Ağ Güvenlik Çözümleri ve Firewallar

• NAT uygulaması: NAT uygulamasının özellikle büyük ağlarda makinayı oldukça yoracağı düşünüldüğünde, NAT işlevini yürütmek için ayrı bir sunucu ayırmak daha iyi olabilecektir.

• Üçüncü parti (Third party) Yazılımlarla İletişim: Anti-virüs veya içerik filtreleme gibi servisleri sunan cihazlarla iletişimin nasıl sağlandığı, hangi protokolün kullanıldığı (CVP veya benzerleri) ve işleyişindeki performans incelenmelidir.
renegadealien-www.tahribat.com-Her hakkı saklıdır.
• Saldırı Tespit Sistemleri(IDS): Saldırı tespiti sistemi, güvenlik duvarı cihazından ayrı bir cihazda çalışabilir. Ayrı bir sistem olarak çalıştığında iki çözümün entegre çalışabiliyor olması önemli bir tercih nedeni olmalıdır. IDS’de sistem yöneticisini saldırılardan haberdar etmek için kullanılan alarm yöntemleri ve alarm durumları ayarlanabiliyor olmalıdır.

• Log tutma ve raporlama: Güvenlik duvarının, kayıtların analizini sağlayacak ve gereksiz kayıtları temizleyerek daha öz sonuçlar sunacak servisler sunup sunmadığı araştırılmalıdır.

Performans:
    Güvenlik duvarı, kullanıcıların ağ üzerindeki iletişimini mümkün olduğunca az yavaşlatmalıdır. Bunun için sistemin hızlı çalışıyor olması gerekmektedir.

    Çözümün uygulanacağı ağda ne kadar reel veri akışı (throughput) olacağı, birim zamanda kaç kullanıcının internete çıkacağı ve kaç bağlantının (connection) oluşacağı hesaplanmalı veya tahmin edilmelidir. Bağlantı sayısı kullanılan programlara göre değişmektedir. Örneğin icq, imesh gibi programların birden fazla bağlantı kurduğu unutulmamalıdır. Güvenlik duvarında yazılacak kurallar ve verilen servisler arttıkça gereken işlemci gücü artacaktır. Aynı zamanda sisteme olacak bağlantı sayısı da hem işlemci hem de bellek harcayacaktır. Bu hizmetleri karşılayabilecek işlemciye ve belleğe sahip çözümlere gidilmelidir.

    Her geçen gün kurumların bandgenişliği büyüklüğü artmaktadır. Aslında performans azalmasına yol açan faktörün, güvenlik duvarı üzerinden geçen trafikten çok, bağlantıların durum tablolarının yönetimidir. B Sınıfı adresi büyüklüğünde (65,535 ayrı IP adresi) bir yükün güvenlik duvarının çökmesine yol açabileceği gözlenmiştir [10].

    Eğer işletim sistemi üzerinde çalışan bir çözüme gidilecekse; Sistem güçlü bir sunucu (server) üzerinde çalışmalı, mümkünse bu cihazın bir yedeği bulunmalıdır. Büyük bir kampüs ağı (>1000 bilgisayar) düşünüldüğünde en az iki işlemcili ve 2 Gigabyte belleğe sahip sunucu mimarisinde bir cihaz seçilmesi önümüzdeki birkaç sene için temel servislerin sunulmasını sağlayabilecektir. Bu cihazın yedeklemeli (redundant) birimleri olması sistemin daha güvenilir çalışmasını sağlayacaktır. Bu cihaz enerjiyi kesintisiz güç kaynağından (UPS) almalı, mümkün olduğu kadar bu cihaza fiziksel erişim kısıtlanmalıdır.

Ölçeklenebilirlik:
    Artan ihtiyaçlar da göz önünde bulundurularak, sistemin bir kaç senelik plan içinde yeni koşullara ayak uydurabilmesi için genişletilebilirlik özelliklerini destekleyip desteklemediği de incelenmelidir.

Kullanım ve Konfigürasyon Kolaylığı:
    Grafik arabirimlerle kuralların ve kuralların uygulanacağı objelerin tanımlanmasının kolaylığı, yapılacak işin daha hızlı olmasını sağlayacağından bir tercih konusu olabilmektedir.