FortiGate Policy, FortiGate cihazında ağ trafiğini kontrol eden kurallardır. Hangi cihazların, kullanıcıların veya uygulamaların ağ üzerinde hangi tür trafiği yapabileceğini belirler. Policy, güvenlik, izinler ve erişim kontrolü için temel yapı taşını oluşturur.

Örnek bir senorya ile policy oluşturalım.

Şimdi ilk olarak 172.22.10.0/24 IP bloğu internete FortiGate üzerinden çıkmasını sağlayalım. Ardından “Windows Client1” cihaz ile “Windows Client2” nolu bilgisayarların birbiri ile haberleşmesi için bir policy oluşturalım.

Windows Client1 cihazın IP adresini 172.22.10.50, Windows Client2 cihazın IP adresini 172.22.11.50 olarak ayarladık.

Şimdi Windows Client1 cihazımızın internete erişmesini sağlayalım. FortiGate arayüzü üzerinden Policy & Object bölümüne gelip Firewall Policy seçeneğini seçiyoruz. Ardından “Create New” ile yeni bir policy oluşturuyoruz. Policy oluşturma işlemine başlamadan önce 172.22.10.50 nolu IP adresin hangi porta bağlı olduğunu bulalım.

172.22.10.50 nolu IP adresi port2’ye bağlı olduğunu öğrendik. Şimdi policy’imizi yazabiliriz. Biz port2 den port1 üzerinden internete çıkmak istediğimiz için Incoming interface’yi port2 Outgoing Interface’yi port1 yaptık ve Action’u “Accept” olarak ayarladık.

Yazdığımız policy listede görüntülenir. Artık 172.22.10.50 IP adresine sahip Windows Client1 cihazımız internete erişebilir durumda.

Şimdi Windows Client1 cihazımızın Windows Client2 cihaz ile iletişim kurmasını deneyelim.

Görüldüğü gibi Client1’den ping ile erişmeye çalışıtığımızda “Request time out.” oluyor bu durumu düzeltmek için yeniden bir policy oluşturalım.

Source olarak 172.22.10.50 nolu IP adresini kullanacağız bu yüzden yeni bir adres ekleyeceğiz. Sağdaki “+” kutucuğuna basıyoruz.

Bir adres gireceğimiz için “Address” ‘i seçiyoruz.

İsim ve IP/Netmask alanlarını dolduruyoruz. Kaynak sadece olarak 172.22.10.50 nolu ip adresini kullancağımız için Netmask’ı 32 olarak girdik.

Aynı şekilde Destination içinde 172.22.11.50/32 olarak giriyoruz ardından bunları ekliyoruz.

Kontrol amaçlı tekrar ping atarsak, oluşturduğumuz policy’nin çalıştığını görebiliriz. Eğer her şeyi doğru yapmanıza rağmen hala erişemiyorsanız windows güvenlik duvarı engelliyor olabilir. Windows güvenlik duvarını kaldırdıktan sonra tekrar deneyebilirsiniz.

Windows Client cihazımızı hem internete erişmesini sağladık hem de Windows Client2 ile haberleşebilmesini sağladık. Şimdi son olarak Policy’lerde önemli bir özellikten bahsedeceğiz.

Policy’lerde sıralama çok önemli. Policy’ler yukarıdan aşağıya doğru çalışır. Yani iki policy’miz olduğunu düşünelim bunlar p1 ve p2. Şimdi p1’de tüm client1’in client2’ye erişimlerinde tüm servisleri “Accept” yaptık. P2’de ise client1’den client2’ye ping erişimini engelledik. Eğer p1 listede p2’nin üstünde ise ping dahil tüm servisler “Accept” olur ancak p2’yi geçerli kılmak istersek p2’yi basılı tutup p1’in üstüne alırız böylece ping dışında bütün servislere erişimimiz açık olur. Sonuç olarak policy yazarken sıralamaya dikkat etmeliyiz.