Bu rehberdeki konfigürasyon adımları, Configuration -> Firewall -> Rule arayüzünden gerçekleştirilecektir. Bu arayüzle ilgili dokümantasyona aşağıdaki sayfadan erişebilirsiniz.
Tetiklenen Firewall kuralı sonucunda paketin varsayılan ağ geçidi yerine farklı bir rota üzerinden iletilmesini sağlamak için bir Policy Based Routing Firewall kuralı oluşturacağız.
Temel olarak routerlar, ağ trafiğini belirli bir rotada yönlendirmek için "routing" protokollerini kullanır. Bu protokoller, ağ cihazlarının trafik yönlendirme tablolarını oluşturarak, verilerin hangi yol boyunca iletilmesi gerektiğini belirler. Ancak bazı durumlarda, varsayılan yönlendirme tablosu dışında farklı bir rotaya ihtiyaç duyulabilir.
Bu durumlarda, "Policy Based Routing" (PBR) olarak adlandırılan bir yöntem kullanılabilir. PBR, trafik yönlendirmesi için bir dizi belirli kural tanımlamanıza olanak tanır. Bu kurallar, belirli bir kaynak IP adresi, hedef IP adresi, port numarası veya protokol gibi özelliklere göre trafiği farklı bir rotaya yönlendirebilir.
Firewall kuralı sonucunda paketin default gateway üzerinden değil farklı bir rotaya yönlendirilmesi gerektiği durumlarda, PBR kullanarak bu trafiği belirli bir rotaya yönlendirebiliriz. Bu sayede, belirli bir ağ trafiğini önceden belirlenmiş bir rotaya yönlendirmek mümkün olur.
Policy Based Routing Firewall Kuralı
Senaryo:
Örnek olarak, bir şirketin birden fazla internet hattı bulunabilir ve bu hatlardan biri daha yavaş ve ekonomikken diğeri daha hızlı ve maliyetli olabilir. Şirket, belirli IP adreslerinin internet erişiminde hızlı ve pahalı olan hattı kullanmasını isteyebilir. Bu durumda, bu belirli IP adreslerinin istenilen hattı kullanması için Policy Based Routing Firewall kuralı oluşturulabilir. Bu kural, belirli IP adreslerini ve hedef sunucuları hedef alarak, paketlerin varsayılan ağ geçidinin yerine belirlenen hat üzerinden yönlendirilmesini sağlar.
Bu yaklaşım, ağdaki trafik yönlendirmesini esnek ve özelleştirilebilir hale getirir. Belirli IP adresleri veya sunucular için öncelikli bir ağ hattı belirlemek, bant genişliği kullanımını optimize etmek ve performansı artırmak için kullanışlıdır. Ayrıca, maliyet etkinliği sağlanabilir ve kritik uygulamaların gereksinimlerine göre trafik yönlendirme politikaları uygulanabilir.
Bu şekilde, şirketin ağ altyapısı daha esnek hale gelir ve kaynakları daha etkin bir şekilde kullanabilir.
Yukarıda oluşturulan Firewall kuralı sayesinde. TRUST Zone içerisinde belirlenen kaynak IP adreslerinden gelen paketler, default gateway üzerinden değil NAT ve Policy Based Routing kurallarıyla düzenlenen SUPERBOX üzerinden sonraki noktasına aktarılacaktır.
Policy Based Routing Firewall Kuralı oluşturulmasında aşağıdaki parametreler göz önüne alınmıştır:
Firewall kuralının görevini ifade eden bir isim verilmiştir.
İç ağımızda tanımladığımız TRUST zone için bu yönlendirme işlemini gerçekleştiriyoruz.
Dış ağa çıkmaya çalışan paketler için bu yönlendirme işlemini gerçekleştiriyoruz.
Source IP olarak bu şekilde bir yönlendirme yapmak istediğim IP adreslerinin yer aldığı bir IP objesi oluşturduk.
NAT işlemi opsiyonel bir konfigürasyondur. Dış ağa SUPERBOX'un IP adresiyle değiştirilerek paketlerin yönlendirilmesi için NAT işleminde SUPERBOX'ı seçimini yaptık.
Bu rehberin en önemli noktası olarak Firewall kuralı oluşturma arayüzünün Policy Based Routing menüsünde yer alan Route IP adresi seçenekleri arasından firewall kuralı tarafından paketin yönlendirilmek istediği IP adresini belirliyoruz.
Bu konfigürasyon ile birlikte Firewall kuralını tetikleyen paketler varsayılan route yönleri yerine belirlediğimiz Route IP üzerinden yönlendirilecektir.
Yukarıda oluşturulan Firewall Kuralının CLI karşılığı aşağıdaki gibidir.
rules
fw-rule 1
name "Policy_based_rotuing_firewall_document_rule"
type access
action allow
source-zone TRUST
destination-zone egress
service-in any
source-ip policy_based_policy_IP_Object
destination-ip any
nat-ip SUPERBOX
route-ip SUPERBOX
log
enable
