarı/segmentler, yoğun trafik, L7 denetim, HA/IPS/WAF entegrasyonu.
Yazılım firewall: Uç nokta ve bulut kaynakları, uygulama bazlı kurallar, egress kontrol, mikro segmentasyon.
| Kriter | Donanım Firewall (Appliance/NGFW) | Yazılım Firewall (Host/Cloud) |
|---|---|---|
| Konum | Ağ sınırı, DMZ, segment geçişleri | Sunucu/istemci üzerinde, VPC/VNet içinde |
| Kapsam | Geniş; birden fazla alt ağı kapsar | Dar; tek host/servis veya güvenlik grubu |
| Performans | ASIC/NPU hızlandırma ile yüksek throughput | Host kaynaklarına bağlı; yatay ölçeklenebilir |
| Özellik Seti | IPS/IDS, App-ID, URL/AV filtre, TLS inspection | Port/IP/uygulama bazlı kurallar, egress politikası |
| Yönetim | Merkezi politika, HA çifti, politika şablonları | GPO/MDM/IaC ile dağıtım, otomasyon kolay |
| Kullanım Senaryosu | Kurumsal kenar, şube/merkez, veri merkezi | Sunucu güvenliği, geliştirici makineleri, bulut |
| Maliyet | Cihaz + lisans; uzun ömür, sabit yatırım | Düşük giriş maliyeti; ölçekle orantılı |
| Görünürlük | Merkezi log/SIEM, akış ve tehdit istihbaratı | Uç nokta logları, bulut akış kayıtları (flow logs) |
Bulut-Yerel (Cloud-Native) Yaklaşım
Kamu bulutlarında Security Group/NSG, Firewall Rules ve Network ACL katmanlarıyla stateful ve stateless kontrol birlikte kullanılır. Ingress için yalnızca gerekli port/protokol/IP açılır; egress tarafında ise keşif/komuta-kontrol risklerine karşı default deny önerilir. L7 ihtiyaçlarında WAF ve API Gateway’ler devreye girer.
Savunma Derinliği
Edge’te donanım firewall + içeride yazılım firewall ile çok katmanlı koruma sağlayın.
Otomasyon & IaC
Politikaları Infrastructure as Code ile sürümleyin; test/validasyon pipeline’ına kuralları ekleyin.
Uygulama Bilinci
NGFW’de uygulama/kimlik tabanlı kurallar, uç noktada ise process/hash/sertifika tabanlı izinler kullanın.
“En iyi güvenlik, tek bir duvara değil; katmanlı savunmaya dayanır.” – Ağ Güvenliği Uzmanları
Firewall’ların Temel Çalışma Prensibi
Bir firewall, gelen–giden ağ trafiğini kural tabanlı olarak değerlendirir ve trafiği izin ver (allow), engelle (deny/drop) veya yönlendir gibi aksiyonlarla sonuçlandırır. Değerlendirme; IP/port/protokol (L3–L4) ve gelişmiş cihazlarda uygulama/içerik (L7) seviyesinde yapılır. Temel döngü şu adımlarla özetlenir:
İşleme Akışı (Özet)
- Arayüz/Zone Girişi: Paket hangi zone veya arayüzden geldi?
- Ön Politika: Anti-spoofing, RFC uyumluluk, temel hijyen kontrolleri.
- Durum Tablosu (State Table): Eşleşen aktif bağlantı var mı? (Varsa hızlı karar)
- Kural Değerlendirme: En üstten aşağı ilk eşleşen kural uygulanır.
- Gelişmiş Denetim: Uygulama tanıma, IPS/AV, URL filtre, DLP vb.
- NAT/Yönlendirme: Gerekliyse SNAT/DNAT ve yönlendirme kararı.
- Günlükleme (Log): Kabul/red olaylarının kaydı ve uyarı üretimi.
Stateless ve Stateful Denetim
Stateless (durumsuz) filtreler her paketi bağımsız değerlendirir; hızlıdır ama bağlantı bağlamını bilmez. Stateful (durum bilgili) firewall’lar ise bağlantı durum tablosu tutar; böylece istek–yanıt ilişkisini anlayarak geri dönüş trafiğine otomatik izin verebilir ve riskli anomalileri (örn. beklenmeyen bayrak kombinasyonları) daha iyi yakalar.
| Kriter | Stateless | Stateful |
|---|---|---|
| Bağlam | Paket başına karar | Bağlantı (5-tuple) ve durum bilgisi |
| Performans | Çok yüksek, basit kurallar | Yüksek, tablo yönetimi gerekli |
| Geri Dönüş Trafiği | Manuel kural gerekir | Otomatik eşleştirme ile izin |
| Görünürlük | Sınırlı | Oturum ve anomali algısı daha iyi |
Proxy (L7) ve Derin Paket İnceleme (DPI)
Uygulama katmanı proxy’leri (örn. HTTP/HTTPS proxy) trafiği sonlandırıp yeniden kurar; başlık ve içerik seviyesinde politika uygular. DPI ise imza/heuristic yöntemlerle protokol ve içerik analizi yaparak kötü amaçlı davranışları durdurabilir. NGFW cihazlarında App-ID, URL filtre, IPS/AV ve TLS inceleme modülleri ile birlikte çalışır.
Zone Tabanlı Politikalar
Kaynak ve hedef zone’lara göre kurallar; iç ağ → DMZ → internet geçişini katmanlı yönetin.
NAT (SNAT/DNAT)
İç adreslerin gizlenmesi ve yayın hizmetlerinin (DNAT) güvenli sunulması için NAT kurallarıyla birlikte kurgulayın.
Log & Telemetri
Her kabul/red olayı loglanmalı; SIEM’e akıtılarak tehdit istihbaratıyla ilişkilendirilmeli.
Kural Sırası ve Varsayılan Politika
- Sıra önemlidir: Çoğu firewall “ilk eşleşen kazanır” mantığıyla çalışır; en spesifik kurallar üstte olmalıdır.
- Implicit/Default Deny: Son satırda her şeyi reddeden kural varsayılan olmalıdır.
- Objelerle Yönetin: IP/port listelerini address/service objects olarak tanımlayın; tekrar kullanım ve sürümleme kolaylaşır.
Altyapınızı Test Edin
Yayın akışında yalnızca gerekli port/protokolleri açtığınızdan emin olun; allowlist ve loglarınızı düzenli denetleyin. Temel IP ve erişim kontrollerini hızlıca doğrulamak için iPadressorgu.com’u kullanabilirsiniz.
IP & Bağlantı Kontrolü YapOrtak Firewall Kuralları ve Ayarları
Aşağıdaki tablo, ingress (gelen) ve egress (giden) politikalar için en sık kullanılan firewall kurallarını, amaçlarını ve pratik notlarını özetler. Varsayılan yaklaşım: default deny (önce her şeyi kapat) → iş ihtiyacına göre allowlist ile aç.
| Kural / Ayar | Amaç | Örnek (Özet) | Öneri / Not |
|---|---|---|---|
| Default Deny (Inbound) | Dışarıdan gelişigüzel erişimi engellemek | IN: any → LAN/DMZ deny | Yalnızca yayınlanan servisler (ör. 443/tcp) istisna olmalı |
| Default Deny (Outbound) | İç sistemlerin kontrolsüz internete çıkışını sınırlandırmak | OUT: VLAN_APP → any deny | Gerekli hedef/port’ları tek tek allow edin (örn. 443) |
| HTTPS Yayını (DNAT) | İnternete HTTPS servis yayınlamak | DNAT: WAN:443 → DMZ:LB:443 | WAF/Reverse Proxy kullanın, HSTS ve modern TLS zorlayın |
| HTTP→HTTPS Yönlendirme | Güvenli trafiğe zorlamak | IN: 80/tcp → 443/tcp redirect | SEO için 301/308 kalıcı yönlendirme kullanın |
| Yönetim Erişimi (SSH/RDP) | Sunucu yönetimine güvenli erişim | IN: ADMIN_NET → SRV:* (22/tcp, 3389/tcp) allow | VPN/Zero Trust arkasına alın, NLA/MFA zorunlu olsun |
| Veritabanı İzolasyonu | DB’ye yalnızca uygulama katmanından erişim | IN: APP_NET → DB_NET (5432/3306) allow | Public erişimi kapatın; mTLS/IP allowlist uygulayın |
| DNS Çıkışı | Çözümleyiciyi sabitlemek ve loglamak | OUT: VLAN_* → Resolver (53/udp, 853/tcp) allow | DoT/DoH tercih edin; yalnız kurumsal resolver’a izin verin |
| NTP Çıkışı | Sistem saatlerini eşitlemek | OUT: VLAN_* → NTP (123/udp) allow | İç NTP’yi upstream’e sabitleyin; dış NTP’yi deny edebilirsiniz |
| E-posta Gönderimi | İstemci gönderimini düzenlemek | OUT: VLAN_USER → SMTP Submission (587/tcp) allow | 25/tcp’i kullanıcı ağlarında deny edin; kötüye kullanım riski |
| Geo-IP / ASN Kısıtı | Riskli bölgelerden erişimi sınırlamak | IN: geo:high_risk → any deny | Gezici ekipler için istisna ve geçici izin süreçleri oluşturun |
| Rate / Connection Limit | Brute-force ve DDoS etkisini azaltmak | IN: 443/tcp conn≤X, rate≤Y | WAF/IPS ile birlikte kullanın; uyarı eşiği tanımlayın |
| Log & Alert | Görünürlük ve olay müdahalesi | LOG: allow/deny olayları → SIEM | İş kritik akışları ayrı high severity ile işaretleyin |
| Objelerle Yönetim | Tekrarlanabilir ve sürdürülebilir politika | Address/Service/URL Objects | IaC ile versiyonlayın; değişiklikleri gözden geçirin (PR) |
| SNAT (Internet Çıkışı) | İç IP’leri gizlemek | SNAT: LAN → WAN (public IP) | Uygulama loglarında istemci IP’sini korumak için XFF/mTLS düşünün |
| Bakım Penceresi (Time-based) | Geçici istisnaları sınırlamak | RULE X: enabled 22:00–02:00 | “Geçici” kurallar için otomatik kapanış zamanlayın |
Örnek Politika Parçacıkları
# Ingress: Sadece HTTPS yayını ALLOW IN src:any dst:DMZ_WEB proto:TCP dport:443 DENY IN src:any dst:DMZ_WEB any Egress: Uygulamalar yalnızca 443’e ve kurumsal DNS’e çıksın ALLOW OUT src:VLAN_APP dst:any proto:TCP dport:443 ALLOW OUT src:VLAN_APP dst:DNS_SVC proto:UDP dport:53 DENY OUT src:VLAN_APP dst:any any Yönetim: SSH yalnız ADMIN_NET → SRV ALLOW IN src:ADMIN_NET dst:SRV_ALL proto:TCP dport:22 DNAT: WAN:443 → DMZ:LB:443 (WAF) DNAT IN wan_ip:443 → lb_dmz:443 Politikanızı Sağlamlaştırın
Yayın akışını minimum portla sürdürün, gereksiz egress’i kapatın ve logları SIEM’e akıtın. Temel IP/DNS kontrolleri için iPadressorgu.com’u kullanabilir; mimariyi uçtan uca planlamak için deneyimli web tasarım yapan firmalar ile çalışarak dağıtım ve güvenliği uyumlu kılabilirsiniz.
Hızlı Ağ Kontrolü YapFirewall’un Ağ Güvenliğindeki Rolü
Güvenlik duvarı, kurumsal güvenlik mimarisinde sınır koruması, segmentler arası kontrol ve gözlemlenebilirlik sağlayan merkezi bileşendir. Amaç yalnızca trafiği engellemek değil; riskleri ölçmek, tehditleri görünür kılmak ve iş sürekliliğini korumaktır. Savunma derinliği yaklaşımında firewall; WAF, IDS/IPS, EDR/XDR, DLP, IAM ve SIEM/SOAR ile birlikte çalışır.
Rolün Kapsamı (Özet)
Kenarda koruma (internet–DMZ) • Mikro segmentasyon (iç ağ katmanları) • Erişim politikaları (least privilege, Zero Trust) • Telemetri (log, akış, uyarı) • Uyumluluk (denetim izi, politika-as-code).
| Hedef | Kontrol | Uygulama Noktası | Başarı Ölçütü |
|---|---|---|---|
| Saldırı yüzeyini azaltmak | Default deny + allowlist, L3/L7 kısıtlar | Edge, DMZ, servis segmentleri | Açık port sayısında düşüş, kalıcı istisnasız politika |
| Yan hareketi engellemek | Mikro segmentasyon, East–West filtreleme | Uygulama–DB–Queue katmanları | İzinsiz lateral akışlarda blok/uyarı |
| Veri sızıntısını önlemek | Egress kontrol, DLP/URL kategori | Çıkış noktaları, proxy/WAF | Yetkisiz dış bağlantılarda azalma |
| Tehditleri tespit etmek | IPS/anti-bot, TLS inceleme (istisnalı) | NGFW, güvenli web ağ geçidi | İmza/heuristic isabeti, düşük false positive |
| Uyumluluk & denetim | Log/SIEM, değişiklik denetimi | Politika merkezi, IaC pipeline | Denetim izleri, onaylı değişiklik oranı |
Zero Trust ve SASE Bağlamı
Zero Trust yaklaşımında, ağın “güvenilir” bir bölgesi varsayılmaz; her akış kimlik, cihaz sağlığı ve bağlam doğrulamasıyla değerlendirilir. Uzak ofis ve hibrit çalışma senaryolarında SASE/SSE mimarileri; bulut tabanlı güvenli web ağ geçidi, ZTNA ve DNS/TLS filtreleme ile dağıtık bir firewall işlevi sunar. Merkezdeki NGFW politikalarıyla tutarlı kural setleri hedeflenmelidir.
WAF & API Koruması
HTTP(S) trafiğinde uygulama katmanı saldırılarını WAF ile durdurun; NGFW kenarda, WAF uygulama önünde çalışsın.
IDS/IPS & Tehdit İstihbaratı
Güncel imza ve reputasyon akışlarıyla keşif/sömürü denemelerini yakalayın; otomatik blok/uyarı tetikleyin.
Değişiklik Yönetimi
Politikaları policy-as-code ile versiyonlayın; peer review, test ve onay olmadan kural yayımlamayın.
Güvenlik Mimarinizi Eşitleyin
Kenar, iç ağ ve bulut politikalarını uyumlu hâle getirin; logları merkezi toplayın. Temel IP/DNS testleri için iPadressorgu.com’u kullanabilir, kural setlerinizi düzenli aralıklarla gözden geçirebilirsiniz.
IP & DNS Kontrolü YapSon Kullanıcılar için Windows/Mac Firewall Ayarları
Ev ve ofis kullanıcıları için doğru firewall ayarları; istenmeyen bağlantıları engellerken gerekli uygulamaların çalışmasına izin verir. Aşağıdaki tablolar, Windows ve macOS için pratik adımları ve hızlı komutları özetler.
Windows (Windows Defender Firewall)
| İşlem | Yol / Komut | Açıklama / İpucu |
|---|---|---|
| Firewall’ı Aç/Kapat | Ayarlar → Gizlilik ve Güvenlik → Windows Güvenliği → Firewall & network protection | Tüm profillerde (Etki Alanı/Özel/Aktif) Açık olmasını sağlayın; misafir ağlarda “Genel/Public” profilini kullanın. |
| Uygulamaya İzin Ver | Denetim Masası → Sistem ve Güvenlik → Windows Defender Firewall → “Bir uygulamaya izin ver” | Yalnızca güvenilir uygulamaları ekleyin; mümkünse “Özel (Private)” ağ ile sınırlandırın. |
| Gelişmiş Ayarlar | wf.msc (Gelişmiş Güvenlik ile Windows Defender Güvenlik Duvarı) | Inbound/Outbound Rules altında kural bazlı yönetim; profil ve Scope (uzak IP) kısıtlarını kullanın. |
| Port Bazlı Kural | wf.msc → Inbound Rules → New Rule → Port | Örn. sadece 443/TCP’ye izin verin; protokol ve yerel/uzak portu doğru seçin. |
| Günlükleme | wf.msc → Properties → Logging | Kabul/Red günlüklerini açın; SIEM veya olay görüntüleyici ile periyodik kontrol edin. |
| Hızlı Komutlar | netsh advfirewall set allprofiles state onnetsh advfirewall firewall add rule name="Allow HTTPS Out" dir=out action=allow protocol=TCP remoteport=443netsh advfirewall reset | Tüm profilleri açar, sadece 443 çıkışına izin kuralı ekler, yapılandırmayı sıfırlar (dikkat!). |
macOS (Uygulama Güvenlik Duvarı)
| İşlem | Yol / Komut | Açıklama / İpucu |
|---|---|---|
| Firewall’ı Aç/Kapat | → Sistem Ayarları → Network → Firewall → “Turn On” | macOS uygulama seviyesinde filtre uygular; açtıktan sonra uygulama istisnalarını yönetin. |
| Uygulama İzni | Network → Firewall → Options… → “+” ile uygulama ekle | Güvenilir uygulamaları ekleyin; bilinmeyen imzalı yazılımlara izin vermeyin. |
| Stealth / Tüm Gelenleri Engelle | Network → Firewall → Options… → “Enable stealth mode” / “Block all incoming connections” | Gereksiz ping/probe’ları gizler; mobil hotspot/kamusal ağlarda önerilir. |
| CLI ile Yönetim | sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setglobalstate onsudo /usr/libexec/ApplicationFirewall/socketfilterfw --setblockall onsudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on | Uygulama güvenlik duvarı için hızlı komutlar; Console ile olayları izleyin. |
| Gelişmiş (pf) | sudo pfctl -e · sudo pfctl -f /etc/pf.conf | İleri seviye ağ kuralları için BSD pf; hatalı kurallar bağlantıyı kesebilir—dikkatle kullanın. |
En İyi Uygulamalar
“Varsayılan reddet”i benimseyin, yalnızca gereken uygulama ve portlara izin verin; kamusal ağlarda daha sıkı profil kullanın.
Görünürlük
Windows’ta Event Viewer/loglar, macOS’ta Console ile denemeleri izleyin; şüpheli uygulama isteklerini gözden geçirin.
Windows: wf.msc ile kural bazlı yönetim; macOS: uygulama odaklı izin modeli.
SSS (Sıkça Sorulan Sorular)
| Soru | Cevap |
|---|---|
| Firewall nedir, ne işe yarar? | Ağ trafiğini tanımlı politikalara göre denetleyen güvenlik katmanıdır; yetkisiz erişimi engeller, görünürlük ve loglama sağlar. |
| NGFW ile klasik firewall arasındaki fark nedir? | NGFW uygulama farkındalığı (L7), IPS/AV, URL filtre ve TLS inceleme gibi gelişmiş özellikler sunar; klasikler L3–L4 odaklıdır. |
| Stateful ve stateless denetim? | Stateful, oturum durum tablosu tutar ve geri dönüş trafiğine otomatik izin verir; stateless her paketi bağımsız değerlendirir. |
| WAF ve firewall farkı? | Firewall ağ/taşıma katmanında genel trafiği kontrol eder; WAF HTTP(S) uygulama katmanında saldırı imzalarını durdurur. |
| “Default deny” neden önemli? | Önce her şeyi kapatıp yalnızca iş ihtiyacı olan akışları açmak saldırı yüzeyini dramatik biçimde azaltır. |
| Egress (giden) filtreleme gerekli mi? | Evet. Zararlı yazılımın dışa bağlantısını, veri sızıntısını ve komuta-kontrol trafiğini engellemek için şarttır. |
| RDP/SSH’yi internete açabilir miyim? | Önerilmez. VPN/Zero Trust arkasına alın, NLA/MFA zorunlu kılın ve IP allowlist kullanın. |
| Port yönlendirme (port forwarding) güvenli mi? | Yalnızca zorunlu servisler için ve WAF/Reverse Proxy arkasında, güçlü kimlik + güncel yazılımla uygulanmalıdır. |
| Logları gerçekten toplamalı mıyım? | Evet. Kabul/red olaylarını SIEM’e gönderin; uyarı eşiği ve raporlarla anomaliyi hızlı yakalarsınız. |
| Ev kullanıcıları ne yapmalı? | Windows/macOS firewall’ı açık tutun, yalnız güvenilir uygulamalara izin verin, misafir ağlarda daha sıkı profil kullanın. |
Hızlı Kontrol Listesi (Yayına Çıkmadan Önce)
İş uygulamanızı internete açmadan önce aşağıdaki adımları tamamladığınızdan emin olun:
- ✅ Default deny: Ingress/Egress varsayılanı deny; yalnız gerekli akışlara allow.
- ✅ Yayın portları: Dışa yalnızca 443/tcp (ve gerekiyorsa 80→443 yönlendirme) açık.
- ✅ Yönetim erişimi: SSH/RDP VPN/Zero Trust arkasında; NLA/MFA ve IP allowlist aktif.
- ✅ DB & iç servisler: Public erişim kapalı; yalnız APP_NET → DB kuralları açık.
- ✅ Egress kontrol: Uygulamalar 443 ve kurumsal DNS/DoT/DoH dışına çıkamıyor.
- ✅ Rate/conn limit: 443 için hız ve oturum sınırları; WAF/IPS entegre.
- ✅ Log & uyarı: Allow/Deny olayları SIEM’de; anomali uyarıları tanımlı.
- ✅ TLS & sertifika: Modern TLS, HSTS, güvenilir CA; istisna listeleri belirlendi.
- ✅ Dokümantasyon: Kural gerekçeleri, sahiplik ve review tarihleri yazılı.
- ✅ Test: Dışarıdan tarama (nmap), içeriden akış testleri ve hata senaryoları tamamlandı.