Merhaba arkadaşlar, ben Cem Zengin.

Kurumsal ağ yönetiminde çalışanların verimliliğini korumak, bant genişliğini optimize etmek ve en önemlisi zararlı içerik barındıran sitelerden ağımızı korumak için içerik filtreleme yapmak zorundayız. FortiGate üzerinde bu korumayı Web Filter (Web Filtreleme) ve Application Control (Uygulama Kontrolü) güvenlik profilleri ile sağlıyoruz.

Bu yazıda, sıfırdan bir web filtreleme profili oluşturmayı, sosyal medya uygulamalarını kısıtlamayı ve bu profilleri internet çıkış kurallarımıza nasıl entegre edeceğimizi anlatacağım.

1. Web Filter (Web Filtreleme) Yapılandırması

FortiGate, web sitelerini FortiGuard Labs’in güncel veri tabanına göre kategorilere ayırır (Örn: Gambling, Social Media, Malicious Websites vb.).

Web GUI Adımları:

  1. Security Profiles > Web Filter sayfasına gidin.
  2. Create New seçeneğine tıklayın.
  3. Profil ismini girin (Örn: Sirket_Web_Filter).
  4. FortiGuard Category Based Filter bölümünde, kategoriler üzerine tıklayarak izin verilecek, engellenecek veya loglanacak durumları seçin:
    • Potentially Liable (Hukuki Riskli Siteler): Gambling (Kumar) ve Pornography gibi kategorileri seçip sağ tıklayarak Block yapın.
    • Bandwidth Consuming (Bant Genişliği Tüketenler): File Sharing (Dosya Paylaşımı) veya Peer-to-Peer (P2P / Torrent) sitelerini Block veya kullanıcıyı uyarmak için Monitor/Warning yapabilirsiniz.
    • Security Risk (Güvenlik Riskleri): Malicious Websites (Zararlı Siteler), Phishing (Oltalama) ve Spam sitelerini kesinlikle Block konumuna getirin.
  5. Safe Search (Güvenli Arama): Sayfanın altındaki Safe Search özelliğini aktif ederek Google, YouTube ve Bing gibi arama motorlarında cinsel veya şiddet içerikli görsellerin filtrelenmesini sağlayın.
  6. OK diyerek profili kaydedin.

2. Application Control (Uygulama Kontrolü) Yapılandırması

Web filtreleme siteleri engellerken, uygulama kontrolü ise tarayıcı veya arka planda çalışan yazılımların imza tabanlı (Signature) engellenmesini sağlar. Örneğin, web filtrelemeden facebook.com adresini engelleseniz dahi telefonlardaki Facebook uygulaması arka plandan API’lere erişebilir. Bunu durdurmanın yolu Application Control kullanmaktır.

Web GUI Adımları:

  1. Security Profiles > Application Control sayfasına gidin.
  2. Create New seçeneğine tıklayın (Örn: Sirket_App_Control adıyla).
  3. Categories listesinden genel kategorilere aksiyon belirleyin:
    • P2P (Torrent vb.) ve Proxy (VPN ve tünelleme araçları) kategorilerini tamamen Block yapın.
  4. Application Overrides (Özel Uygulama Engelleme): Sadece belirli uygulamaları (örn: WhatsApp, Spotify veya Instagram) engellemek istiyorsanız:
    • Application Overrides altında Add Signatures seçeneğine tıklayın.
    • Arama kısmına Spotify veya Instagram yazarak aratın, ilgili imzaları seçip Add Selected deyin.
    • Aksiyonunu (Action) Block olarak ayarlayın.
  5. OK butonuna basarak kaydedin.

3. CLI ile Güvenlik Profillerini Oluşturma

Hızlıca CLI üzerinden bu profilleri oluşturmak isterseniz:

# Web Filter Profil Oluşturma
config webfilter profile
    edit "Sirket_Web_Filter"
        config ftgd-wf
            config filters
                edit 1
                    set category 2  # Pornography
                    set action block
                next
                edit 2
                    set category 26 # Malicious Websites
                    set action block
                next
                edit 3
                    set category 61 # Gambling
                    set action block
                next
            end
        end
    next
end

# Application Control Profil Oluşturma
config application list
    edit "Sirket_App_Control"
        config entries
            edit 1
                set category 2  # P2P
                set action block
            next
            edit 2
                set category 6  # Proxy
                set action block
            next
        end
    next
end

4. Profilleri Güvenlik Duvarı Politikasına (Policy) Tanımlama

Oluşturduğumuz güvenlik profillerinin kullanıcı trafiğine etki edebilmesi için internete çıkış kuralında (LAN-to-WAN) aktif edilmesi gerekir.

  1. Policy & Objects > Firewall Policy sayfasına gidin.
  2. Kullanıcıların internet kuralını (Örn: LAN-to-WAN) açıp düzenleyin.
  3. Aşağı kaydırarak Security Profiles bölümüne gelin.
  4. Aşağıdaki profilleri aktif edip kendi oluşturduğumuz profilleri seçin:
    • Web Filter: Sirket_Web_Filter
    • Application Control: Sirket_App_Control
    • SSL Inspection: certificate-inspection (Eğer HTTPS sitelerin engelleme sayfalarının düzgün gösterilmesini ve daha derin tarama yapılmasını istiyorsanız deep-inspection profiliyle birlikte kullanılması önerilir).
  5. OK diyerek politikayı kaydedin.
config firewall policy
    edit 10
        set webfilter-profile "Sirket_Web_Filter"
        set application-list "Sirket_App_Control"
        set ssl-ssh-profile "certificate-inspection"
    next
end

5. Test Etme ve Log İzleme

Kurulum sonrasında engellenen siteleri ve uygulamaları test edin. Örneğin, engellediğiniz bir kumar sitesine girmeye çalıştığınızda tarayıcınızda FortiGate’in “Web Page Blocked” uyarı şablonunu görmelisiniz.

Engelleme loglarını canlı izlemek için:

  • Cihaz üzerinde Log & Report > Web Filter veya Application Control sayfalarına giderek filtreleme sonuçlarını anlık olarak takip edebilirsiniz.

Bir sonraki makalemizde görüşmek üzere! Filtreleme kurallarında takıldığınız noktaları yorumlar kısmına yazabilirsiniz.