Palo Alto Firewall Port Forwarding

Merhaba,

Dış (internet) IP adresimizden iç networkümüzde çalışan birden fazla servise erişim sağlamak için port yönlendirme işlemlerine ihtiyaç duyarız. Bunun yanı sıra güvenlik açısından da önemli bir rolü olan port yönlendirme sayesinde kullandığımız servislerin güvenliğini sağlamak içinde uygulanan bir işlemdir. Genellikle dışarıdan içeriye erişimde , erişmek istediğimiz servisin portu haricinde bir port seçerek haberleşme sağlanması ve tahmin edilmesi zor port numaraları üzerinden işlem yapılmaktadır.

Bu makalede de Palo Alto güvenlik duvarı üzerinde port yönlendirme işlemlerinden elimde geldiğince bahsetmeye çalışacağım.

Port yönlendirme işlemine başlamadan önce Uygulama ve tehditleri güncellememiz gerekmektedir. Gerekli güncellemelerden sonra cihaz veritabanında olmayan / değişen servis ve tehditleri güncellemiş olacağız.

Güncelleme sonrası aşağıdaki adımları takip ederek port yönlendirme işlemlerini yapabilirsiniz.

Objects / Services ekranında servisimize bir isim ve hedef bağlantı noktasını tanımladıktan sonra servisimizi dışarıdan içeriye Nat yaparak kuralımıza devam ediyoruz.

Objects  / Services

Add = Yeni servis ekle

Name : Servis ismi

Destination Port : Hedef port (Dışarıdan içeriye gelinecek port)

Source Zone : Dış Dünya (İnternet).
Destination Zone : İnternete erişimimiz.
Service : RDP için oluşturmuş olduğumuz servisimiz.
Destination Address : Dışarıdan içeriye RDP yapacağımız IP adresimiz.

Servis tanımlama işlemi için Objects / Services adımlarını takip etmemek için Original Packet ekranında bulunan Service bölümünden de tanımlama yapabilirsiniz.

Nat işlemimizden sonra erişim için gerekli güvenlik kuralını yazarak port yönlendirme işlemlerini tamamlıyoruz.

Eğer kullanıcı bazlı yetkilendirme yapmak isterseniz User sekmesinde gerekli kullanıcıları tanımlayabilirsiniz.

Adımları takip ederek işlemleri tamamladıktan sonra Commit ile değişiklikleri cihazımıza kaydediyoruz. Aynı sunucu üzerinde birden fazla uygulama çalışıyorsa ve dışarıdan erişim sağlamak istiyorsanız tek tek servis oluşturup nat ve security policy yapmakla uğraşmamak için tüm servisleri tek grup altında toplayarak işlem yapabilirsiniz.

Port yönlendirme sayesinde özellikle RDP ve SSH bağlantıları üzerinde alacağınız güvenlik tedbirleri benim gözümde hayat kurtarır derecede önemlidir. Direk RDP yaptırmak yerine Windows Server Remote App servisini yapılandırarak SSL ile kullanıcılarınıza server üzerinde kurulu olan uygulamaları kullandırma şansınız olur. Yada kullanıcı sadece bir uygulamayı kullanmak için bağlanıyorsa masa üstü erişimini kısıtlayarak rdp yaptığında uygulamayıda açtırabilirsiniz.

Faydalı olması dileğiyle.