Palo Alto Networks firewall cihazları, uygulama odaklı (App-ID) ve kullanıcı tabanlı (User-ID) güvenlik yaklaşımı ile siber güvenlik dünyasında standart belirleyici konumundadır. Bu yazımızda, PAN-OS işletim sistemi üzerinde NAT (Network Address Translation) ve Güvenlik Kuralları (Security Policy) yapılandırmasının temel mantığını ele alacağız.

1. Palo Alto Güvenlik Kuralları (Security Policy) Mantığı

Palo Alto’da tüm kurallar Zone (Bölge) tabanlıdır. Kaynak Zone’dan hedef Zone’a giden trafik, güvenlik kuralları tarafından denetlenir. PAN-OS kuralları yukarıdan aşağıya doğru sırayla okur (First Match).

Güvenlik Kuralı Oluşturma (CLI)

İç ağdan (Trust-Zone) dış ağa (Untrust-Zone) sadece HTTP ve HTTPS servislerine izin veren temel bir kural tanımlayalım:

# configure
# set rulebase security rules "Trust-to-Untrust" from trust to untrust source any destination any service [ service-http service-https ] action allow

2. Palo Alto NAT Yapılandırması

Palo Alto Networks’te NAT kuralları ve Güvenlik kuralları birbirinden tamamen bağımsızdır. NAT kuralı IP adreslerini çevirirken, güvenlik kuralı trafiğe izin verip vermeyeceğimizi belirler.

A. Source NAT (Kaynak NAT - Outbound)

İç ağdaki cihazların tek bir dış IP adresi (Dynamic IP and Port - PAT) üzerinden internete çıkmasını sağlamak için kullanılan yapılandırmadır:

# set rulebase nat rules "Outbound_NAT" from trust to untrust source any destination any service any translate-to source dynamic-ip-and-port interface-address interface ethernet1/1

Burada ethernet1/1 arayüzü internete bakan (WAN) bacağımızdır.

B. Destination NAT (Hedef NAT - Port Yönlendirme / Port Forwarding)

Dış dünyadan gelen istekleri iç ağdaki bir sunucuya (Örn: Web Sunucusu 192.168.10.80) yönlendirmek için kullanılır:

# set rulebase nat rules "Web_Server_NAT" from untrust to untrust source any destination [ WAN_IP ] service service-http translate-to destination-address 192.168.10.80

Sorun Giderme ve Commit İşlemi

Palo Alto cihazlarında yaptığınız değişikliklerin aktif olması için mutlaka commit edilmesi gerekir:

# commit

Yapılandırma sonrası trafik akışını izlemek ve sorunları gidermek için aşağıdaki CLI komutlarını kullanabilirsiniz:

! Aktif oturumları (session table) listeleme
> show session all

! Belirli bir IP adresine ait aktif oturumları filtreleme
> show session all filter source 192.168.10.50

! NAT kurallarının eşleşme (match) durumunu kontrol etme
> show running nat-policy

Palo Alto’da en sık yapılan hatalardan biri, Destination NAT yaparken güvenlik kuralında hedef IP olarak dış IP’yi yazmaktır. Güvenlik kurallarında her zaman hedefin gerçek (iç ağdaki) IP adresi yazılmalıdır çünkü güvenlik denetimi NAT dönüşümünden sonra gerçekleşir.