Merhaba,
Bir güvenlik duvarı kurulumu yaptınız, kurallarınızı yazdınız, port bazlı filtrelemenizi tamamladınız. Her şey çalışıyor. Peki ağınız gerçekten güvende mi?
2026 itibarıyla kurumsal ağlara yönelik saldırıların büyük çoğunluğu artık izin verilen portlar üzerinden geliyor. HTTP/HTTPS trafiği içine gizlenmiş zararlı yazılımlar, uygulama katmanında gerçekleşen saldırılar ve şifreli trafik içindeki tehditler, geleneksel güvenlik duvarlarının tamamen kör olduğu alanlarda faaliyet gösteriyor.
Bu yazıda geleneksel firewall mimarisinin neden yetersiz kaldığını, NGFW’nin ne getirdiğini ve kurumsal ortamda nasıl konumlandırılması gerektiğini teknik bir perspektiften ele alacağız.
Geleneksel Firewall: Güçlü Ama Kör
Klasik güvenlik duvarları OSI modelinin 3. ve 4. katmanlarında, yani IP ve port seviyesinde çalışır. Kaynak IP, hedef IP, port ve protokol bilgisine bakarak trafiğe izin verir ya da engeller. Bu yaklaşım 1990’larda son derece etkiliydi.
Ancak sorun şu: Günümüz saldırganları bu katmanlarda yakalanmıyor.
Örneğin port 443 (HTTPS) neredeyse her kurumsal ağda açık olmak zorunda. Geleneksel bir firewall bu porttan geçen trafiğin gerçek içeriğini analiz edemez. Bir saldırgan zararlı payload’ını HTTPS trafiği içine gömdüğünde, kural tabanlı bir güvenlik duvarı bunu göremez, göremediği için de engelleyemez.
Üstelik geleneksel güvenlik duvarı yöntemlerinin açıklarını kapatabilmek için kurumlar çok sayıda güvenlik cihazının maliyetine katlanmak durumunda kalıyor; her cihazın ayrı ayrı izlenmesi ve yönetilmesi gerektiğinden operasyonel iş yükü de artıyor.
NGFW Nedir ve Geleneksel Firewall’dan Ne Farkı Var?
NGFW, paket filtreleme, NAT, PAT, VPN, URL engelleme gibi geleneksel güvenlik duvarı özelliklerini bir araya getirirken bunlara ek olarak IPS, SSL/SSH denetimi, derin paket incelemesi, itibar tabanlı kötü amaçlı yazılım tespiti ve uygulama farkındalığı gibi yetenekleri OSI modelinin 4-7. katmanlarında sunuyor. Coinbase
Farkı somutlaştırmak gerekirse: Geleneksel bir firewall havalimanı pasaport kontrolü gibi çalışır — kimliğinize bakar, geçerli mi geçmez mi karar verir. NGFW ise hem kimliğinizi hem de valizinizin içini X-ray ile tarayan bir sistem gibi düşünülebilir.
NGFW’nin Temel Yetenekleri
1. Derin Paket İncelemesi (DPI) NGFW gelen ve giden ağ trafiğini derin paket inceleme teknolojisiyle analiz eder. Sadece paket başlıklarını değil içeriklerini de tarayarak potansiyel tehditleri gerçek zamanlı olarak tespit eder. FanTokens Bu sayede şifreli trafik içine gizlenmiş zararlı yazılımlar, komuta kontrol sunucularıyla iletişim kuran botlar ve veri sızıntısı girişimleri tespit edilebilir hale gelir.
2. Uygulama Farkındalığı (Application Awareness) Geleneksel firewall port 80’den geçen her trafiğe izin verir. NGFW ise bu trafiğin hangi uygulamaya ait olduğunu tespit eder. Örneğin:
Kural: Dropbox → Sadece "görüntüleme" izinli, "yükleme" engelli
Kural: WhatsApp Web → Tüm çalışanlar için engelli
Kural: Zoom → Sadece IT ve Yönetim gruplarına açıkBu seviyede granüler kontrol, geleneksel mimariyle mümkün değil.
3. Kimlik Tabanlı Politikalar (Identity-Based Security) NGFW’ler Active Directory veya LDAP gibi dizin servisleriyle entegre çalışarak kullanıcıların kimliğini doğrulayabilir ve kullanıcı rollerine göre uygulamalara veya kaynaklara belirli erişim hakları atayabilir. Investing.com Bu şu anlama gelir: Aynı IP adresinden gelen trafik, kullanıcının kim olduğuna göre farklı muamele görür. Muhasebe departmanı ile sistem yöneticisi aynı ağ segmentinde olsa bile tamamen farklı erişim politikalarına tabi tutulabilir.
4. Entegre IPS NGFW’lerdeki yerleşik IPS bileşeni, arabellek taşması, SQL injection ve XSS dahil bilinen saldırı kalıplarını tespit edip engellerken ağ trafiğini bu kalıplarla otomatik olarak ilişkilendirir. Investing.com Bu sayede güvenlik açıklarının istismar edilmesi ağa sızılmadan önce önlenebilir.
5. SSL/TLS Denetimi Günümüzde internet trafiğinin büyük çoğunluğu şifreli. Saldırganlar da bunu biliyor ve zararlı trafiklerini HTTPS içine saklıyor. NGFW, SSL trafiğini deşifre edip inceleyerek yeniden şifreleyebilir. Bu özellik olmadan ağınızın yarısına kör olursunuz.
6. Gelişmiş Tehdit Koruması (ATP) ve Sandbox NGFW’ler genellikle şüpheli dosyaları kontrollü bir ortamda izole eden ve analiz eden sandbox gibi gelişmiş tehdit koruma özelliklerini entegre eder. Bu, imzası henüz tanımlanmamış sıfır gün tehditlerinin tespit edilmesine yardımcı olur.
Kurumsal Konumlandırma: NGFW Nereye Yerleştirilmeli?
NGFW yalnızca internet çıkışına koymak yeterli değil. Olgun bir güvenlik mimarisinde şu noktalarda değerlendirilebilir:
Perimeter (İnternet Çıkışı): Dış dünyadan gelen tehditlere karşı birincil savunma hattı.
İç Segmentasyon: Kritik sunucu grupları, OT/SCADA ağları ve kullanıcı ağları arasına yerleştirilen NGFW, bir ihlal durumunda yanal hareketi (lateral movement) kısıtlar.
Veri Merkezi Önü: Hassas verileri barındıran sistemleri izole etmek ve bu sistemlere erişimi denetlemek için.
Uzak Erişim (VPN Entegrasyonu): Uzaktan çalışan kullanıcıların kimlik doğrulamasını ve erişim politikalarını merkezi olarak yönetmek için.
Piyasadaki Önemli Oyuncular
En yaygın NGFW markaları arasında Fortinet, Sophos, Cisco, Check Point, Palo Alto Networks ve Juniper yer alıyor. Price Prediction Seçim yaparken sadece fiyata değil şunlara dikkat edilmeli:
- DPI etkin throughput kapasitesi — Tüm güvenlik özellikleri açıkken gerçek performans değeri nedir?
- Lisans modeli — IPS, SSL inceleme, tehdit istihbaratı gibi özellikler için ek abonelik gerekiyor mu?
- Merkezi yönetim — Çok şubeli ortamlarda tek konsoldan yönetim mümkün mü?
- Destek ve güncelleme sıklığı — Tehdit imzaları ne sıklıkla güncelleniyor?
Kişisel tecrübeme göre Fortinet FortiGate performans/maliyet dengesi açısından kurumsal ortamlarda öne çıkıyor. Palo Alto ise en olgun uygulama zekası ve tehdit istihbaratı altyapısına sahip ancak lisans maliyeti yüksek.
KVKK ve ISO 27001 Açısından NGFW
NGFW çözümleri KVKK, ISO 27001 ve GDPR gibi yasal gerekliliklerle uyumluluğu artırıyor. FanTokens Düzenleyici kurumlar artık yalnızca “güvenlik duvarı var mı?” değil, “trafik uygulama katmanında denetleniyor mu, loglama yapılıyor mu, kimlik tabanlı erişim kontrolü uygulanıyor mu?” sorularını soruyor. Bu bağlamda NGFW bir tercih değil, uyumluluk zorunluluğu haline geliyor.
Bir sonraki yazıda Palo Alto ve Fortinet kural yönetimi üzerine pratik bir karşılaştırma yapacağız.
Görüşmek üzere.
— Eyyüp TURAN | www.eyupturan.com
