Neler yeni

Yazılım Forum

Tüm özelliklerimize erişmek için şimdi bize katılın. Kayıt olduktan ve giriş yaptıktan sonra konu oluşturabilecek, mevcut konulara yanıt gönderebilecek, itibar kazanabilecek, özel mesajlaşmaya erişebilecek ve çok daha fazlasını yapabileceksiniz! Bu hizmetlerimiz ise tamamen ücretsiz ve kurallara uyulduğu sürece sınırsızdır, o zaman ne bekliyorsunuz? Hadi, sizde aramıza katılın!

Windows Server Güvenlik Duvarı Yapılandırması: Sunucunuzu Güvence Altına Alma Rehberi

Windows Server Güvenlik Duvarı: Kapsamlı Yapılandırma ve Sunucu Güvenliği

Günümüzün sürekli evrilen siber tehdit ortamında, sunucularınızın güvenliğini sağlamak kritik bir öneme sahiptir. Windows Server işletim sistemlerinde yerleşik olarak bulunan "Windows Defender Güvenlik Duvarı ve Gelişmiş Güvenlik" (önceki adıyla "Windows Güvenlik Duvarı"), ağ tabanlı saldırılara karşı ilk savunma hattınızdan biridir. Bu detaylı rehberde, Windows Server güvenlik duvarının etkin bir şekilde nasıl yapılandırılacağını, sunucunuzu dış tehditlerden korurken iç ağınızdaki iletişimi nasıl yöneteceğinizi adım adım inceleyeceğiz. Amacımız, sadece temel ayarları değil, aynı zamanda daha ileri düzey konuları ve en iyi uygulama yöntemlerini de kapsayan, kapsamlı bir başvuru kaynağı sunmaktır.

Güvenlik duvarı yapılandırması, sunucunuzun dış dünyaya açık olan portlarını kontrol altında tutarak, yalnızca izin verilen trafiğin içeri veya dışarı akışına olanak tanır. Yanlış yapılandırılmış bir güvenlik duvarı, sunucunuzu gereksiz risklere maruz bırakabilirken, doğru ve titiz bir yapılandırma, hem saldırı yüzeyini daraltır hem de olası güvenlik ihlallerinin önüne geçmede büyük rol oynar. Bu nedenle, her sunucu yöneticisinin veya sistem mühendisinin bu konuya hakim olması zorunluluktur.

Bu rehberde, güvenlik duvarı kurallarının oluşturulmasından, mevcut kuralların yönetimine, gelişmiş özelliklerin kullanımına ve sık karşılaşılan sorunların giderilmesine kadar birçok konuya değineceğiz. Özellikle least privilege (en az ayrıcalık) prensibini benimseyerek, sadece gerekli olan port ve protokollere izin vermek, sunucu güvenliğiniz için hayati bir adımdır.

Başlangıç Noktası: Güvenlik Duvarına Erişme

Windows Server'da güvenlik duvarı ayarlarınıza birden fazla yolla erişebilirsiniz:
  • Sunucu Yöneticisi (Server Manager): Dashboard üzerinden "Araçlar" (Tools) menüsü altındaki "Windows Defender Güvenlik Duvarı ve Gelişmiş Güvenlik" (Windows Defender Firewall with Advanced Security) seçeneğine tıklayarak.
  • Koştur (Run) Komutu: `wf.msc` yazıp Enter tuşuna basarak doğrudan Güvenlik Duvarı MMC (Microsoft Yönetim Konsolu) ekini açabilirsiniz. Bu, en sık kullanılan ve hızlı erişim yöntemlerinden biridir.
  • PowerShell Komutları: Otomasyon ve toplu işlemler için PowerShell, güvenlik duvarı yönetiminde son derece güçlü bir araçtır.

windows_server_firewall_interface_overview.png

Yukarıdaki görsel (temsili), Windows Defender Güvenlik Duvarı'nın ana arayüzünü ve temel bölümlerini göstermektedir. Bu arayüzde "Gelen Kurallar" (Inbound Rules), "Giden Kurallar" (Outbound Rules), "Bağlantı Güvenliği Kuralları" (Connection Security Rules) ve "İzleme" (Monitoring) gibi ana bölümler bulunur.

Güvenlik Duvarı Profilleri

Windows Güvenlik Duvarı, sunucunun bulunduğu ağ ortamına göre farklı profil ayarlarını otomatik olarak uygulayabilir. Bu profiller şunlardır:
  • Domain Profili (Etki Alanı Profili): Sunucu bir Active Directory etki alanına katıldığında ve etki alanı denetleyicisiyle iletişim kurabildiğinde otomatik olarak etkinleşir. Genellikle en güvenilir ortam olarak kabul edildiği için daha esnek kurallara sahip olabilir.
  • Private Profili (Özel Profil): Bir sunucunun bir ev veya küçük ofis ağı gibi özel bir ağa bağlı olduğu durumlarda etkinleşir. Bu ağlar genellikle etki alanına dahil değildir ancak kullanıcı tarafından "güvenilir" olarak işaretlenmiştir.
  • Public Profili (Ortak Profil): Sunucunun internet kafeler, havaalanları veya doğrudan internete bağlı olduğu durumlar gibi halka açık veya güvenilmeyen bir ağa bağlı olduğunu gösterir. Bu profil en kısıtlayıcı ayarlara sahiptir ve varsayılan olarak gelen bağlantıların çoğunu engeller. Sunucularınız genellikle bu profile maruz kalmamalıdır, ancak maruz kalması durumunda yüksek güvenlik önlemleri alınmalıdır.
Her profil için farklı kurallar tanımlanabilir, bu da ağ ortamınızdaki değişikliklere dinamik olarak uyum sağlamanıza olanak tanır.

Gelen ve Giden Kuralları Oluşturma ve Yönetme

Güvenlik duvarının temel işlevi, gelen (inbound) ve giden (outbound) bağlantıları kontrol etmektir.
  • Gelen Kurallar (Inbound Rules): Dışarıdan veya sunucuya iç ağdan yapılan bağlantı girişimlerini kontrol eder. Örneğin, bir web sunucusunda HTTP/HTTPS trafiğine izin vermek için gelen kural oluşturulmalıdır.
  • Giden Kurallar (Outbound Rules): Sunucudan dışarıya doğru yapılan bağlantıları kontrol eder. Nadiren kısıtlanır, ancak potansiyel kötü amaçlı yazılımların komuta-kontrol sunucularıyla iletişimini engellemek veya belirli hizmetlerin dışarıya bağlantısını kısıtlamak için kullanılabilir.

Yeni Bir Gelen Kuralı Oluşturma Adımları (MMC Konsolu Üzerinden):
1. `wf.msc` komutuyla veya Sunucu Yöneticisi üzerinden Güvenlik Duvarı konsolunu açın.
2. Sol bölmede Gelen Kurallar (Inbound Rules) seçeneğine tıklayın.
3. Sağ bölmede veya Eylem menüsünden Yeni Kural... (New Rule...) seçeneğini tıklayın.
4. Kural Oluşturma Sihirbazı başlayacaktır:
* Kural Türü (Rule Type):
* Program: Belirli bir uygulamayı çalıştırmaya izin verir.
* Port: Belirli bir TCP veya UDP portuna/portlarına izin verir. (En sık kullanılan)
* Ön Tanımlı (Predefined): Uzak Masaüstü, Dosya ve Yazıcı Paylaşımı gibi yaygın hizmetler için Microsoft tarafından önceden tanımlanmış kuralları seçmenizi sağlar.
* Özel (Custom): Daha ayrıntılı ve karmaşık kurallar oluşturmak için kullanılır.
* Protokol ve Portlar (Protocol and Ports): TCP veya UDP seçin ve belirli bir port numarasını (örn. 80, 443, 3389) veya port aralığını belirtin. Örneğin, RDP (Uzak Masaüstü Protokolü) için TCP 3389 kullanılır.
* Eylem (Action):
* Bağlantıya İzin Ver (Allow the connection): Trafiğe izin verir.
* Bağlantıya Güvenli Olması Halinde İzin Ver (Allow the connection if it is secure): IPsec kuralları ile eşleştirildiğinde izin verir.
* Bağlantıyı Engelle (Block the connection): Trafiği engeller.
* Profiller (Profiles): Kuralın hangi ağ profillerinde (Etki Alanı, Özel, Ortak) geçerli olacağını seçin. Sunucular için genellikle Etki Alanı veya Özel profil seçilir. Ortak profil genelde en kısıtlayıcı olmalıdır.
* Ad (Name): Kurala açıklayıcı bir ad verin (örn. "Web Sunucusu - HTTP Erişimi").
* Açıklama (Description): İsteğe bağlı olarak kuralın amacını açıklayan detaylar ekleyebilirsiniz. Bu, gelecekte kuralı anlamak veya sorun gidermek için çok önemlidir.

PowerShell ile Kural Oluşturma Örnekleri:

Kod:
# Uzak Masaüstü için gelen kural oluşturma (TCP 3389)
New-NetFirewallRule -DisplayName "Allow RDP Inbound" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 3389

# Web sunucusu için gelen HTTP (80) ve HTTPS (443) kuralları oluşturma
New-NetFirewallRule -DisplayName "Allow Web Server HTTP" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 80
New-NetFirewallRule -DisplayName "Allow Web Server HTTPS" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 443

# Belirli bir IP adresinden gelen SQL Server trafiğine izin verme (TCP 1433)
New-NetFirewallRule -DisplayName "Allow SQL from Specific IP" -Direction Inbound -Action Allow -Protocol TCP -LocalPort 1433 -RemoteAddress "192.168.1.100"

# Bir programın tüm ağ trafiğine izin verme
New-NetFirewallRule -DisplayName "Allow MyApp" -Direction Inbound -Action Allow -Program "C:\Program Files\MyApp\MyApp.exe"

Önemli Not: Güvenlik duvarı kurallarını oluştururken en az ayrıcalık (least privilege) prensibini uygulayın. Sadece kesinlikle gerekli olan portlara ve protokollere izin verin. Geniş port aralıklarından veya "herhangi bir port" seçeneğinden kaçının. Ayrıca, mümkünse Uzak IP Adresleri bölümünde sadece belirli IP adreslerine veya alt ağlara izin vererek saldırı yüzeyini daha da daraltın. Örneğin, bir veritabanı sunucusuna sadece uygulama sunucularından erişim izni vermek gibi.

Mevcut Kuralları Yönetme

Mevcut kuralları MMC konsolu üzerinden veya PowerShell ile yönetebilirsiniz:
  • Etkinleştirme/Devre Dışı Bırakma: Bir kuralı geçici olarak duraklatmak için sağ tıklayıp "Kuralı Devre Dışı Bırak" (Disable Rule) seçeneğini kullanın. Tekrar etkinleştirmek için "Kuralı Etkinleştir" (Enable Rule) seçeneğini kullanın.
  • Silme: Gereksiz kuralları kalıcı olarak kaldırmak için sağ tıklayıp "Sil" (Delete) seçeneğini kullanın.
  • Özellikler: Bir kuralın özelliklerini düzenlemek için sağ tıklayıp "Özellikler" (Properties) seçeneğini kullanın. Bu, kuralın adını, protokolünü, portlarını, eylemini, profillerini, kapsamını ve gelişmiş ayarlarını değiştirmenize olanak tanır.
  • Sıralama ve Filtreleme: Büyük kural listelerinde gezinmek için kuralları ada, türe, profile veya duruma göre sıralayabilir ve filtreleyebilirsiniz.

PowerShell ile Kural Yönetimi Örnekleri:

Kod:
# Tüm güvenlik duvarı kurallarını listeleme
Get-NetFirewallRule

# Belirli bir kuralı devre dışı bırakma
Disable-NetFirewallRule -DisplayName "Allow RDP Inbound"

# Belirli bir kuralı etkinleştirme
Enable-NetFirewallRule -DisplayName "Allow RDP Inbound"

# Belirli bir kuralı silme
Remove-NetFirewallRule -DisplayName "Allow RDP Inbound"

# Birden fazla kuralı ada göre silme (dikkatli kullanın!)
Get-NetFirewallRule -DisplayName "Allow MyApp*" | Remove-NetFirewallRule

Gelişmiş Güvenlik Duvarı Özellikleri

Windows Defender Güvenlik Duvarı sadece port tabanlı kurallarla sınırlı değildir. Daha gelişmiş yetenekler sunar:

  • Bağlantı Güvenliği Kuralları (Connection Security Rules - IPsec): İki bilgisayar arasındaki iletişimin şifrelenmesini ve kimlik doğrulamasını sağlar. Özellikle güvenilmeyen ağlar üzerinden hassas verilerin iletilmesi gerektiğinde veya ağ segmentasyonu amacıyla kullanılır. Sunucular arası güvenli iletişimi garanti altına almak için kritik bir özelliktir.
  • Güvenlik Duvarı Ayarları (Firewall Properties): Her bir profil (Domain, Private, Public) için ayrı ayrı varsayılan gelen ve giden davranışları (engelleme veya izin verme), günlük kaydı (logging) ayarlarını ve ağ arayüzlerini özelleştirebilirsiniz. Varsayılan olarak, gelen bağlantılar engellenir ve giden bağlantılara izin verilir. Bu genellikle güvenlik en iyi uygulaması olarak kabul edilir.
  • İzleme (Monitoring): Güvenlik duvarının etkinliğini izlemek, engellenen bağlantıları görmek ve kuralların doğru çalıştığını doğrulamak için önemlidir.

Güvenlik Duvarı Günlük Kaydı (Logging)

Güvenlik duvarı günlük kaydı, ağ trafiğini izlemek, şüpheli etkinlikleri tespit etmek ve sorunları gidermek için vazgeçilmez bir araçtır. Varsayılan olarak kapalıdır, ancak her profil için ayrı ayrı etkinleştirilebilir.

Günlük Kaydını Etkinleştirme Adımları:
1. Güvenlik Duvarı MMC konsolunu açın (`wf.msc`).
2. Sol bölmede "Windows Defender Güvenlik Duvarı ve Gelişmiş Güvenlik" kök düğümüne sağ tıklayın ve "Özellikler" (Properties) seçeneğini seçin.
3. Her bir profil (Etki Alanı, Özel, Ortak) sekmesine gidin.
4. "Günlük Kaydı" (Logging) bölümünde, "Başarılı bağlantıları kaydet" (Log successful connections) ve "Bırakılan paketleri kaydet" (Log dropped packets) seçeneklerini "Evet" (Yes) olarak ayarlayın.
5. Günlük dosyasının konumunu ve boyutunu da bu bölümden ayarlayabilirsiniz. Varsayılan konum genellikle `%SystemRoot%\System32\LogFiles\Firewall\pfirewall.log`'tur.
6. Değişiklikleri kaydetmek için "Uygula" ve "Tamam" düğmelerine tıklayın.

Günlük dosyalarını düzenli olarak incelemek, potansiyel güvenlik olaylarını veya hatalı yapılandırılmış kuralları ortaya çıkarmada yardımcı olacaktır. Özellikle reddedilen (dropped) paketler, bir saldırı girişiminin veya hatalı bir ağ yapılandırmasının göstergesi olabilir.

En İyi Uygulama Yöntemleri ve İpuçları

Etkin bir Windows Server güvenlik duvarı yapılandırması için aşağıdaki en iyi uygulama yöntemlerini göz önünde bulundurun:
  • Varsayılanı Engelle (Default Deny): Tüm profiller için varsayılan gelen bağlantı davranışını "Engelle" (Block) olarak tutun ve yalnızca kesinlikle gerekli olan trafiğe izin veren kurallar oluşturun. Bu, sıfır güven (zero trust) modelinin temelidir.
  • Açıklayıcı Kural Adları: Kurallarınıza, kuralın amacını, etkilediği hizmeti ve portu açıkça belirten adlar verin (örn. "SQL Server - TCP 1433 - Sadece Uygulama Sunucuları").
  • Minimum Ayrıcalık Kapsamı (Scope with Least Privilege): Mümkünse, kuralın geçerli olduğu uzak ve yerel IP adreslerini belirtin. Örneğin, RDP erişimini sadece belirli bir yönetim ağına veya yönetici iş istasyonlarına kısıtlayın.
  • Düzenli İnceleme ve Denetim (Regular Review and Audit): Güvenlik duvarı kurallarını periyodik olarak gözden geçirin. Artık kullanılmayan veya gereksiz kuralları silin. İş gereksinimleri değiştikçe kuralları güncelleyin.
  • Merkezi Yönetim (Centralized Management): Birden fazla sunucunuz varsa, Grup İlkesi (Group Policy) kullanarak güvenlik duvarı kurallarını merkezi olarak yönetmek hem tutarlılık sağlar hem de yönetim yükünü azaltır.
  • Belgeleme (Documentation): Tüm önemli güvenlik duvarı kurallarınızı ve bunların neden oluşturulduğunu belgeleyin. Bu, özellikle gelecekteki sorun giderme veya denetim süreçleri için çok değerlidir.
  • Test Etme (Testing): Yeni bir kural uyguladığınızda veya mevcut bir kuralı değiştirdiğinizde, beklenen trafiğin geçip geçmediğini ve engellenmesi gereken trafiğin engellendiğini test edin. Ağ tarayıcıları veya port denetleyicileri (örn. `telnet`, `nmap`) bu amaçla kullanılabilir.
  • Başarısız Oturum Açma Girişimlerini İzleme: Güvenlik duvarı günlükleri yanı sıra, sunucunuzdaki güvenlik olay günlüklerini (Event Viewer - Security Log) düzenli olarak kontrol edin. Özellikle 4625 (Oturum Açma Başarısızlığı) ve 5157 (Windows Filtreleme Platformu Bağlantıyı Engelledi) olaylarını incelemek, saldırı girişimleri hakkında bilgi sağlayabilir.

Sık Karşılaşılan Sorunlar ve Giderme İpuçları

* Bağlantı Sorunları: Bir uygulamanın veya hizmetin çalışmadığını fark ettiğinizde, ilk şüphelenilen yerlerden biri güvenlik duvarıdır.
* İlgili portun doğru kurala sahip olup olmadığını kontrol edin.
* Kuralın doğru profil için etkin olup olmadığını doğrulayın.
* Giden kuralın engellemediğinden emin olun (eğer uygulama dışarıya bağlanmaya çalışıyorsa).
* Geçici olarak güvenlik duvarını devre dışı bırakıp sorunun devam edip etmediğini kontrol edebilirsiniz (yalnızca test ortamında ve kısa süreliğine!).
* Performans Sorunları: Çok sayıda veya kötü yazılmış güvenlik duvarı kuralları performansı olumsuz etkileyebilir. Gereksiz kuralları temizleyin ve mümkün olduğunca spesifik kurallar kullanın.
* Günlük Kaydı Sorunları: Günlük dosyası dolduğunda veya yazma izinleri olmadığında günlük kaydı durabilir. Günlük dosyası konumunu ve boyutunu kontrol edin.

Önemli Not: Bir sunucudaki güvenlik duvarını devre dışı bırakmak, onu siber saldırılara karşı tamamen savunmasız bırakmak anlamına gelir. Bu, asla kalıcı bir çözüm olmamalıdır ve sadece geçici sorun giderme adımı olarak düşünülmelidir. Güvenlik duvarını devre dışı bıraktığınızda, sunucuyu izole ettiğinizden veya test ağında olduğunuzdan emin olun.

Sonuç

Windows Server güvenlik duvarı, sunucularınızın güvenliğini sağlamada ve ağ trafiğini kontrol etmede güçlü ve esnek bir araçtır. Bu rehberde açıklanan adımları ve en iyi uygulama yöntemlerini takip ederek, sunucularınızı potansiyel tehditlere karşı daha dirençli hale getirebilirsiniz. Unutmayın, güvenlik duvarı yapılandırması tek seferlik bir işlem değildir; sürekli gözden geçirme, güncelleme ve denetim gerektiren dinamik bir süreçtir. Doğru yapılandırılmış bir güvenlik duvarı, genel güvenlik stratejinizin temel taşlarından biridir ve dijital varlıklarınızı korumanıza yardımcı olur.

Microsoft Dokümantasyonu: Windows Defender Güvenlik Duvarı ve Gelişmiş Güvenlik
New-NetFirewallRule PowerShell Komutu
Windows Server'da Güvenlik Duvarı Yapılandırması İçin En İyi Uygulamalar
 
shape1
shape2
shape3
shape4
shape5
shape6
Üst

Bu web sitenin performansı Hazal Host tarafından sağlanmaktadır.

YazilimForum.com.tr internet sitesi, 5651 sayılı Kanun’un 2. maddesinin 1. fıkrasının (m) bendi ve aynı Kanun’un 5. maddesi kapsamında Yer Sağlayıcı konumundadır. Sitede yer alan içerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır.

YazilimForum.com.tr, kullanıcılar tarafından paylaşılan içeriklerin doğruluğunu, güncelliğini veya hukuka uygunluğunu garanti etmez ve içeriklerin kontrolü veya araştırılması ile yükümlü değildir. Kullanıcılar, paylaştıkları içeriklerden tamamen kendileri sorumludur.

Hukuka aykırı içerikleri fark ettiğinizde lütfen bize bildirin: lydexcoding@gmail.com

Sitemiz, kullanıcıların paylaştığı içerik ve bilgileri 6698 sayılı KVKK kapsamında işlemektedir. Kullanıcılar, kişisel verileriyle ilgili haklarını KVKK Politikası sayfasından inceleyebilir.

Sitede yer alan reklamlar veya üçüncü taraf bağlantılar için YazilimForum.com.tr herhangi bir sorumluluk kabul etmez.

Sitemizi kullanarak Forum Kuralları’nı kabul etmiş sayılırsınız.

DMCA.com Protection Status Copyrighted.com Registered & Protected