Təhlükəsiz Kiber Dünyaya Giriş

Telegrama üzv ol

Yeni Əlavə olunanlar:

OPNsense firewall – virtual mühitə quraşdırılması

ADNSU Fidan 45 mins0

Dokumentasiya OPNsense firewall-nun virtual mühitə addım-addım quraşdırılması, addımlar zamanı yarana biləcək problemlərin aradan qaldırılması (mümkünsə) və OPNsense firewall-nun özünəməxsus xüsusiyyətlərinin istifadəsindən ibarətdir. Nəzərinizə çatdırmaq istəyirəm ki, istifadə olunan ekran görüntüləri Code Academy tədris mərkəzində mənə Saleh Hacıyev tərəfindən keçilən dərslərin video qeydlərindən götürülmüşdür, bu səbəbdən bəzi konfiqurasiyalar sizə qəribə gələ bilər. Lazımi yerlərdə quraşdıran şəxsin öz mühitinə uyğun təyin etməli olduğu seçimlər vurğulanacaq. Həmçinin firewall praktikası etmək istəyənlər üçün də bu dokumentasiyanın faydalı olacağına inanıram.


Gəlin ilk olaraq firewall nədir, OPNsense firewall-u bizə nə fərqliliklər vəd edir bunlara nəzər salaq:

Firewall nədir?

Firewall – kompüter şəbəkələrində təhlükəsizliyi təmin edən əsas qoruma vasitəsidir. Bu cihaz və ya proqram təminatı şəbəkə trafikinə nəzarət edərək, sistemlər arasındakı məlumat mübadiləsini tənzimləyir və qeyri-qanuni girişləri bloklayır. Əsas məqsədi, icazəsiz istifadəçilərin, zərərli proqramların və kənar təhlükələrin şəbəkəyə daxil olmasının qarşısını almaqdır. Firewall, verilən qaydalara əsasən, trafik axınını nəzarətdə saxlayır və zərərli məlumatları bloklayaraq təhlükəsizliyə ciddi töhfə verir. Mütərəqqi bir təhlükəsizlik səviyyəsinə nail olmaq üçün firewall-lar həm fərdi istifadəçilər, həm də korporativ mühitlərdə geniş istifadə olunur.

OPNsense nədir?

OPNsense, açıq mənbə kodlu firewall və router əməliyyat sistemidir və təhlükəsizlik tələblərinə cavab verən xüsusi modullarla təchiz olunmuşdur. FreeBSD əməliyyat sistemi üzərində inkişaf etdirilən bu platforma, yüksək səviyyəli təhlükəsizlik, performans və istifadə rahatlığı təklif edir. OPNsense həm texniki mütəxəssislər, həm də orta səviyyəli istifadəçilər üçün istifadəçi dostu bir həll təqdim edir və şəbəkə idarəçiliyində kompleks funksionallıqları dəstəkləyir. PfSense kimi oxşar məhsullardan fərqli olaraq, OPNsense həm arxitektura, həm də istifadəçi interfeysində bəzi fərqliliklərə malikdir və təhlükəsizlik ilə bağlı innovativ həlləri özündə cəmləşdirir.

OPNsense-nin üstünlükləri

  1. İstifadəçi dostu interfeys: OPNsense, xüsusilə idarəetmə və konfiqurasiya üçün inkişaf etdirilmiş müasir və intuitiv bir veb interfeys təklif edir. Bu, firewall parametrlərinin daha tez və effektiv şəkildə qurulmasını mümkün edir, istər yeni başlayan, istərsə də təcrübəli istifadəçilər üçün əlverişli idarəetmə mühiti yaradır.
  2. Daim yenilənən təhlükəsizlik təminatı: OPNsense, təhlükəsizlik yenilikləri və təkmilləşdirmələr ilə müntəzəm olaraq yenilənir. Bu aktiv yeniləmə siyasəti sayəsində OPNsense, ən son təhlükəsizlik tələblərinə cavab verərək, potensial riskləri minimallaşdırır və şəbəkənin hər zaman qorunduğundan əmin olmağa imkan yaradır.
  3. Çoxşaxəli modullar və genişlənə bilən arxitektura: OPNsense, geniş plugin dəstəyi ilə konfiqurasiya olunabilən və fərdiləşdirilə bilən bir sistemdir. VPN xidmətləri, proxy server, yükləmə balanslaşdırılması, trafik analizi və daha bir çox xüsusiyyətlərlə genişlənərək, hər bir təşkilatın spesifik tələblərinə uyğunlaşdırıla bilir.
  4. Açıq mənbə və lisenziyasız istifadə: Açıq mənbə kodlu olması OPNsense-nin həm maliyyət effektivliyini artırır, həm də geniş inkişafçı icması tərəfindən dəstəklənməsinə şərait yaradır. Bu, kiçik və orta müəssisələr üçün maliyyətləri minimuma endirərək yüksək keyfiyyətli təhlükəsizlik həllərindən yararlanmaq imkanı təqdim edir.
  5. Yüksək performans və stabil işləmə: FreeBSD əsaslı arxitektura və optimallaşdırılmış texnoloji imkanlar sayəsində OPNsense yüksək performans və sabitlik təmin edir. Bu sistem şəbəkə trafiki idarəçiliyi və resurs istifadəsi baxımından yüksək effektivlik göstərir, beləliklə şəbəkə infrastrukturunda minimal fasilələrlə yüksək sürət təmin edir.

İndi isə virtual mühitə quraşdırılma mərhələsinə keçək:
Minimum resurs tələblərimiz aşağıdakı kimidir:

Problem yaşamamaq üçün virtual maşınımızı da recommended özəlliklərlə yaradaq.

İlk mərhələmiz firewall-un iso faylını müvafiq saytdan yükləmək olacaq.

ISO faylını yüklədikdən sonra tövsiyə olunan vm (virtual machine) parametrləri ilə quraşdırmanı edirik,ardından isə öz mühitimizdə istifadə edəcəyimiz interfeysləri editləyirik.Hansı ki, vm yaradarkən əlavə etmişdik. 

Real mühiti virtualda simulasiya etdiyimiz üçün WAN interfeysini NAT adapterə qoşub realda ISP (Internet Service Provider)-dən gələn xətt kimi düşünəcəyik. LAN interfeysimiz isə serverlərimiz olacaq.

Host-only adapter təyin edən zaman dhcp özəlliyini bağlayırıq çünki sonradan firewall daxilində IP paylayacayıq.

Konfiqurasiya zamanı siz istədiyiniz şəbəkə tənzimləməsini edə bilərsiz, mən yuxarıdakı IP-ləri təyin etdim və WAN interfeysinə bir növ public IP-miz kimi yanaşacayıq lakin lokal mühit çərçivəsində.

Bir digər nüans isə upstream gateway-dır. Bunu internetə access üçün müraciət etdiyimiz ISP interfeysi kimi düşünə bilərik, öz mühitimizdə bu ünvanı Vmware-də NAT adapterinin parametrləri daxilində görə bilərik.

Mühitdə istifadə etdiyimiz bütün adapterlər firewall-a interfeys kimi təyin edilməlidir.

Bütün saydıqlarımız tamamdırsa maşını işə salaq. Yuxarıdakı kimi boot ekranı açılacaq.

İlk dəfə konfigurasiya edərkən installer user-i ilə daxil oluruq, root-la etdiyimiz dəyişikliklərin geri dönüşü çətin olduğu üçün ilkin quraşdırılma zamanı installer girişi məsləhətlidir. 

Şifrə dokumentasiya hazırlanan zaman “opnsense” idi rəsmi saytdakı quraşdırılma dokumentasiyasında yenilənmiş məlumatlar mövcuddur. 

Məlumatları daxil edib giriş edirik.

Default-u seçirik, istəsəniz dəyişə bilərsiniz. Bu mərhələlərin demək olar ki, hamısında default credential-lar ilə davam edəcəyik. Lazımi yerlərdə fərqli dəyişiklik lazımdırsa qeyd edəcəyəm. Əgər qeyd etməmişəmsə, onda default parametrləri seçin.

Burada space düyməsini sıxırıq, * simvolunu işarələnən hissəyə daxil olduqdan sonra davam edə bilərik.

Sistemə yeni disk əlavə etdiyimiz üçün disk məlumatlarının silinməsi problem deyil, YES-i seçirik.

Sistemin disk üzərinə yazılmasını gözləyirik. Bu biraz vaxt ala bilər.

İstəsək root şifrəsini dəyişə bilərik (sizdən asılıdır), Complete Install seçimini ilə isə sistem reboot olunacaq və quraşdırmamız bitmiş olacaq.

Capture12

Açılan bu hissə düzgün quraşdırılma etdikdə görməli olduğumuz hissədi.

Capture11

Təyin olunan adreslər səhv (avtomatik) təyin olunub sonradan dəyişəcəyik.

Capture20

Virtualda simulasiya etmək istədiyimiz mühit budur, sxem ilə də daha aydın bir təəssürat əldə edə bilərsiz.

1 seçimi ilə maşına bağladığımız interfeysləri və adreslərini təyin edirik.

Sıralama vmware-də bu menyuda görünən kimidir, lakin əmin olmaq üçün adapterlərin advanced seçimi ilə gördüyümüz MAC adresləri maşındakı adreslərlə uyğunlaşdıra bilərik.

NAT(em0) adapterim WAN interfeysinə, serverlər üçün təyin etdiyim Host-only adapterim(em1) LAN interfeysinə, digər host only adapterlərimi (em2, em3) isə sırasını yadda saxlamaq şərti ilə  OPT1, OPT2 kimi başlanğıcı em olan interfeys adını yazıb enter-ə basaraq qeyd edirəm. Biz OPT1-i client-lər üçün seçəcəyik , OPT2-i isə sonradan lazım ola bilər deyə əlavə edəcəyik.

Planlaşdırdığımız kimidirsə y yazıb enter-ə basırıq.

 İndi isə əlavə etdiyimiz interfeysləri konfiqurasiya edək. 2 yazıb enter-ə basırıq.

WAN interfeysi ilə başlayaq, seçmək istədiyimiz interfeysin qarşısındakı ədədi yazıb enter-ə basırıq.

  1. İlk bu interfeysi DHCP kimi istifadə edib etmək istəmədiyimizi soruşur, bu ssenaridə etmirik.
  2. İnterfeysin IP-si
  3. Şəbəkənin maskası, biz 24 seçmişik siz dəyişə bilərsiniz.
  4. Bayaq vurğuladığımız upstream gateway.
  5. İnterfeysdən DNS kimi edib etmək istəmədiyimizi soruşur, bu ssenaridə tətbiq etmirik.
  6. Əvvəlki seçimdə yox seçdiyimiz üçün qlobal DNS server təyin edirik. 

Bu hissə veb interfeys hissəsidir 3 seçimi də default-da saxlayırıq, N yazaraq.
niyə bayaq n yazırdıq indi isə N kimi bir sual yarana bilər, əsaslı olmasa da bəzən kiçin n yazdıq da seçim qəbul olunmaya bilir. Bir dəfə rastlaşmışam bu halla , spesifik istisna olduğu üçün qeyd etmək istədim. Bu hal sadəcə bu 3 seçim üçün keçərlidir və siz belə situasiya ilə qarşılaşmaya da bilərsiz.

Digər bütün interfeyslər də WAN interfeysi kimi konfiqurasiya olunacaq. Tək fərq upstream gateway-dır ki, yalnız WAN interfeysi üçün təyin olunacaq digər bütün interfeyslərdə sadəcə enter-ə basılaraq boş buraxılacaq.

Hər şeyi düzgün quraşdırmışıqsa LAN interfeysinin adresini brauzerimizə daxil etdikdə giriş paneli bizi qarşılamalıdır. Məlumatlarımızı daxil edib daxil oluruq.

Quraşdırılma wizard-ını bitirdikdən sonra menyumuz bizi qarşılayır. Wizard hissəsində next seçimləri ilə ilərləyə bilərik çünki, demək olar ki, əvvəlki addımlarda etdiyimiz seçimlərin təsdiqləyən bir köməkçidir wizard. 

Burada istəsək monitorinq üçün dashboard-a əlavə panellər qoşa bilərik.

Qarşımızdakı paneldən update-lər hissəsinə daxil olub sistemi yeniləyirik, istəsək system menyusundan da firmware hissəsindən daxil ola bilərik.

Yeni istifadəçi daxil edək.

Bu istifadəçi ilə sistem konfiqurasiyası etmək üçün də giriş edəcəyik deyə shell (/bin/sh) girişinə icazə veririk və admin səlahiyyətləti veririk (group hissəsində admin seçiminə klikləyib sağa ötürmə düyməsinə klikləyirik).

Hal hazırda autentikasiya serverini local olaraq seçirik (otp quraşdıran zaman dəyişəcəyik), edəcəyimiz konfiqurasiyaların rahatlığı üçün də sudo tələb edən yerlərdə admin qrupundakı istifadəçilərdən şifrə istəməmə seçimini edirik. Öz mühitinizi daha da təhlükəsiz etmək üçün bu fərqli seçim edə bilərsiz. 

Veb interfeysimizin port nömrəsini dəyişirik, http redirect seçimini də aktivləşdiririk ki, spesifik port nömrəsini bilmədən heç kim veb panelə yönləndirilməsin. Log-ları da aktivləşdiririk ki, sonradan izləyə bilək.

SSh bağlantısını da aktivləşdirib şifrə ilə girişə icazə veririk, default port nömrəsini dəyişirik, LAN interfeysini də dinləməyə alırıq ki, girişlər LAN şəbəkəsi üzərindən edilsin.

Artıq root girişini bağlaya bilərik ki, avtomatikləşdirilmiş ataklardan biraz daha yayına bilək.

İndi isə TOTP (Time-based one-time password) quraşdıraq.
Tip olaraq totp seçirik local-la birlikdə. Token uzunluğunu 6 və ya 8 seçə bilərik, Reverse token order isə əvvəl istifadəçi şifrəmizi, daha sonra tokeni daxil edərək giriş əldə etməmizə yarayır, sizdən asılı seçimdir.

Capture34

Birinci dəfə totp quraşdırırıqsa, QR kod yaranmış olmayacaq ona görədə OTP seed hissəsində generate new secret seçimini klikləyirik, save and go back deyirik, yenidən access menyusunda user parametrlərinə daxil olduqda artıq QR kodumuz yaranmış olacaq. Google authenticator kimi autentikasiya proqramlarından istifadə edib QR kodu skan edirik və proqramımızda 40 saniyədən bir yenilənən token görünməyə başlayacaq.

Programda şəkildəkinə bənzər kod  görməliyik.

Bu seçim artıq girişi yalnız TOTP ilə etməyə yarayır, burada sadəcə TOTP olan serveri seçməliyik. 

Bu seçimin yadda saxlanılıb sistemdən logout edilməsi Access başlığı altındakı tester-də öz giriş məlumatlarımızı yoxladıqdan sonra tövsiyə olunur. Səhv konfigurasiya varsa giriş imkanını itirə bilərik.

İsifadəçi adı, adi şifrəmiz + token. Məsələn deyək ki şifrəmiz 8-dir, tokenimiz isə 123456, deməli şifrə hissəsinə 8123456 yazmalıyıq əgər konfiqurasiyalar da reverse token order seçmişiksə. Seçməmişik sə, 1234568.


burada sistemdə etdiyimiz bütün dəyişikliklər qeyd olunur.


Sistem backup-zın nə qədər vaxt döngüsündən bir alınacağını, neçə ədəd alınacağını seçə bilərik, həmçinin backup faylı götürə və sistemi ya bütöv ya da müəyyən “area”-lara görə restore edə bilərik.

Interfaces hissəsində interfeyslərimizə açıqlama verib xüsusiləşdirə və ya IP adres konfiqurasiyası kimi parametrləri editləyə bilərik.

Xatırlayırsınızsa Firewall-ı quraşdırarkən clients-lər üçün interfeys ayırmışdıq amma adres təyin etməmişdik, onu static IP seçimi ilə buradan edəcəyik.

Packet capture özəlliyi ilə də müəyyən interfeysin trafikini izləyə bilərik, gəlin serverlərimizin (LAN) trafikini izləyək.

View capture seçiminə klikləyib bəsit trafikimizə baxırıq, ətraflı analiz kimi seçimlər də var. Daha çox detal görmək istəyirsinizsə bu seçimləri də edə bilərsiz.

Hazırda isə default NAT parametrlərini görürsünüz, bütün interfeyslərimizin public (şərti olaraq public deyirəm, WAN interfeysinin IP-sinə çevrilmə baş verir) IP-yə çevrilməsinə access var.

Bu isə Mode hissəsində manual seçimi edib konfigurasiya etdiyimiz vəziyyət. Əhəmmiyyətli konfigurasiyadır çünki, local-dakı adresim public adresə çevrilməsə qlobal informasiya mübadiləsi reallaşdıra bilməyəcəyik.

Burada isə biz clients interfeysinə DHCP konfiqurasiyası tətbiq edəcəyik. Statik IP verdiyimizdən bir daha əmin oluruq.

Daha sonra servislər bölməsindən clients interfeysimizə gəlib DHCP serverini aktivləşdiririk. Qlobal Dns server, paylamaq istədiyimiz adres aralığını qeyd edirik və gateway olaraq da firewall-zu (10.10.11.2) təyin edirik.

Gəldik firewall-u firewall edən funksiyasına: RULES


Firewall qaydaları (rules) şəbəkədə təhlükəsizliyi təmin etmək üçün trafikin hansı növlərinin hansı şərtlərdə keçəcəyinə və ya bloklanacağına qərar verən qaydalardır. Firewall qaydaları şəbəkə təhlükəsizliyi strategiyasının əsasını təşkil edir və giriş (inbound) və çıxış (outbound) trafikinə nəzarət edir.

Firewall qaydalarının prioriteti və üstünlük dərəcəsi

Firewall qaydaları yuxarıdan aşağıya doğru oxunur və tətbiq edilir. Ən yuxarıdakı qaydalar daha yüksək prioritetə malikdir.

Qaydalar bir-birinin üzərinə təsir göstərə bilər, yəni ilk tətbiq edilən qayda ilə uyğun gələn trafik digər qaydalara keçmədən həmin qaydaya uyğun olaraq icra edilir. Bu, “first match” prinsipi adlanır.

Məsələn, yuxarıdakı qayda trafikinə icazə verirsə və həmin trafik ilk qaydaya uyğun gəlirsə, aşağıdakı qaydalar tətbiq olunmur.

OPNsense firewall-da qaydaların növləri və simvollar

Pass (Yaşıl ox): Trafikə icazə verilir, yəni qayda ilə uyğun gələn trafik firewall-dan keçir.

Block (Qırmızı çarpaz): Trafik bloklanır və hədəfə çatmadan firewall tərəfindən dayandırılır.

Reject (Qırmızı çarpaz, lakin fərqli): Trafik rədd edilir, lakin mənbəyə trafikinin rədd edildiyi barədə bildiriş göndərilir.

Disabled (Pass və ya Block üçün qara xətt): Qaydalar deaktiv edilib və hazırda təsirli deyillər, yəni həmin qayda icra edilmir.

Log: Qaydaya uyğun gələn trafik qeydə alınır. Bu, trafikin izlənməsi üçün faydalıdır və gələcəkdə analiz üçün log fayllarında saxlanılır.

Avtomatik yaradılmış qaydalar

Bəzi firewall-lar, o cümlədən OPNsense, müəyyən xidmətlər və ya interfeyslər üçün avtomatik olaraq qaydalar yarada bilir.

Avtomatik qaydalar tez-tez sistemin müəyyən təhlükəsizlik tələblərini və ya interfeys əlaqələrini təmin etmək üçün standart olaraq qurulur. 

Şəkildə görülənlərin izahı

Şəkildə OPNsense-də CLIENTS şəbəkəsinə aid olan bir neçə qayda görülür:

Birinci qayda (Pass): Müştərilərin (CLIENTS net) RDP (rdppp portu) ilə JUMPSERVERS net şəbəkəsinə qoşulmasına icazə verir.

İkinci qayda (Block): CLIENTS şəbəkəsindən JUMPSERVERS-ə gedən bütün trafiki bloklayır.

Üçüncü qayda (Block): CLIENTS şəbəkəsindən firewall-a gedən trafiki bloklayır.

Dördüncü qayda (Pass): CLIENTS şəbəkəsindən hər hansı bir yerə gedən bütün trafiki icazə verir.

Bu qaydalar müəyyən traffic baş verdikdə yuxarıdan aşağıya doğru oxunur və birinci uyğun qayda tapıldıqda, aşağıdakı qaydalar yoxlanılmır. Biz burada CLIENTS interfeysinin, firewall idarəetmə panelinə, RDP protokolu ilə olmayan JUMPSERVERS-ə yönələn trafikə blok qoymuş və digər bütün adreslərə bütün protokollarla istənilən zamanda yönələn trafiklərə icazə vermişik. Rule yazmaq heç də çətin deyil rule-lar hissəsində + a klik edib mənim verdiyim nümunə ilə şəkli uyğunlaşdırıb qayda yarada və ya mövcudları edit edə bilərsiz. Pass block kimi ifadələri bildirən simvolların üstünə klik edərək də qaydaları aktiv və ya deaktiv edə bilərsiniz.

OPNsense Aliases, firewall qaydalarını daha çevik, oxunaqlı və idarəolunan etmək üçün istifadə olunan qruplaşdırma mexanizmidir. Aliases sayəsində IP ünvanları, portlar və domen adları kimi obyektləri bir ad altında birləşdirərək, qaydaların tərtib olunması və idarə edilməsi xeyli sadələşir.

Alias Növləri:

IP Aliases: Müxtəlif IP ünvanlarını bir qrupda birləşdirir.

Port Aliases: Müxtəlif portları bir ad altında toplayır.

FQDN Aliases: Domen adlarını bir alias altında birləşdirir, DNS əsaslı qaydalar üçün faydalıdır.

Firewall qaydalarında Source və ya Destination kimi sahələrdə aliaslar istifadə edilərək daha çevik və asan idarə olunan firewall qaydaları tərtib olunur. Bu, qaydaların idarəsini sadələşdirir və səmərəliliyi artırır.

Zenarmor (əvvəllər Sensei kimi tanınan) bir OPNsense pluginidir və şəbəkə təhlükəsizliyini artırmaq üçün istifadə olunur. Zenarmor, şəbəkə üzərində detallı monitorinq və qabaqcıl filtrasiya imkanları təklif edir. Policy (Siyasət) Zenarmor-da xüsusi trafik axınını idarə etmək, təhdidlərdən qorunmaq və istifadəçilərin fəaliyyətini izləmək üçün təyin edilən qaydalardır.

1. OPNsense üçün ZENARMOR-u quraşdırmaq

ZenoArmor təhlükəsizlik təhdidlərini aşkar etmək və bloklamaq üçün istifadə olunan bir proqramdır. OPNsense-də ZenoArmor-u quraşdırmaq üçün aşağıdakı addımları izləyin:

Pluginləri yükləmək üçün Sistem konfiqurasiyası:

Menyudan System > Firmware seçin.

Plugins tabını seçin.

ZENARMOR pluginini tapın. Axtarış bölməsində “ZENARMOR” yaza bilərsiniz (axtarışı sistemə yenə firmware hissəsinən update-ləri tamamladıqdan sonra edin ki, ən son plugin axtarış edərkən görünsün).

+ simvoluna klik edərək plugin-ləri sistemə əlavə edin. Cloud üçün olan plugin-i enterprise (ödənişli) iş görməyəcəksinizsə əlavə etməsəniz də olar.

ZENARMOR-u aktivləşdirmək:

Plugin quraşdırıldıqdan sonra, Services > ZENARMOR bölməsinə gedin.

1-ci hissə welcome hissəsidir, şərtləri qəbul edib keçin.

Növbəti addımda databaza seçməniz istənir, biz SQLite seçdik. Daha sonra NEXT.

İndi isə ZENARMOR-un hansı mühitlərə tətbiq olunacağını seçirik, WAN interfeysindən başqa qorumaq istədiyimiz interfeysləri seçirik, sağ tərəfdə isə security zone olaraq lan seçirik.

Son mərhələdə 15 günlük sınaq istifadəsi ZENARMOR-da daha əvvəl qeydiyyatdan keçmədiyimiz email-i qeyd etməliyik. Daha sonra həmin email-imizə açar göndəriləcək, səbirli olun biraz gec gələ bilər. o açarı paneldə qeyd edilən yerə ‘copy-paste’ edirik. Təsdiqlənmə olduqdan sonra, OPNsense panelimizdə ZENARMOR başlığı əlavə olunacaq.

Zenarmor Policy-ləri və İstifadəsi

Zenarmor-da Policy-lər aşağıdakı məqsədlərlə tətbiq oluna bilər:

  1. Trafik Nəzarəti: Şəbəkə üzərində hansı trafikin keçəcəyini və hansı trafikin bloklanacağını təyin etmək üçün istifadə olunur. Məsələn, iş yerində sosial media və ya video axını bloklanaraq işçilərin yalnız işlə bağlı saytlara girişinə icazə verə bilərsiniz.
  2. Təhlükəsizlik Siyasətləri: Daxili və xarici təhdidlərə qarşı qoruma təmin edir. Məsələn, virus, malware (zərərverici proqram təminatı), phishing (məlumat oğurluğu) saytları kimi təhlükəli resursları bloklamaq üçün siyasətlər yarada bilərsiniz.
  3. URL və Kateqoriya Filtrasyonu: Müəyyən URL-lərin və ya veb sayt kateqoriyalarının (məsələn, sosial media, oyun, pornografiya) bloklanmasını təmin edən siyasətlər təyin edə bilərsiniz. Bu xüsusilə təhsil və iş mühitlərində istifadə olunur.
  4. İstifadəçi və Qrup əsaslı nəzarət: Müxtəlif istifadəçi və ya qruplar üçün fərqli siyasətlər yaratmaq mümkündür. Məsələn, idarə heyəti üzvlərinə daha çox resursa giriş icazəsi verilib, digər işçilər üçün bəzi resurslar məhdudlaşdırıla bilər.
  5. Qabaqcıl Təhdidlərin Qarşısını Alma: Zenarmor, həmçinin DDoS hücumları, zərərverici proqram yayılması və şəbəkə boşluqlarının aradan qaldırılması üçün qabaqcıl təhdidlərin qarşısını almaq məqsədi ilə istifadə edilə bilər.

Zenarmor-da Policy Yaratma Adımları

  1. Zenarmor İdarəetmə Panelinə Giriş: OPNsense idarəetmə panelində Zenarmor pluginini tapın və onu açın.
  2. Policy Yaratmaq:
    • Policies (Siyasətlər) bölməsinə keçin və “Yeni Siyasət Yarat” (Create New Policy) seçimini edin.
    • Siyasət üçün bir ad təyin edin və onu aktiv vəziyyətə gətirin.
  3. Policy Şərtlərini Təyin Edin:
    • Məqsəd: Siyasətin hansı istifadəçilərə və ya qruplara tətbiq olunacağını seçin.
    • Şərtlər: Filtrasiya üçün istifadə olunacaq şərtləri seçin. Bu, URL, IP adres, və ya trafikin kateqoriyasına əsaslanaraq təyin edilə bilər.
    • Qadağalar və İcazələr: Müəyyən trafik növlərinin bloklanması və ya icazə verilməsi üçün parametrləri təyin edin.
  4. Monitorinq və İnformasiyaya Nəzarət:
    • Zenarmor-da siyasətləri tətbiq etdikdən sonra onun statistikasını izləyə və trafikin necə yönləndirildiyini yoxlaya bilərsiniz.
    • Hər siyasət üçün trafikin keçirilmə tezliyini, hansı URL-lərin bloklandığını və hansı istifadəçilərin bu siyasətə uyğun olmadığını görə bilərsiniz.
  5. Test və Tənzimləmə:
    • Siyasətləri aktiv etdikdən sonra test edin və nəticələri izləyin. Əgər siyasət gözlənildiyi kimi işləmir, konfiqurasiyanı tənzimləyərək optimallaşdıra bilərsiniz.

Bu addımlar vasitəsilə Zenarmor-da policy-lər yarada, tənzimləyə və idarə edə bilərsiniz.

Bu dokumentasiya vasitəsilə OPNsense firewall-un virtual mühitdə quraşdırılması, ilkin konfiqurasiya mərhələləri və əsas xüsusiyyətləri haqqında məlumat əldə etdiniz. Firewall sistemlərinin şəbəkə təhlükəsizliyində əhəmiyyətini və OPNsense-in necə istifadə olunmasını, modullarla genişlənmə imkanı və açıq mənbəli olmasının üstünlüklərini gördük. Təbii ki, ödənişli firewall həlləri bizə təhlükəsizlik baxımından daha geniş imkanlar tanıyır, lakin yenə də bu təlimatın firewall üzərində təcrübə əldə etmək istəyənlər üçün faydalı bir bələdçi olacağını düşünürəm. Firewall konfiqurasiyasında yaranan problemləri çevik həll edə bildiyiniz və öz mühitinizə uyğun fərdiləşdirmələr etdiyiniz halda, OPNsense vasitəsilə şəbəkənizin təhlükəsizliyini daha da möhkəmləndirə bilərsiniz.

ADNSU Fidan

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Articles

Qaçırmış Ola Bilərsiniz