Proxy, Firewall ve kurulumu

        Proxy - Vekil

    Proxy'nin kelime anlamı vekil'dir. Yukarıdaki metodların hepsi, belli kurallara bağlı olarak Internet'teki bir makina ile iç ağdaki bir makina arasında direkt alışverişe izin verir. Vekil uygulamaları ise, bu direkt alışverişin arasına girer. Dolayısıyla protokol bazlı herhangi bir saldırı, vekil sunucuya yönelik gerçekleşir, iç ağdaki makinayı etkilemez. Örneğin bir http (web) vekili, iç ağdan dışarıya giden bütün web isteklerini toplar. Bu istekleri kendisi yapar, gelen sonuçları iç ağa dağıtır. Örneğin eğer web protokolü yolu ile istemci makinanın bazı bilgilerinin alınması veya bir saldırı yapılması söz konusu olur ise, bundan etkilenen sadece web vekili makina olur, iç ağda web erişiminde bulunan her makina değil.

    Güvenlik amacı ile proxy kullanımı, application level firewall (uygulama temelli güvenlik duvarı) olarak adlandırılır.

        Vekillerin Başka Kullanımları:

• Güvenlik amaçlı - yukarıda bahsedilmiştir.
   
• İzin amaçlı - İç ağınızdan bazı servislere kimin erişebileceğini belirlemekte, izin politikası uygulamakta kullanılırlar.
   
• Performans amaçlı - Pek çok istemci aynı istekte bulunuyorsa, bunların bir defaya indirgenmesini sağlayarak hem sunucu makinanın üzerindeki yükü, hem de kullanılan bağlantı yükünü hafifletirler.

    Vekil sunucular, en fazla kullanılan örneği olan web vekili (squid) üzerinde daha detaylı olarak aşağıda anlatılmıştır.

        Sıfırdan, Genel Bir Linux Dağıtımı (Redhat) Kullanarak Güvenlik Duvarı Oluşturmak:

        Neden Kendi Güvenlik Duvarımızı Kurduk?

    Bizim Firma A.Ş.'de henüz hızlı bir Internet bağlantısı bulunmamaktadır. Sabit hattın kurulması beklenirken Internet erişimini başlatmak istedik. Bunu yaparken elde olan Equinox çoklu modem kartını kullanmak, ve karttaki modemlerden birisini Internet'e tahsis etmek istedik. Karttaki diğer modemler başka işler için kullanılacak. Bir modem ise dial-on-demand (gerektiği zaman çevir/bağlan) yöntemi ile Internet'e bağlantı sağlayacak.

    Bir modem ile sürekli olmayan bir bağlantı üzerinden ne kadar dış saldırı gelebileceği tartışılabilir. Fakat bu uygulamayı gelecek olan sürekli bağlantı için bir ön çalışma olarak kullandık. Üstelik, bir modemin bağlantısını paylaştırabilmek için NAT yapmamız, bu kadar düşük hızlı bir bağlantıda biraz daha iyi performans sağlamak için web vekili (squid) kullanmamız, ve ICQ vs. gibi iş için gerekli olmayan erişimleri engellememiz gerekmekte idi. Bu da zaten genel bir güvenlik duvarı oluşturmakta kullanılan bütün kavramları devreye soktu.

    Özel bir modem kartı kullanmamız, bu karttaki başka modemler üzerinde farklı hizmetler vermek istememiz ve Internet bağlantımız modem üzerinden olduğu için Astaro'yu kullanamadık.