En iyi yaptığı iş olan firewall’luk görevi dışında Juniper Netscreen ile güvenlik anlamında yapabilecekleriniz menu sırası ile şunlardır;

Screening:

Screening aslında Netscreen Zone’larınızı koruyabileceğiniz küçük bir ips sistemidir.Ancak daha sonra bahsedeceğimiz ips gibi bir database’i bulunmamakta ve bugüne kadar tehlikeli olduğu tespit edilmiş temel ataklar yer almakta.Screening ile neler yapabileceğinize gelirsek örnek olarak;Flood protection yaparak arka arkaya belirli bir ip’den gelen ping paketlerini kesebilirsiniz yada HTTP protokünden geçen Java,Exe,Zip,ActiveX componentlerini yasaklayabilirsiniz veya değişik tipte olan tanımlı DoS atakları engelleyebilirsiniz.Bahsettiğim gibi çok detaylı bir içerik sağlamasada bunun amacı Netscreen cihazınızı ve zone yapınızı temel olarak korumaktır.

Web Filtering:

Juniper Netscreen ile iki şekilde Web Filtrelemesi yapabilirsiniz.Bunlardan ilki yıllık lisans ile satın almış olduğunuz Surf Control veritabanı kullanma hakkı ile Integrated SurfControl’dur.Diğer yöntem ise network’ünüzde hali hazırda bulunan bir Websense yada SurfControl yazılımına gelen HTTP ve HTTPS paketlerini yönlendirmektir.Ancak bir hatırlatma yapmak isterim ki Websense SurfControl’u satın aldığı için yeni Netscreen versiyonlarında bu bölümler eğer Juniper başka bir url filter yazılımı ile anlaşmaz ise Websense olarak gelecektir.

Netscreen’e entegre olan SurfControl modülü temel url filter özellikleri sağlar,klasik olarak bilindiği gibi web siteleri bazı kategoriler altında bulunur ve siz bu kategorileri yasaklar veya izin verirsiniz,kendinize özel kategoriler olusturup bunun içine istediğiniz url’leri manuel olarak ekleyebilirsiniz.Ya da kategorisi yanlış dediğiniz siteleri white list/blacklist aracılığıyla izin verebilir yada yasaklayabilirsiniz.

Deep Inspection:

Deep Inspection Netscreen tarafından izin verilen trafiği filtreleyen bir mekanizmadır.Aslına bakarsanız bildiğimiz IDS/IPS sisteminden çok farklı değildir,sadece diğerlerine göre daha fazla servislere özel çalışır.Bu özellikte yıllık subscription gerektiren bir yapıdır çünkü diğer ids-ips yapılarında olduğu gibi sürekli güncellenen bir database’den faydalanılır.Deep Inspection ile belirli servisler için belirli kısıtlamalar getirebileceğiniz gibi,indirilen database sayesinde güncel saldırılardanda haberdar olabilir yada bunları engelleyebilirsiniz.Örnek olarak Service Limits bölümünde MSN username’nin 5 karakter,yahoo messenger’da gönderilecek mesaj uzunluğu 20 karakter olsun gibi değişik kısıtlamalar getirebileceğiniz gibi bu yazılımların çalışmasınıda engelleyebilirsiniz.

Peki tamam Deep Inspection ile bu kadar güzel yazı yazdıktan sonra birazda gerçeklerden bahsetmek istiyorum.Maalesef ki sorun baştan başlıyor,Deep Inspection lisansınızı yada herhangi bir subscription’ı aldığınızda database’i otomatik güncellemek istediğinizde Database sunuculara erişip güncellemeleri indirmekte sıkıntılar yaşayacaksanız,bazen bunun nedeni DNS ve timeserver ayarları olsa bile bazen nedeni olmadan yinede bunları alamayabiliyorsunuz.MSN kullanıcı adını istediğiniz karakter sayısında sınırlandırmak kolay bir iş ancak maalesef MSN’i aslında bloklamasına rağmen bu iş hiçte bir IM filter yazılımındaki kadar tek tıklama ile kolay olmuyor.Yeni bir DI(Deep Inspection) signature yaratıyorsunuz,msn’e özel o anda kullanılan signature ekliyorsunuz,bunu grupluyorsunuz daha sonra policy’den block paketi istiyorsunuz gibi gibi uzuyor.Ancak bunu birkez yapıyor olsanız sorun teşkil etmez fakat maalesef bu Microsoft’un sürekli güncellediği MSN header’ındak signature’ı her güncellendiğinde değiştirmeniz gerekiyor yani sürekli bunu takip etmeniz gerekiyor.Hadi diyelim bunuda yaptık,network’ünüzde bir tek msn’imi tehlikeli buluyorsunuz,diğer IM’ler,P2P yazılımları.. Evet maalesef ki hepsi için bu işlemleri yapmanız gerekiyor ve maalesef hiçbiri kalıcı değil.O yüzden birileri tarafından “MSN,P2P vb. şeyleri Netscreen DI ile kesebilirsiniz,boşuna Websense falan filan almanıza gerek yok” bu şekilde ikna edilmeye çalışırsanız hayatınız kararabilir Dediğim gibi ürün bunları yapamıyor değil,yapıyor ancak hiç ama hiç pratik değil.

Anti-Virus

Gateway’de bu tür UTM’ler içindeki Anti-Virus’lere ne kadar güvenirsiniz bilemiyorum ancak ben özellikle sadece anti-virus amaçlı yapılmamış bu tür UTM’lerin anti-virus’lerine güvenemiyorum.Özellikle birçoğunuz buna katılmayacaktır biliyorum ama kötü tecrübe yaşadığım ve bu yüzden pek hoş yaklaşmadığım Trend Micro’ya hiç güvenemiyorum.Netscreen üzerinde Anti-Virus seçeneği konusunda iki seçeneğimiz mevcut,birincisi Kaspersky ve ikincisi Trend Micro.Açıkçası Netscreen’in genel database indirme sorunları bu modüllerde de mevcut ve anti-virus güncellemeleri yapmakta sıkıntılar yaşanabiliyor.Anti-Virus performansına gelince herhangi bir UTM kutusunda olduğundan daha başarılı.Özellikle son versiyon ScreenOs ile birlikte tarayabildiğimiz FTP,HTTP,IMAP,POP3 ve SMTP protokollerine bir de belli başlı IM protokolleri gelmiş.Bu sayede messenger yazılımınızda bir dosya paylaşımı yaptığınızda bu dosyalar Netscreen Anti-Virus taramasından geçebiliyor.Geri kalan özellikler diğer local ve gateway anti-virus özellikleriyle benzer.

Anti-Spam

Belkide Netscreen’in UTM bölümünde en güçsüz kaldığı nokta spam konusu.Anti-Spam bölümünde yapabileceğiniz 3 tane konfigurasyon var,Mail Spam olarak algılandığında yapılacak işlem(Drop,Change Subject,Change Header),White List ve Black List

“Çok kolay şimdi Netscreen’im bütün spamleri yakalayacak.” diye düşünmeyin.Bu kadar pratik ayar sonucunda maalesef sonuçlar hiç tatmin edici değil.Genel RBL listeleri ağırlıklı çalışan bir spam çözümü.Günümüz teknolojisi ile gelen 100 spam mesajdan yakalayabildiği sayı 20 civarlarındadır.Kendi içinde Symantec Brightmail ip database’ni de kullanır gelen mailler bu listedeki ip’lerden ise gerekli işlemi gerçekleştirir.Maalesef Spam konusunda buna güvenmemeniz gerekir.

Policy

Evet geldik Juniper Netscreen’in en iyi olduğu konuya,firewall kurallarımıza.Netscreen bize bu konuda oldukça detaylı özellikler sunmakta ve adı büyük bazı firewalların aksine oldukça stabil çalışmakta.Fakat maalesef yine bir konuda eksikliği mevcut,gerçi eminim her firewall’un eksik yanları vardır,belki Netscreen’in daha da fazla olabilir.Ancak benim eksik dediğim şey aslında çalışmayan yada bozuk olan birşey değil kendi işimize yarayacak güzel bir özellikten yoksun olması.Fakat Juniper bunu bir eksik olarak görmüyor.Bu bahsettiğim şey maalesef sürekli muzdarip olduğumuz Türk Network yapısının Avrupa ve Dünya’dan biraz daha farklı ve düzensiz olması.Örneğin networkte belirlemiş olduğum ve sıralı giden herhangi bir ip grubuna farklı bir policy uygulamak istiyorum ve bu makina sayısı 50′den fazla,örneğin 192.168.1.53-192.168.1.107 gibi bir aralıktaki kullanıcılarım için farklı bir policy uygulayacağım.Şimdi bu ip aralığını tanımlamak için herhangi bir firewall’da 192.168.1.53-192.168.1.107 arası bir network oluşturabilirken,Netscreen’de bunu yapamıyoruz.Bize izin verdikleri ise ya bu iplerin hepsini tek tek gireceksiniz ki 50′den fazla bir ip’den bahsediyorum,bu oldukça zahmetli ve saçma bir iş olacaktır.Juniper’ın ise savunduğu ve önerdiği yöntem network’ümüzde Subnetting yaparak farklı policy uygulamak istediğimiz bu makinaları subnetten çağırmak.Örneğin 192.168.1.50/28 tarzı.Fakat dediğim gibi bizim network yapılarımız buna uymadığı için kullanacağım subnet mask belirlemiş olduğum ip adreslerini kapsamayacaktır.

Ama açıkçası bunun dışında firewall görevi ile ilgili başkada bir sorun olduğunu söyleyemem.Şimdi gelin basitçe birkaç kural yazalım ve internet giriş ve çıkışlarımızı filtreleyelim.

Aslında mecburi olmamasına rağmen düzen ve kolaylık açısından Policy altındaki Policy Elements->Addresses->Lists’i takip ederek,bu bölümde yerel ağımızı ve özel kural yazmak istediğimiz client ve server benzeri node’larımızı tanımlamanızı tavsiye ederim.Sağ üst köşedeki New butonuna tıklayarak yerel ağımızı tanımlayalım.Tanımlayacağımız nesne local network’ünüzde bulunan bir nesne ise aşağıdaki imajda en altta görüldüğü gibi Trust’ı seçmelisiniz.Eğer tanımlayacağınız nesne internet üzerinden bir node ise bu bölümden Untrust’ı yada DMZ bölgenizde ise DMZ’i seçmelisiniz.Address Name bölümüne kurallarımızda ve diğer obje eklenmesi gereken yerlerde ismi görünecek olan tanımlayıcı bir isim girelim,Comment bölümü genelde boş geçilmesine rağmen benzerlik gösteren nesnelerde tanımlamak için burayı kullanabilirsiniz.Ip Address/Domain Name bölümünde tanımlamak istediğimiz node’un ip ve subnet’ini yada buna karsılık gelen domain ismini yazabiliriz.Biz local networkümüzü tanımlayacağımızdan dolayı default bırakıyoruz ve ip bölümüne local network’umuzun ağ adresini yazıyoruz(10.0.0.0) / işaretinden sonra ise network’umuzun mask’ını giriyoruz.Bu bölüme /24 yada 255.255.255.0 girmenizde bir sakınca yoktur ScreenOS bunu otomatik olarak /24′e çevirecektir.Az önce bahsettiğim gibi node’umuzun zone’unuda seçtikten sonra ok diyerek bu işlemi tamamlayabiliriz.

Ben örnek olması açısından aynı şekilde bir adet temsili sunucu tanımladım ve ismine Server1(10.0.0.5/32) dedim.Bunu yaptıktan sonra Policy başlığı altından Policies’e gelebiliriz.Aşağıda görüldüğü gibi bu eklediğim öğeleri kullanarak birkaç kural ekledim.Bu kuralları nasıl eklediğimden bahsedeceğim fakat öncelikle bu kurallar ne işe yarar neler yapar sırasıyla bunlardan bahsedeyim.

Dikkat edeceğiniz üzere burası iki bölümden oluşuyor,From Trust to Untrust ve From Untrust to Trust.Aslına bakarsanız burası her zaman iki bölümden oluşmaz zone’lar arasında eklediğiniz kurallara bağlı olarak buradaki bölümler artar,mesala DMZ’den Trust’a bir kural ekleseydim oda bir bölüm oluşturacaktı ve eklediğim kural yada kurallar bu başlığın altına gelecekti.

Evet ilk bölümümüz Untrust to Trust ve kuralda sırasıyla;

Any,Server1,SMTP ve Action bölümünde yeşil Checkmark görülüyor.Netscreen’de gördüğümüz Any,interneti temsil eder,bunu az önce local area ve server’ımızı tanımladığımız Object->Addresses altında ip adresi 0.0.0.0/0 şeklinde görebilirsiniz.
Kuralımızın untrust to trust başlığı altında olması kuralın internetten local alanımıza gelen trafiği filtreleyeceğini gösterir.Source kısmı Any olduğu için Internetin tamamından gelen paketler için bir kuraldır,destination Server1 olduğu için bu kural internetten Server1 makinamıza gelen bir filtre kuralıdır ve Service altında gördüğümüz SMTP servisi ve Action altında gördüğümüz yeşil CheckMark bize bu kuralın;Internetten Server1 sunucumuza gelen SMTP protokollü paketlere izin verdiğini gösterir.Options altında gördüğümüz küçük hücreli tablo bize bu kuralın loglandığı gösterir ve o ikona bastığmız zaman bu kural ile ilgili trafiği gösterir.Bu satırın devamında göreceğimiz.Edit ile kural özelliklerini değiştirebiliriz,daha sonraki Clone ile bu kuralın aynısından altına bir tane daha ekleyebilir,Remove ile de bu kuralımızı kaldırabiliriz.Bundan sonraki Enable Checkbox’ı kuralımızın aktif-pasif konumunu ayarlamamıza yarar,Move butonu ile ise kuralımızın kural tablosundaki sırasını değiştirmemize yarar.

İlk kuralımızı detaylı inceledikten sonra bundan sonraki kurallarımızı hızlı hızlı geçelim.Bir altında ki kuralda göreceğiniz üzere Any bölgesinden,Any bölgesine giden tüm paketleri blockladığımızı ve logladığımızı görüyoruz.Bu kuralı her zone kural grubunun en altına koymanızda fayda vardır.Bu kural tüm firewall’arda uygulanan cleanup yani temizleme kuralıdır.Eğer üstteki kurallarınıza uymayan bir paket bütün kuralları geçerek en alta gelirse ve burada onu engelleyecek bir kural yoksa bu kural loop’lara neden olabilir ve sistemde taşmalar yaratabilir.Bu durum sadece başı boş paketler için geçerlidir ve bu yüzden bunları en alttaki bu kuralımızla engellemiş oluruz.Bu kuralın başka bir faydası ise sisteminizde bir yazılım farklı bir port kullanıyorsa ve bunu bilmiyorsanız bu porta izin vermeniz gerektiği durumda bu cleanup rule’unun log’larına bakarak neleri blokladığını görebliirsiniz,bu sayede blocklanan paket ve protokollerden izin vermeniz gerekenleri rahatlıkla görebilirsiniz.Ayrıca bu loglama ile sisteminize varsa yapılan saldırıların nereden geldiğini ve hangi protokolleri hedeflediğini görebilirsiniz.

Gelelim Trust to Untrust başlığımıza,yani local networkümüzden İnternet yönüne giden paketleri filtreleyeceğimiz kurallar.En üstte Source’unda Server1 olan bir kuralımız var,ben bunu bir mail sunucu olarak hayal ettiğim için internetten gelen kurallarda SMTP için server’ımıza gelen paketlere izin vermiştik.Her ne kadar içeriden dışarıya gerçekleşen ataklar daha sınırlı olsada buda bir güvenlik problemidir ancak içeride çalışan uygulamalarımızın dışarıyla haberleşmesi açısından bazı şeylere izin vermek durumundayız.Örneğin server özel bir node olduğundan,sürekli bir insan tarafından kullanılmadığından ve update etmesi ve internet ile iletişim kurması gereken daha önemli servisleri bulunmasından dolayı sadece bu makinamızı tüm yetkilerle internete çıkartıyoruz.Ancak action kısmında dikkatinizi çekmiştirki yeşil Checkmark’ımız yerine kırmızı yuvarlak bir dişli simgesi görmekteyiz.Bu bize bu kuralda anti-virus engine’ı çalıştığını gösterir.
Bir altında ki kuralın kaynağı ise LocalNet’dir,yani demek oluyor ki LocalNetwork’teki node’larımızın internete yada internet üzerindeki bazı kaynaklara erişmesi yada erişmemesi için yapılmış bir kural.Destination kısmı Any olduğu için tüm internet için geçerli bir kural bu ve Service bölümünde gördüğümüz üzere sadece HTTP ve HTTPS paketleri girilmiş ve yine Anti-Virus engine’miz var.Bu demek oluyor ki local’deki kullanıcılarımız internette sadece HTTP ve HTTPS protokülünü kullanabilecek yani temel olarak sadece web browser’ını kullanabilecek ve giden paketler anti-virus taramasından geçecek.Ancak bu sefer gördüğünüz üzere Options altında Log simgemizin dışında bir içinde WWW bulunan bir dur simgesi mevcut.Bu bize bu kural için Url Filtering aktif olduğunu gösterir ve url filter profilinde hangi kategoriler izinli ise local kullanıcılarımız ancak bu kategorideki sitelere erişebilecektir.En altta yine Cleanup kuralımız mevcut ancak bu sefer dışarıya giden paketler için.

Şimdi gelin birde nasıl kural yaratıyoruz bunu öğrenelim;

Öncelikle sayfanın üst kısmında From ve To listelerinden kuralımızın hangi yön için olacağını belirleyelim,örneğin,Trust to Untrust yapalım.

Daha sonra en sağ tarafta bulunan New butonu ile kuralımızı düzenlemeye başlayalım.Aşağıda da gördüğünüz gibi birçok ayar ve advanced altında çok daha fazla konfigurasyon mevcut.Bu kadar karışık görünmesine rağmen temel bir kural olusturmamız için birkaç tıklama yetiyor.

Name bölümüne tanımlayıcı bir isim girebilirsiniz,eğer çok sayıda kuralınız varsa işinizi kolaylaştırabilir.Daha sonra Source address bölümünden daha önce oluşturduğumuz Address Book Entry bölümünden LocalNet’i seçelim(daha önce oluşturmadıysak bir üst kısımdaki New Address bölümüne LAN adres bilgilerimizi girelim)Destination adres bölümüne kuralın nereler için geçerli olduğunu belirtelim,eğer kural tüm internet trafiği için ise Address Book Entry’den Any’i seçelim.Ayrıca bu adres bölümlerinin yanlarındaki Multiple butonu ile birden fazla source yada destination adresi ekleyebilirsiniz.Service kısmından internet trafiğinde hangi paketlere izin vereceğimizi belirleyelim.Any durumunda iken tüm paketlere izin vermiş durumdasınız.Buradan Multiple’ı seçelim ve açılan pencereden sağ tarafta HTTP ve HTTPS’i bulalım bunları seçerek sol tarafa atalım.OK dedikten sonra iki adet servisimize internet trafiği için izin veriyor olacağız.Application bölümü ise biraz daha detay vermemize yarıyor.Örneğin HTTP protokolünü Web browserlardan başka yazılımlarda kullanabilir bunlarıda kısıtlamak isterseniz Application bölümünden HTTP kullanmasına izin vereceğiniz protokolü seçebilirsiniz.Bu bölümü None olarak geçebiliriz.
Hemen altında ise bu belirlediğimiz adres ve protokllerin ne olacağını yani action kısmını belirleyeceğiz.Web filter’ı seçerseniz bu kural için Netscreen yönlendirmesi ile çalışan bir websense yada SurfControl devreye girecektir.Action kısmı ise en önemli bölüm diyebliriz,Bu verdiğimiz bilgilere uyan bir kurala rastlandığından ne yapmasını gerektiğini söyleyeceğiz.Buradan Permit’i seçerek bu kuralın izin veren bir kural olduğunu belirliyoruz.Yanındaki DeepInspection butonundan var ise deep inspection gruplarımızı ekliyoruz ve alert seviyesini belirliyoruz.Alt kısımdaki Anti-Virus profile’den eğer bu kuralın anti-virus taraması yapmasını istiyorsak gererkli profili seçmemiz gereken yer.Altındaki Anti-Spam enable ise geçen bir mail trafiği varsa bunun için anti-spam özelliğini aktif etmeye yarıyor.Diğer alttaki kısımlar VPN ile ilgili ve bunlara ileriki bölümlerde deyineceğim.Son olarak kuralımızın loglanması için Logging checkbox’ını seçmemiz gerekiyor.Bunu da yaptıktan sonra OK butonua basıp kuralımızı kayıt ediyoruz.

Evet Netscreen’de güvenliğe giriş yaptığımız en önemli konu şimdilik sona erdi.Bundan sonra yine Netscreen ile ilgili birkaç faydalı yazı daha paylaşmayı düşünüyorum,fakat malumunuz zamansızlıktan bunların zamanları uzayabiliyor.Son olarak yine maruz kalmış olduğunuz kötü dilbilgim yüzünden affınızı rica ediyorum.Bir sonraki yazıda görüşmek dileğiyle..

Evet bu kadar geyikten sonra PPP’nin tanımı ile başlayabiliriz.PPP yani Point to Point Protocol,adından da anlaşılacağı gibi noktadan noktaya bağlantı sağlayan,iki nokta arasında bir tünel kuran ve iletişim sağlayan bir güzide protokolümüzdür.Fakat sakın PPP’nin sadece internet bağlantısı sağladığını düşünmeyiniz lütfen,bağlandığınız nokta size ne hizmet verirse onu kullanabilirsiniz. Şu anda en popüler olan ve yazımızda da üzerinde duracağımız bağlantı teknolojileri XDSL teknolojileridir,bunlardan ülkemizde en çok kullanılan,evlerimizde de bizlere hizmet veren ADSL(Asymmetric digital subscriber line) ve Türkiye’de yeni yeni popüler olan ve kurumsal bağlantılarda fiyatı nedeniyle Leased Line hatların yerini almaya başlayan G.SHDSL(Symmetric high-bit-rate Digital Subscriber Line) yada Türk halk dilinde ki ismiyle G.(ci dat).Bu simetrik ve asimetrik muhabbetide Upstream ve Downstream hızlarından kaynaklanmaktadır.ADSL’de yani asimetrik olan bağlantı türünde upstream ve downstream hızlarımız eşit olmadığından dolayı bu isim uygun görülmüş ve bunun tersine G.SHDSL hatlarda upstream ve downstream hızı eşit olduğundan dolayı simetrik ismini almıştır.

Netscreen ve PPP

PPP nedir sorusunun yanıtı bulduktan sonra ve ülkemizde yaygın olarak kullanılan iki PPP protokolü olan ADSL ve G.SHDSL’i biraz tanıdıktan sonra Netscreen üzerinde PPP bağlantıları ne şekilde sağlanır ve neler gerekir bunlardan bahsedelim.

İlk yazımızın başında bahsettiğim gibi Netscreen birçok modelinde moduler genişlemeye izin verir.Yani üzerindeki slotlarına takacağımız kartlar ile çeşitli bağlantı yapılarına izin verir.Bunlardan bazıları Serial,ADSL ve G.SHDSL interface kartlarıdır.Eğer Netscreen’imizde bu kartlardan bulunuyorsa yapmamız gereken konfigurasyon biraz daha kolay oluyor.

Peki Netscreen ile PPP bağlantısı sağlamak için bize neler gerekir.Bunun için bahsettiğim gibi Netscreen üzerinde ilgili bağlantı teknolojisini sağlayan bir interface kartı yeterli.Tabii ki istediğiniz teknoloji ile ilgili gerekli başvuruların yapıldığını ve hattınızın Netscreen yanına kadar sağlıklı geldiğini var sayıyorum.

Eğer bunlar mevcutsa Netscreen’imizi PPP’ye kavuşturmak için birkaç konfigurasyon yeterli olacaktır.Ancak bunları yapmadan önce bu şekilde bir interface kartımız yoksa ne yapmalıyız bundan bahsetmek istiyorum.

Eğer Netscreen üzerinde bu bağlantıyı sağlayacak bir interface kartımız yoksa,PPP bağlantımızı bu bağlantı teknolojisi için almış olduğumuz ve bu teknolojiyi Modüle yada Demodule edecek bir cihaza ihtiyacımız vardır ki bununda adı MODEM’dir. “Bu kadar dallandırdın budaklandırdın bir modem kelimesi içinmiydi?” diyebilirsiniz fakat bazı noktalarda derinlemesine bilgiler zarar vermez sanırım Peki bu işlemi nasıl sağlıyoruz.Bundan önce ufak bir detay vermek isterimki tercih ettiğimiz modem bridge mode desteklemesi gerekmektedir.Gerçi uzun bir süredir piyasada satılan modemlerin hepsi bu desteği vermektedirler ancak gerçekten eski bir modeminiz var ise bridge mode’u desteklemeyebilir.

PPP Tanımlaması

Nelere ihtiyacımız olduğunu öğrendiğimize göre Netscreen üzerinde yapmamız gereken ayarlara başlayabiliriz.Yapacağımız konfigurasyon ADSL standartı üzerine olacak bilginize,ayrıca benim elimdeki Netscreen üzerinde ADSL interface’i bulunmadığından dolayı ayarlarımı harici bir adsl modem kullanıyormuş gibi yapacağım.Ancak elimde bir adsl modem hazırda bulunmadığı içinde Modem üzerindeki ayarları ancak birkaç cümle ile anlatarak geçeceğim

Öncelikle fiziksel olarak kurmamız gereken kablo yapısı şu şekilde olacaktır;

Telekom tarafından getirilen telefon kablomuzu ADSL modem’imize,ADSL modem’in Ethernet Interface’inden ise Netscreen’imizin Untrust olarak tanımladığımız yada tanımlamayı düşündüğümüz bir interface’ine standart bir patch kablo ile link yapıyoruz.Modem’imizin ayarlarında standart PPP ayarlarını yaptığımız konumda PPPoE yada PPPoA seçtiğimiz bölümde yada Mode’ tanımlamasının yapılacağı bölümden “Briged” modu seçiyoruz.Peki bridge mode bize ne kolaylıklar sağlar,bridge mode yaptığımız durumda Adsl modem sadece aradaki modulasyon işlemini sağlar ve internetten aldığı paketleri Netscreen’e Netscreen’den aldığı verileri ise Internete transfer eder.Bu konumda yapacağımız NAT,Virtual Server yada benzeri internet trafiğini etkileyecek tanımlamaları Modem üzerinde yapmanıza gerek kalmaz.Çünkü bridge mode ile ADSL yapısı tarafından dağıtılan dış ip adresimiz modem üzerine değil Netscreen üzerine atanır.

Şimdi modemimiz ile Netscreen arasında gerekli yapıları kurduğumuzu ve modem üzerinde bridge mode işlemini tamamladığımızı varsayıyorum ve Netscreen üzerinde yapmamız gereken işlemlerle devam ediyorum.Bu arada bu aşamadan sonra Netscreen üzerinde ADSL interfacemiz olsa bile aynı tanımlamaları yapacağız haberiniz olsun.

Aşağıda görüldüğü gibi Sol taraftaki menu’müzden Network>PPP>PPPoE Profile linkini takip edelim.

Sağ taraftaki bu pencere varsa mevcut olan PPP bağlantı durumlarımızı gösterir.İlk bağlantımızı sağladıktan sonra bağlı olup olmadıklarını buradan öğrenebilirsiniz.İlk bağlantımızı oluşturmak için sağ üst köşedeki NEW butonuna tıklayabilirsiniz.Bu butona tıkladıktan sonra sağ tarafta penceremizde aşağıdaki gibi bir tanımlama ekranı göreceksiniz.

Aslına bakarsanız ekranda gördüğünüz bu kadar parametre ayarının çoğu default bırakılacak ayarlar.Sadece atlamamamız gereken birkaç ufak nokta var.

PPPoE Instance kısmına herhangi tanımlayıcı bir isim yazıyoruz.Enable’ın seçili olması bu instance’ın aktif olduğu anlamına geliyor,en kritik ayarmız Bound to Interface bölümü.Burada seçeceğimiz interface modem’imizden Netscreen’ çektiğimiz network kablosunun takılı olduğu yani Netscreen ile modem arasındaki linkin sağlandığı interface olmalı.Eğer PPP bağlantısı için bir modem kullanmıyorsanız ve Netscreen üzerinde dahili bir PPP interface’miz mevcut ise Interface listemizden ilgili interface’i seçiyoruz.

Username kısmına servis sağlayacımızdan aldığımız kullanıcı adı ve Password kısmınıda almış olduğumuz parolayı yazıyoruz.Internet’e çıkış yaptıran default Interface’imiz bu ise metric kısmını 1 olarak bırakıyoruz fakat birden fazla interface’miz varsa ve aralarında öncelik tanımlamak istiyorsak,öncelikli kullanılmasını istediğiniz interface’in metric parametresini diğerinden daha düşük bir rakam olarak belirlemeniz gerekiyor.

Auto-Connect,Idle-Disconnect ikilisinden Auto-Connect’i seçip zaman parametresi olarak 1 girelim.

Bu ayarları yaptıktan sonra OK butonuna basar basmaz,Netscreen modeme ilgili ayarları ve bilgileri gönderir,modem’de bu bilgiler aracılığıyla bağlantıyı sağlar.Bağlantı ile ilgili durumumuzu görmek için yukarıda da bahsettiğim gibi sağ menümüzden PPP linki altından PPPoE Profile linkine tıklamanız yeterlidir.

Evet bu noktadan sonra artık bir policy yazıp kullanıcılarımızı oluşturduğumuz bu PPPoE bağlantısı üzerinden internete kavuşturabiliriz.

Bundan sonraki Netscreen yazımız tahmin edebileceğiniz üzere güvenlik yapılandırmaları ile ilgili olacak fakat zaman konusunda bir açıklama yapamıyor, belki araya başka birşeyler daha sıkıştırabiliriz Yazımın sonunda tekrar kullandığımız dil,imla veya anlatımla ilgili sorunlardan dolayı özür diliyoruz.Ayrıca bir arkadaşımız tam anlamıyla Türkçe olmasını dilemiş,fakat malesef bazı kelimelerin türkçe karşılığı olduğu gibi bazılarınında yok,bazı karşılığı olan kelimelerden çıkan anlamlar farklılaşıyor ve anlatım sorunları yaratabiliyor.Bu yüzden elimizden geldiğince Türkçe yazmaya çalışıyoruz fakat beceremediğimiz yerlerde de affınızı rica ediyoruz.

Yazı internetten alıntıdır.

Yazımızın başında birazcık olsun Juniper Networks ne iş yapar,nerede bulunur gibi birkaç detay bilgi vermek istiyorum.Merak etmeyin bu sitede gizlimiz saklımız yok,elimizdeki tüm bilgiyi sizinle paylaşacağız

Juniper Networks adından da anlaşılacağı üzere Network topoloji ürünleri geliştirerek işe başladı.Juniper’ın ürün yelpazesinde önceleri router’lar,network optimizer’lar ve accelerator’lar gibi ürünler mevcuttu,fakat daha sonra “büyük balık küçük balığı yer” mantığı ile satın alınan kuruluşlar sonucunda Juniper’ın yelpazesi genişledi ve şu anda Network başlığında; Aplication Accelerator’lar,Wan Accelerator’lar,Web Accelerator’lar,Standart Router’lar,Telco Router’lar,Güvenlik başlığında ise Access Controller’lar,Firewall’lar,Vpn’ler,IDS-IPS Sistemleri ve SSL VPN modülleri bulunmakta.

Bahsettiğim satın alınan firmalardan Juniper Networks’e belki de en büyük katkıyı yapan firma ise Netscreen oldu.Firewall-VPN donanımları üreten Netscreen birkaç sene önce Juniper çatısı altına girdi.Juniper ürünlerinin Türkiye’deki distribütörlüğünü geniş ürün yelpazesi ile Prolink Mümessillik sağlamakta.

Netscreen Ürün Ailesi

Bu yazımızın sonunda Juniper Netscreen ile neler yapabileceğimizi göreceğiz ve ürün kurulumunu ve orta seviye konfigurasyonunu yapabilecek seviyeye geleceksiniz.Bu anlatımda kullandığım model Juniper Netscreen SSG 20 olacak fakat yazının başında da bahsettiğim gibi Netscreen ailesi içeriğinin çok benzer olmasından dolayı diğer modeller ile birçok özelliğinin ve interface’inin aynı olmasında dolayı size tüm modeller konusunda referans olabilir.

Netscreen ürün ailemizde Wireless içeren modeller,çok interface’li modeller,işlemci ve ram gücü yüksek modeller,modüler olabilen modeller ve adsl gibi üzerinde wan interface’i barındıran modeller mevcuttur.Aşağıda ürün ailesinden bazı resimleri görebilirsiniz.

Netscreen SSG-20 Interface Dağılımı

Benim bu yazıda referans olarak kullandığın SSG20 modelinde dahili adsl interface’i bulunmamakta fakat iki adet modüler yuva ile birlikte adsl dahil olmak üzere değişik WAN interface’ler ekleyebiliriz.Modelimizde 5 adet istediğimiz göreve atayabileceğimiz 10/100mbit interface bulunmakta.(Bu portlar switch portları değildir,interface’dir!) Bunun dışında bir adet seri CLI(Command Line Interface) yönetimi için konsol portu ve birde uzak yönetim erişimleri için AUX portu bulunmakta.

Netscreen’e Giriş

Netscreen ürün ailemizi ve SSG20′yi hem görsel olarak tanıyıp hemde interface’leri hakkında biraz bilgi verdikten sonra şimdi de “bu ürün ne işe yarar ve sınırları nelerdir?” sorularını cevaplayalım.

Netscreen temelinde firewall barındıran ve bu özelliği ile WAN ve internet trafiğini üzerinden geçirmesinden dolayı bundan akıllı bir şekilde faydalanacak özelliklerle(opsiyonel) donatılmış komple bir güvenlik çözümüdür.

Netscreen SSG serilerinin tümünde temel olarak Firewall,VPN,Routing,PPP ve lisansa bağlı opsiyonel olarak Anti-Virus,Anti-Spam,IDS-IPS(Deep Inspection),WebFiltering özellikleri mevcuttur.Elbette Netscreen ile yapabilecekleriniz bunlarla sınırlı değil,keşfettikçe ilgimizi çeken başka özelliklerde olacak.Bu anlatımda SSG20 üzerinde en son güvenli ve tutarlı firmware olan ScreenOS 6.0.0r2.0 kullanılmakta.Bu firmware ile özellikle VPN bağlantılarında yaşanan bazı tutarsızlık sorunları aşılmış,menü başlıkları toparlanmış ve ana interface dizaynı biraz daha ilgi çekici hale gelmiş.

Lisanslama

Netscreen ürünlerini aldıktan sonra isteğimize bağlı olarak güvenliği artırmak ve sıkıntı durumlarında Juniper’dan destek alabilmek için bazı lisanslama paketleri mevcut.Güvenlik feature’larını aktif etmek için eskiden hepsi için ayrı ayrı lisans alınırken şimdilerde kobi’lerin çok tercih etmesinden dolayı indirimli fiyatlarla Anti-Virus,Anti-Spam,Web Filtering ve Deep Inspection lisanslarını 1 yıllık destek paketi ile birleştirip SMB paketi halinde ürünün base fiyatı üzerine küçük fiyat artışıyla satıyorlar.Son dönemlerde Netscreen üzerinde bu lisanslama tipi oldukça tutuluyor,IT altyapılarında bir Anti-Virus Gateway,Anti-Spam gateway hatta IDS ürünü bulunduran firmalar bile güvenlik seviyelerini artırmak amacıyla bunu tercih edebiliyorlar.

Başlayalım

Evet uzun bir yazı ile ürünü tanıdıktan sonra artık ürünümüze giriş yapıp interface’ni tanımaya başlayalım,daha sonra güvenlik feature’larını ve kullanılabilirliklerini görelim ve son olarak yapacağımız piyasada oldukça çok kullanılan temel bir Netscreen konfigurasyonu ile yazımızı sonlandıralım.Bundan sonra ki kısımda elimden geldiğince Netscreen’in bütün özelliklerini tanıtmaya çalışacağım fakat bazı konular çok detaylı olduğu için bunların üzerinden çok kısa geçmeyi düşünüyorum ve bu konuları daha sonra ayrı başlıklar altında anlatmayı planıyorum.(Örn:VPN)

Ürünümüz default olarak web yönetimi için 192.168.1.1/24 ip’sini ve subnet mask’ını kullanır.Bu ip adresi aracılığıyla herhangi bir Web Browser üzerinden Netscreen’in yönetim arayüzüne ulaşabiliriz.Fakat önemli bir noktadan bahsetmek isterim,çok interface’li modellerde interface’ler otomatik olarak gruplu olarak gelir(bgroup) ve default yönetim ip’si bgroup0 üzerindedir,bgroup0′ın kapsadığı interface’lere Console portundan bir terminal emulator(HyperTerminal) ile bakmanızı öneririm.Bu doğru portu bulmanızı kolaylaştırır.Yada her porta bilgisayarınızdan gelen network kablosunu tek tek deneyerek ve bu esnada ping testi yaparak doğru interface’i bulabilirsiniz.Çok fazla deyinmeyeceğim Console’dan konfigurasyon hakkında doğru interface tespiti için yazının sonunda biraz bilgi bulabilirsiniz.

İlk Giriş

Ürüne Web üzerinden ilk bağlandığımızda aşağıdaki gibi bir login sayfası bizi karşılar.

Netscreen’in default kullanıcı adı:netscreen parolası:netscreen dir.Bahsettiğim gibi default ip adreside 192.168.1.1/24′dür fakat ben bulunduğum ortamda kendime farklı bir ağ yarattığımdan dolayı ip adresini 172.17.1.198/24 olarak değiştirdim.İlk açtığınız yada factory reset yaptığınız bir Netscreen ilk doğru Login prosedüründen sonra bir Wizard’la temel ayarları yapmanızı sağlar fakat bu aşırı basit olduğu için bu adımı direk atlıyorum.(Sizin de karşınıza çıkması durumunda Go to Home Page ile anasayfa’ya erişebilirsiniz.)

Girişten sonra bizi karşılayan temel ana sayfamız aşağıdaki gibidir.

Temel olarak ikiye ayrılmış ana sayfada sol tarafta navigasyonumuzu sağlayacak olan menu’müz ve sağ tarafta cihazın yük durumunu,yakın zamanda oluşan alert ve eventleri monitor etmemizi sağlayan info sayfamız yer almaktadır.Bu info sayfamız sol tarafta ki navigasyon menu’müzden değişik linklere tıkladıkça o başlığın detaylarını barındıracaktır.

Menu ve Info İçeriği

Menu görünüşümüz aşağıda olduğu gibidir ve tree mantığında düzenlenmiştir,menu hazırlanırken JavaScript kullanıldığından dolayı menu başlıklarında ki + bulunan linklere tıklandığında sayfada bir reloading işlemi yapılmadan direk tree’nin alt menusunü görebilirsiniz.

Temel başlıkları tek tek özetlemek gerekirse;
Home:Info sayfamızın bulunduğu ilk giriş sayfamıza erişimi sağlayan navigasyon linki.
Configuration:Netscreen ile ilgili lisansların girilmesi,tarih-saat ayarları,netscreen’e erişim ayarları,firmware upgrade’i gibi bazı konfigurasyon sekmelerini bulunduran navigasyon linkimiz.
Network:Network başlığı altında Interface ayarları,DHCP tanımları,routing ve PPP bağlantıları gibi yapılandırmaları yapacağımız bağlantıdır.
Security:Güvenlik ile ilgili Anti-X,Web Filter ve Deep Inspection gibi opsiyonlarımızı yapılandıracağımız bölüm.
Policy:Temel Firewall kurallarımızı yapılandıracağımız ve bu kurallarda kullanacağımız servis ve öğeleri belirleyeceğimiz bölüm.
VPNs aha önce bahsettiğim gibi yapılandırmasında bu yazıda üzerinde durmayacağım bölümlerden birisi,Dial-Up VPN,Site2Site VPN,LT2P gibi tünelleme yapacağımız bölüm.
Objects:Netscreen üzerinde tanımlayacağımız user’lar,ip aralıkları ve varsa sertifikalarımızı tanıtacağımız bölüm.
Reports:Adından anlaşılacağı gibi Netscreen üzerinden Interface’ler,kurallar,donanım performans gibi log’ları toplayacağımız ve basitçe raporlayacağımız bölüm.
Wizards ek fazla ihtiyacımız olmayacak olan bir bölüm,sihirbazlar aracılığı ile vpn tanımları ve firewall kuralları yazmak gibi bir içerik barındırıyor.
Help:Ürün hakkında çeşitli yardımlara,guide’lara yeni software download’ları gibi linklere ulaşabileceğimiz bir bölüm.
Logout:Login session’ını güvenli olarak kapatacağımız link.
Toggle:Çok büyük bir işlevi bulunmasada tree mantığında çalışan menu’müzü Windows Hover menüler tarzı sağa açılan bir menu haline getiriyor.(Her browser desteklemeyebilir.)

İkiye ayrılmış ana sayfamızın ikinci ve temel içeriğiyi kapsayan bölümü yukarıda görüldüğü gibi Netscreen cihazımızın hardware bilgilerini,anlık bağlantı sayısı ve yük durumunu,aktif olan vpn bağlantıları,log takibi yapmamızı sağlayan Event ve Alarm’ları içerir.Bu event ve alert’lerin tümüne sol taraftaki menümüz üzerindeki Reports bölümünden ulaşabiliriz.Hazır log’lara girmişken birşeyden bahsetmek istiyorum.Hiçbir şekilde Juniper Networks ürünlerinin reklamını yapmıyoruz ve bir ilişkimiz yok,sadece iyi ve kötü yönlenirini göstermek amacımız,bu yüzden yeri gelmişken kötü bir durumdan bahsetme gereği duyuyorum.Maalesef ki güvenlik anlamında bize birçok kolaylık sağlayan Netscreen’in log’lama işlemi oldukça kötü ve detaysız,fakat bunun için önerilen çözüm daha da kötü ki bu üründen detaylı log ve yönetim yapmak istiyorsanız Netscreen’in yönetim,log ve raporlama yazılımına yaklaşık 5000$ kadar bir ücret ödemeniz gerekir.

Temel Konfigurasyon

Evet ana sayfamızı inceledikten sonra cihazımızın temel konfigurasyonunu yapmak için soldaki menu’den Configuration tree yapısını yavaş yavaş inceleyebiliriz.

Şekil de görüldüğü üzere Date/Time,Update,Admin,Auth,Infranet Auth,Report Settings başlıklarımız yer almaktadır.

Date/Time: Adından da anlayabileceğimiz gibi ürünümüzün saat ve tarih ayarlarını yapmamızı ve isteğimize bağlı olarak bunları bir time server üzerinden almamızı sağlar.

Update: Update başlığımız ile Netscreen ürünümüzün feature lisanslarını girebilir,firmware updatelerimizi yapabilir ve yine bu bölümden almış olduğumuz konfigurasyon yedeğimizi sisteme yükleyebiliriz.

Administrator:Administrator başlığımız cihazda yönetimsel olarak yapılması gereken kritik ayarları saklar.Bunların içinde,Netscreen yönetim paneline erişim ip’lerini kısıtlamak,yeni yönetici hesapları oluşturmak ve bunlara çeşitli haklar vermek,yönetim panel portlarını belirlemek ve Netscreen yönetim yazılımı olan NSM ile bağlantısını kurmak gibi opsiyonlar yer alır.

Auth:Yapımızda bulunan bir authentication server varsa bunun tanımlarını yoksa Netscreen’i Authentication Server olarak tanımlamak için gereken konfigurasyonları,telnet,web ve ftp erişim  bannerlarını yapılandırabileceğimiz bölümdür.

Infranet Auth:Bu tabımız da Netscreen’i bir Infranet Authentication server haline getirebilir,Infranet tablomuzu görüntüleyebilriiz.

Report Settings:Report settings bölümümüz Netscreen raporlamalarını yönetebileceğimiz bir alandır.Hangi uyarı seviyelerinin hangi yöntemlerle loglanması gerektiğine buradan karar veririz,örneğin;snmp ile logların alınması yada mail adresine gönderilmesi gibi.

Temel ayarlarımızı yaptıktan sonra güvenlik yapılandırmalarımızdan bir önceki adım olan ve iletişimi sağlayacak olan en önemli adım olan Network ayarlarımızı basitçe yapılandıralım.

Zone’lar ve Interface’ler

Netscreen üzerinde network yapısı düzenli olması açısından biraz daha farklı bir yöntemle ilerler.Zone denilen template’ler sayesinde interface’imizin tanımını gerçekleştiririz.Bu ne demek dediğinizi biliyorum.Şöyle açıklamaya çalışayım;Cihazımızda ki interface’lere belirli görevler vermek istiyoruz,mesala 1 interface’imiz local’deki switch’imze bağlı olup kullanıcılarımıza gateway görevi görecek,diğer portumuz dmz portumuz olup dışardan erişilmesi gereken sunucularımızı iç networkümüzden ayıracak diğer bir interface’miz ise internet interface’imiz olup internet çıkışını sağlayıp internet üzerinden gelen sorguları ilk olarak karşılayacak.Peki internete bakan bir interface’imize herhangi bir cihazda nasıl tanımlamalar yaparız.Örneğin ping’e kapalı olmasını sağlayabiliriz,anti-spoof özelliğini aktif edebiliriz,belirli portlara cevap vermesini sağlayabiliriz gibi.

İşte Zone’larımız bunları sağlayan birer template’dir ve istediğiniz interface için istediğiniz zone tanımlamasını yaparak interface’imizin o özellikleri kazanmasını sağlayabiliriz.Netscreen üzerinde yeterli sayıda default olarak zone(trust,untrust,dmz..) gelmesine rağmen kendinize özel zone’lar yaratıp bunları interface’lerinize tanımlayabilirsiniz.

Netscreen’de interface görünümü aşağıdaki gibidir.

Şekilde görüldüğü gibi birden fazla interface’imizi gruplamamız ve bunları failover durumunda çalıştırmamız mümkündür.Ayrıca gruplama işlemleri yönetimsel olarakta kolaylık sağlamaktadır.
Bu sayfadan interface’lerimizin hangi zone’a dahil oldukları,aktif olup olmadıkları,bir gruba dahil olup olmadıkları ve ip adresleri gibi bilgileri edinebiliriz.

Bir interface özelliklerini değiştirmek ve daha fazla detay bulmak için Configure sütunu altından istenilen interface satırındaki Edit butonu tıklanır.

Her interface’in edit penceresi diğerinden farklı olabilir,bunun nedeni ise dahil oldukları zone’dur.Interface zone tanımına göre sayfanın en üstünde bulunan Properties listesi değişiklik gösterir.Bu bölümde portları gruplama,içeriye port yönlendirme,sanal ip atama(mip,dip,vip) gibi ekstra özellikler bulunur.Fakat bu yazımızda bu bölüme deyinmeyip daha sonraki yazımızda bunlara özel olarak el atacağız.

Evet,interface’lerimiz de neler yapabiliriz birazcık inceleyelim;
Öncelikle interface’imizin hangi zone’a ait olduğunu en üstteki “Zone Name” seçeneğinden gerçekleştiriyoruz.Hemen altında ise anlayabileceğiniz gibi ip tanımları yer almaktadır ip’mizi dhcp sunucudan atayabilir,eğer bir pppoe bağlantısına bind edilmiş ise pppoe bağlantımızdan alabilir yada manuel olarak kendimiz girebiliriz.Ip adresimizin maskını octet’ler halinde girebileceğimiz gibi(255.255.255.0) bit sayısını(24) belirterekte tanımlamamız mümkündür.Ip adresi tanımımızın yanındaki “Manageable” seçeneği ve altındaki “Manage Ip” bölümü,bu interface’imizin netscreen yönetimi için kullanılabileceğini tanımlar.
“Interface Mode” bölümünden interface’imizin görevini belirtiriz,default olarak NAT mode ile gelir.Block intra-subnet traffic seçeneği ise bazı değişik tanımlama durumlarında interface’in kendi kendine route edip loop’a girmesini engellemek için kullanır.

Service Options alanında interface’imizden nelere cevap verileceği belirlenir, Netscreen’in web management,ssl,ssh,ping gibi sorgulara bu interface üzerinden cevap vereceğini buradan belirtebiliriz.Örneğin ping’i kaldırdığımız zaman bu interface artık ping sorgularına cevap vermeyecektir.
MTU(Maximum Transfer Unit) network cihazlarımızın(switch,router,pc vb..) ürettiği paketlerin boyutlarını tanımladığımız yerdir,Varsayılan tüm network cihazlarında 1500 olduğu için bu ayarda bir değişklik yapmanız gerekmemekte fakat ağırlıklı network cihazlarınızda bu boyut özel olarak değiştirilmiş ise Netscreen üzerinde bahsedilen network cihazına bağlı olan bu interface’imizde de bu boyutun tanımlanması performans açısından rahatlık sağlar.

DNS Proxy check’i ile Netscreen’in bu interface üzerinden DNS Proxy hizmeti vermesini,
NTP Server check’i ile de bu interface üzerinden NTP Server hizmeti dağıtarak network üzerindeki diğer node’ların tarih ve saatlerini bu interface üzerinden senkronize edebiliriz.
WebAuth,Configuration bölümünde banner’ını tanımlamış olduğumuz,Netscreen’in Web Authentication servisinin tanımlanacağı interface,yönlendirileceği sunucu ve bu hizmetin sadece ssl üzerinden geçmesi ile ilgili seçenek bölümüdür.Bu özellik sayesinde örneğin herkesin erişmesini istemediğiniz bir web sunucusuna sadece Netscreen’e eklediğiniz ve izin verdiğiniz kullanıcıların bu web sunucusuna erişmesini sağlayabilirsiniz.

Traffic Bandwith özelliğimiz çok basit olarak traffic shaping yapmamızı sağlar fakat bunları belirli servislere göre değil interface üzerinden geçen tüm trafik için uygular.
Ingress gelen Egress ise giden trafiği temsil eder ve girdiğimiz kb rakamı ile bu interface’in kullanacağı maksimum gelen ve giden trafiği belirlersiniz.
Aslında bu yazıya başlarken tek bir kerede bitirmek niyetindeydim fakat gittikçe uzadığı için bölüm bölüm anlatma yolunu tercih ettim ki daha fazla bu yazıdan sizi mahrum etmeyeyim
Netscreen ile ilgili bundan sonraki yazılarımız şu şekilde olacaktır fakat sırası karışıktır;

Netscreen Güvenlik;Netscreen güvenlik yapılarının anlatımı,sınırları ve konfigurasyonu
Netscreen PPPOE;Netscreen aracılığıyla bir PPP bağlantısı nasıl sağlanır.
Netscreen VPN:Netscreen ile bir Dial-Up VPN tanımlaması ve client konfigurasyonu

Özetlemek gerekirse bu yazıda,Juniper Networks’ü tanıdık,Netscreen ürün ailesine göz attık,Netscreen ile neler yapabileceğimize değindik,çalışır hale getirip temel network ayarlarını sağladık.

Yazı internetten alıntıdır.