‘Ağ Güvenlik Duvarı Sistemi’ aşağıda belirtilen güvenlik fonksiyonlarını ve teknolojilerini sağlamalıdır.
Güvenlik Duvarı (Firewall) ve
yönlendirme (Statik, politika bazlı (PBR) ve RIP, OSPF ve BGP gibi dinamik)
protokollerini desteklemelidir.
Bu yönlendirme protokollerini
sağlamak için lisans veya fazladan yazılım gerekiyorsa sağlanmış olmalıdır.
Uzak Erişim - IPSec VPN ve SSL
VPN Sonlandırma
SSL Şifreli Trafik Analizi
Uygulama Tanıma ve Kontrolü
(Application Control)
Saldırı Tespit ve Engelleme (IPS)
Anti-Bot denetimi
Virüs/Zararlı İçerik Kontrolü
(Anti-Malware)
Ayni üreticiye ait Bulut veya
Appliance Mimarili Sandbox teknolojilerine entegrasyon
URL Kategori Filtreleme
Bant genişliği yönetimi
Layer4 katmanında Yük dengeleyici
(load-balancer)
GENEL SİSTEM ÖZELLİKLERİ
Sistemin transparan (L2)
konumlandirilmasi halinde IPSec VPN ve SSL VPN özellikleri sanal güvenlik
duvarı özelliği ile aynı donanım üzerinde veya aynı üreticiye ait ayrı bir
donanımsal ürün ile sağlanabilir olmalıdır.
Ağ Güvenlik Duvarı
Sisteminin IPv6 desteği bulunmalıdır ve IPv4 ile IPv6 protokollerinin aynı anda
kullanımına izin veren dual-stack özelliği desteklenmelidir. IPv6 kapsamında en
az; IPv6 adresleme, IPv6 statik ve dinamik yönlendirme, IPv6 güvenlik kuralları
desteklenmelidir.
Ağ Güvenlik Duvarı Sisteminin
SNMP desteği olmalı ve SNMPv3 desteklemelidir. Harici SNMP sunucuları üzerinden
cihaz üzerinden geçen trafik, eş zamanlı oturum adedi, kaynak kullanımı (CPU,
RAM vb.) gibi parametreler geçmişe dönük izlenebilmeli ve çeşitli durumlara
ilişkin alarm (trap) alınabilmelidir. (Log sunucusuna erişimin gitmesi, ipsec
tünellerin düşmesi, sistemin yedek üniteye failover yapması, power supply
arızaları vb.. gibi)
Yönetici kullanıcılar farklı haklara sahip
olacak şekilde tanımlanabilmeli (Role Based Access Control) ve sanal sistem
kullanılması durumunda belirli sistem yöneticileri sadece belirli sanal
sistemleri yönetebilecek şekilde tanımlanabilmelidir.
URL filtreleme, uygulama denetimi
vb. denetimlerde kullanıcıya geri bildirim amaçlı kişiselleştirilebilir blok
sayfaları desteklenmelidir. Sanal sistem bazında farklı blok sayfaları (farklı
müşterilere veya farklı departmanlara vb. Yönelik) hazırlanabilmelidir.
Ağ Güvenlik Duvarı Sisteminde bulunan ağ
arayüzlerinin her biri; LAN, WAN, DMZ, veya kullanıcı tarafından
isimlendirilebilen segmentler olarak tanımlanabilmelidir. Sistem IEEE 802.1Q
VLAN desteklemeli ve tanımlanan VLAN’lar arayüz (interface) olarak
kullanılabilmelidir.
Ağ Güvenlik Duvarı Sistemi birden fazla/tipte
geniş ağ (WAN) bağlantısını desteklemelidir. Bu farklı WAN bağlantılarını
yedekli veya aktif-aktif kullanabilmek mümkün olmalıdır. Bu WAN linkler
üzerinden health-check tanımlarıyla daha uzak seviyelerdeki problemler tesbit
edilip, otomatik failover gerçekleştirilebilmelidir.
Ağ Güvenlik Duvarı Sistemi yönetim arayüzü
üzerinden belirlenen kriterlere göre akan trafikten wireshark formatında
capture alınabilmesi desteklenmelidir.
Paket analizini detaylandırabilen
ve adım adım gerçekleştirdiği işlevleri listeleyen (layer2, routing, firewall,
ips vb..) gelişmiş debug metodlarına sahip olmalıdır.
Yönetim arayüzü üzerinde aşağıda
listelenen anlık (Mbps) ve geçmişe dönük (MB) (son 1 güne kadar) grafiksel ve
ilişkilendirilebilir (drill-down) monitör ve analiz ekranları olmalıdır.Bu
monitör ekranları kolay analiz için kullanım verilerine göre (en çok veri çeken
uygulama vb.. gibi) düzenlenebilir olmalıdır.Daha eskiye yönelik analiz
ekranları aynı üreticiye ait harici log ve raporlama sistemi üzerinden
erişilebilir olmalıdır.
En aktif kullanıcılar (her
kullanıcı için uygulama, web erişimi, tehdit analizi vb..bilgilere derine inerek tek seferde
kolayca ulaşım)
En aktif uygulamalar (her uygulama
için kullanıcı bazlı detaylar, toplam veri miktarı vb..)
En aktif bulut uygulamaları
(facebook, dropbox, twitter vb..)
En aktif hedefler (IP ve Ülke
bazlı)
Cihaz portları üzerindeki trafik
analizi (WAN bağlantısında 50 Mbps trafik var bu trafiği yaratan kullanıcı,
uygulamalar vb.. detaylarının kolayca incelenebilmesi)
En aktif kullanılan politikalar
Dinamik Ağ topoloji bilgisi
(cihaz portlarına bağlı kullanıcı makinalarının grafiksel gösterimi)
Eş zamanlı oturum tablosu
detayları
Dinamik tehdit analiz ekrani
(toplam tehdit ve risk skorlarına göre ağdaki anormal aktivite gösteren
kullanıcı veya makinaların tesbiti)
Tehdit haritası (interaktif
coğrafi dünya haritası üzerinde)
Sistem üzerindeki olaylar
(fiziksel durum, cluster bildirimleri vb..)
Admin aktiviteleri (zaman dilimi
üzerine yayılmış veya tablo şeklinde)
Uzak erişim kullanıcılarının
aktiviteleri (sslvpn veya ipsec vpn)
Ağ Güvenlik Duvarı Sistemi
desteklediği tüm güvenlik fonksiyonlarının kural tabanlı istenen ve gereken
yerde (zone bazlı) devreye alınabilmesi mümkün olmalıdır.
Örneğin yüksek miktarda iç ağda
dolaşan backup trafiğine firewall (Layer4) seviyesinde analiz yaparken,
internete açık bir web sunucusuna ait kuralda sadece (firewall + IPS + ssl
inspection) devreye alabilmelidir. Ya da
kullanıcıların internete çıktıkları kurallarda firewall + IPS+ uygulama
denetimi + URL Filtreleme + SSL Inspection + Antimalware vb.. gibi korumaları
devreye alabilmelidir.
Sistemin opsiyonel olarak harici
DLP sistemleriyle ICAP protokolü üzerinden entegre olabilmelidir.
FIREWALL ÖZELLİKLERİ
Ağ Güvenlik Duvarı Sisteminin SPI (Stateful
Packet Inspection) Firewall özelliği olmalıdır. Oturum tablosundaki durum
bilgisi sayesinde oturumların devamı ve güvenlik denetiminin sürekli devrede
kalması mümkün olmalıdır. Bu özellik sorun giderme adımlarında geçici olarak
sanal sistem bazlı devre dışı bırakılabilmelidir.
Ağ Güvenlik Duvarı Sistemi
coğrafi veri tabanı bulunmalıdır. Ülke bazında kural yazılarak belirtilen ülke
veya ülkelerden gelen trafiği kesebilmeli veya izin verebilmelidir.
Ağ Güvenlik Duvarı Sistemi politika bazlı
routing (PBR) desteklemelidir. Bu sayede sadece hedefe göre değil, kaynak
ip/subnet, vlan, interface, hedef port veya hedef interface bazlı yönlendirme
tanımlanabilmelidir.
Ağ Güvenlik Duvarı Sistemi spoof edilmiş
paketleri tespit edip bloklayacaktır.
Ağ Güvenlik Duvarı Sistemi aynı üreticiye ait
veya harici SIEM çözümleriyle syslog/CEF gibi standartlar ile entegre
olabilmelidir.
KİMLİK DENETİMİ ÖZELLİKLERİ
Ağ Güvenlik Duvarı Sistemi kendi üzerinde
tanımlanan kullanıcı veritabanı, harici RADIUS ve LDAP sunucuları üzerinden
kimlik doğrulama ve yetkilendirme yapabilmelidir. SSLVPN, client-site IPSEC
VPN, internet erişimi gibi senaryolar için bu özellik kural bazlı devreye
alınabilmeli ve kullanıcı takibi (kullanıcı ismi, grubu, yarattığı trafik,
vb..) gibi detaylar GUI üzerinden gözlemlenebilmelidir.
Ağ Güvenlik Duvarı Sistemi birden fazla aktif
dizin ortamıyla entegre edilebilmelidir. Sanal sistem bazında bu yetkliendirme
tanımları ayrıştırılabilmelidir.
Aktif dizin entegrasyonu ağ
güvenlik duvarı üzerinden sorgu çekme yöntemiyle veya domain üyesi herhangi bir
sunucu üzerine kurulacak ajan yardımıyla gerçekleşebilmelidir. Sistemin temel
çalışmasında son kullanıcı makinalarına bir yazılım kurulması ihtiyacı
bulunmamalıdır.
Domain entegrasyonu sonucunda bir nedenden
(Windows ortamı vb..) firewall ile senkronize edilememiş kullanıcıların
firewall üzerinden geçerken anında tanınabilmesi için NTLMv2 gibi güvenli
alternatif yöntemler kullanılabilmelidir.
Ağ Güvenlik Duvarı Sistemi aktif dizin ile
entegre edildiğinde ip/subnet/vlan/zone bazlı tanımlamalara ek olarak kullanıcı
ve grup bazlı güvenlik politikaları yazılmasını desteklemelidir. Kullanıcı ve
grup tanımlamaları politika ekranından arkadaki aktif dizin üzerinden otomatik
filtrelenerek getirilen user, security group veya OU tanımları içerisinden
çoklu-seçim ile tek adımda gerçekleştirilebilmelidir. Bu sayede farklı
kullanıcı profillerine farklı güvenlik politikaları uygulanabilmelidir.
Ağ Güvenlik Duvarı Sistemi
üzerinde güvenlik politikaları ip/subnet, interface (fiziksel/VLAN), zone,
kullanıcı, grup (OU veya Security Group) haricinde cihaz tipi bazlı da
yazılabilmelidir. Windows, Linux, Android, Iphone vb.. gibi hazır tanımlı cihaz
kategoriler haricinde kişiselliştirilmiş cihaz tanımlamaları (el terminalleri,
printer vb..) yapılabilmelidir.
Filtreleme özelliği sayesinde
sadece ilgilenilen kullanıcı/grup/OU bilgilerinin firewall ile senkronize
edilebilmesi sağlanabilmelidir.
Yönetim arayüzü üzerinde monitör ekranlarından
direkt ilgili politikalara atlanabilmesi veya ilgili kaynak kullanıcının
otomatik karantinaya alınabilmelidir.
YEDEKLİLİK ÖZELLİKLERİ
Güvenlik Duvarı sistemleri
High-Availability için Aktif-Aktif ve Aktif-Pasif olarak çalışmayı
desteklemelidir. Aktif-Aktif çalışırken yük paylaşımı yapabilmelidir.
Cihazlardan birinin arızalanması durumunda, diğer cihaz tüm fonksiyonları
üstlenerek çalışmaya devam edebilmelidir.
Yedeklilik konfügrasyonunda cluster
ünitelerini ayrı ayrı monitör edebilmek için (SNMP vb..) istendiğinde iki
cihaza ayrı yönetim ip adresi verilebilmeli ve out-of-band management
kapsamında cihazın yönetimi ile akan trafik birbirinden soyutlanabilmelidir.
Yedeklilik konfügrasyonunda kritik interface
tanımı sayesinde failover gerçekleşmesi istenen bağlantıların
belirlenebilmelidir.
Yedeklilik konfügrasyonunda üniteler farklı
veri merkezlerinde yer aldığında sitelar arası ek yedeklilik için farklı veri
merkezlerindeki cluster grupları arasında VRRP ile iki cluster arasında
yedeklilik sağlanabilmelidir.
Ağ Güvenlik Duvarı
yedeklilik için kendi özel cluster protokolü haricinde VRRP veya dinamik
routing ile yedeklilik sağlama gibi alternatif yedeklilik senaryolarını da
desteklemelidir.
UZAK ERİŞİM ÖZELLİKLERİ (IPSEC ve
SSLVPN)
Ağ Güvenliği Duvarı Sistemi VPN Gateway olarak
IPSec VPN desteklemelidir. DES, 3DES, AES Kriptolama ile MD5 ve SHA-1
desteklemelidir. IKE v1 ve PKI desteği olmalıdır.
Ağ Güvenliği
Duvarı Sistemi üzerinde, Mobil Kullanıcıların Kurum kaynaklarına güvenli olarak
erişimini sağlayabilmek için, SSL VPN Gateway özelliği bulunmalıdır. SSL VPN
istemcisi en az Windows, Mac OS, Linux işletim sistemlerini ve IOS, Android
tabanlı mobil cihazları desteklemelidir. Varsa ilgili tüm lisanslar dahil
edilmelidir.
Ağ Güvenliği Duvarı Sistemi
SSLVPN ve IPSEC VPN tünelleri içerisinden TCP/UDP bazlı trafik
geçirilebilmelidir.
Ağ Güvenliği Duvarı Sistemi
farkli harici Aktif Dizin, LDAP veya Radius SSLVPN gruplarına farklı erişim
yetkileriyle farklı erişim portalleri sunabilmelidir.
SSL VPN ile erişim sağlayan
kullanıcı veya sistemleri için; SPI (stateful packet inspection), Saldırı
Tespit ve Engelleme Sistemi (IPS), Uygulama Tanıma ve Kontrolü (Application
Control) Sistemi, Virüs/Zararlı İçerik Kontrolü ve URL Kategori Filtreleme,
Bant Genişliği yönetimi (QoS) özellikleri grup bazlı farklı politikalar ile
uygulanabilir olmalıdır.
SSL VPN üzerinden erişen kullanıcılar, sistem
üzerinde tanımlı kullanıcı veritabanı, RADIUS, LDAP üzerinden kimlikleri
doğrulanabilmeli, yetkilendirilebilmeli ve bu yetkilendirme ile erişilebilecek
kurum içi ve dışı kaynaklar tanımlanabilmelidir.
Ağ Güvenliği Duvarı Sistemi
SSLVPN ile erişen Windows kullanıcıları için uzak uç denetimi (host checker)
özelliğini desteklemelidir. İstenmeyen yazılımlar, minimumda çalışması istenen
yazılımlar, registry değerleri vb.. gibi kişiselleştirilebilir ek
tanımlamalarla uzak erişim denetimi daha güvenli gerçekleştirilebilmelidir.
SSL ŞİFRELİ TRAFİK ANALİZİ
ÖZELLİKLERİ
Ağ Güvenlik Duvarı Sistemi
outbound (kullanıcıdan internete) SSL şifreli trafiğin analizi için müşteri
CA’in den alınan root CA sertifikasını, müşteri CA tarafından kendi adına
imzalanmış bir Sub-CA sertifikasını veya kendi üzerindeki default CA
sertifikasını kullanabilmelidir. CA opsiyonları kullanıldığında kullanıcı
makinalarına herhangi bir sertifika yüklenmesine gerek kalmamalıdır.
Ağ Güvenlik Duvarı Sistemi inbound
(internetten korunan sunucuya) SSL şifreli trafiği sunucu sertifikasının sistem
üzerine yüklenmesi durumunda, kullanıcı makinalarına herhangi bir sertifikaya
gerek kalmadan inceleyebilmelidir.
Ağ Güvenlik Duvarı Sistemi inbound
(internetten korunan sunucuya) ve outbound (kullanıcıdan internete) SSL şifreli
trafiği açarak, firewall, IPS, uygulama denetimi, URL filtreleme, antimalware
vb. gibi desteklediği güvenlik özelliklerini uygulayabilmelidir.
Ağ Güvenlik Duvarı Sistemi
güvenilir sertifika sağlayıcısının güncellenebilir listesini tutmalı ve güvenilmeyen
SSL sertifikalarının opsiyonel olarak bloklanmasına izin vermelidir.
Ağ Güvenlik Duvarı Sistemi güvenilir sertifika
sağlayıcısının güncellenebilir listesini tutmalı ve güvenilmeyen SSL
sertifikalarının opsiyonel olarak bloklanmasına izin vermelidir.
Ağ Güvenlik Duvarı Sistemi ip/subnet, VLAN,
domain/FQDN, URL veya URL kategorisi bazlı belirlenen trafiği outbound
(kullanıcıdan internete) SSL trafik analizinden muaf tutabilmelidir.
Ağ Güvenlik Duvarı Sistemi outbound
(kullanıcıdan internete) SSL şifreli trafiği analizi için kural bazlı farklı
sertifikalar kullanabilmelidir.
UYGULAMA DENETİMİ ÖZELLİKLERİ
Sistemin uygulama kontrol
özelliği bulunmalıdır. Sistem Mesajlaşma , P2P (Kazaa, Skype, bitTorrent,
eDonkey, Gnutella vb) ve Web uygulamalarına ait trafiği kullanılan porttan
bağımsız olarak tanıyabilmeli, kontrol edebilmeli ve engelleyebilmelidir.
Uygulama kontrolü kapsamında tanınan uygulamalar internet üzerinden güncelleme
servisi ile güncellenmelidir.
Ağ Güvenlik Duvarı Sistemi uygulama veya
kategori bazlı blok, reset, allow, log aksiyonlarını alabilmelidir.
Atak ve uygulama bazlı karantina aksiyonu
alabilmelidir.
Ağ Güvenlik Duvarı Sistemi
uygulama veya uygulama kategorisi bazlı bant genişliği yönetimi yapabilmelidir.
Ağ Güvenlik Duvarı Sistemi uygulama veya
uygulama kategorisi bazlı blok sayfaları sunabilmelidir. Bu özelleştirilebilir
blok sayfaları içerisinde kullanıcı ismi, ip adresi, bloklanan uygulama ismi
vb. gibi detaylara yer verilebilmelidir.
Ağ Güvenlik Duvarı Sistemi Web 2.0
uygulamaları içerisindeki alt uygulamaları (facebook.chat, facebook.games vb..
gibi) ayırt edebilmeli ve sosyal medya uygulamalarına read-only erişimi
(facebook açılsın ama oyun oynanamasın, chat fonksiyonu kullanılamasin vb..
gibi) mümkün kılabilmelidir.
içerik filtreleme hizmetini
bypass etmek için client tarafında kullanılan programların (ultrasurf,
freegate, phispon, hotspot, zenmate vb.)
iletişimi tespit edilip engellenecektir.
Ağ Güvenlik Duvarı Sistemi bulut uygulamalarını
(facebook, twitter, dropbox, youtube, linkedin, gmail vb..) ayrıca kategorize
edip, bu uygulamalar içerisinden yapılan dosya indirme/yükleme, video izleme,
veri/yorum güncelleme vb.. gibi işlemlerde izlenen video ismini/boyutunu,
indirilen/yüklenen dosyaların isimlerini/boyutunu vb.. sosyal medya kullanıcı
isimleriyle beraber loglayabilmesi ve izin verip/engelleyebilmelidir.
ATAK TESBİT ve ÖNLEME (IPS)
ÖZELLİKLERİ
Bir saldırıyı tespit etmek için hem imza
tabanlı hem de trafik/protokol anomalisi tespiti tabanlı çalışmalıdır. Saldırı
tiplerini içeren bir imza veri tabanına sahip olmalıdır. Bu veri tabanı, yeni
saldırı teknikleri çıktıkça internet üzerinden otomatik olarak ve/veya sistem
yöneticisi istediğinde güvenli bir şekilde güncellenmelidir.
Koruduğu sistemlerin hedefine
(sunucu veya kullanıcıya yönelik olması), etkilenen işletim sistemine,
protokole, kritiklik seviyesine vb.. gibi ana kriterlere göre hazır filtreler
ile gerekli/uygun imzaların ilgili trafik/kural için kolayca devreye alınabilmesi
desteklenmelidir.
Kritik atak imzalarının sistem üzerinde ayarlı
otomatik güncelleme süresi beklenmeden en kısa zamanda güncellenebilmesi mümkün
olmalıdır. Bu sayede yeni güvenlik risklerine karşı hızlı koruma
sağlanabilecektir.
Kişiselleştirilmiş IPS imzaları oluşturma
özelliği bulunacaktır. Yönetici kullanıcısı yeni bir atak
kuralını/imzasını bir arayüz veya bir script dili kullanarak
tanımlayabilmelidir.
SSL ile şifrelenmiş trafiği açıp
kontrol edebilmelidir. SSL şifreli trafik üzerinden gelebilecek saldırıları
tespit ederek, kesebilme yeteneği bulunmalıdır. Hem inbound (arkasında koruduğu
web sunuculara yönelik) hem de outbound (koruduğu kullanıcılardan internete
olan trafikte) bu denetimi gerçekleştirebilmelidir. Inbound ssl atak denetiminde
korunan sunucular üzerindeki websitelerinin sertifikaları IPS cihazı üzerine
yüklenebilmelidir.
Bot ağların üyesi haline gelmiş istemcilerin
bu bot ağlarıyla olan iletişimlerini algılayabilmeli ve kesebilmelidir.
İstendiğinde bot iletişimi kuran kullanıcıların karantinaya alınabilmesi gui
üzerinden kolayca ayarlanabilmelidir.
Botnet veritabanı periyodik
olarak internet üzerinden otomatik veya isteğe bağlı olarak manuel
güncellenebilmelidir.
İnterface bazında botnet IP
ağlarına erişim layer7 katmanın da incelemeye ve kural yazmaya gerek kalmadan
engellenebilmelidir.
IPS fonksiyonu ile aşağıdaki
atakları tespit edebilmeli ve önlemelidir.
a) Tarama ve yüklemeler (sweeps-floods)
b) Worm-virüs , trojan
c) CGI ve WWW atakları
d) Tampon taşmaları
e) RPC atakları
f) ICMP atakları
g) SMTP, IMAP, POP3 gibi mail atakları
h) FTP, SSH, telnet, rlogin atakları
i) DNS atakları
j) TCP hijack atakları
k) Backorifice ve benzeri backdoor atakları
l) Windows ve NetBIOS atakları
m) NTP atakları
n) P2P dosya paylaşım uygulamaları
o) Dinamik routing protokoll (BGP vb.) atakları
p) Bandwith hijacking
q) Voip (SIP, H323)
r) CSS Atakları
s) Dos atakları (connection flood, packet flood vb..)
Aşağıdaki atlatma ve denetimden kaçma
taktiklerine karşı koruma sağlayabilmelidir.
a) IP fragment, (sıradışı veya birbiri üstüne binen
paketleri, eksik IP paketlerini düzenleme),
b) TCP fragment (tcp oturumunu yeniden düzenleyip inceleme),
c) Non-standart portlar üzerinde denetim
d) HTTP atlatma teknikleri (URL obfuscation, encoding)
e) HTTP başlık, gövde ve HTML encoding analizleri
f) HTTP, FTP ve Email trafiğinde denetimi atlatmak üzere
ZIP, GZIP ve TAR sıkıştırma formatlarında sıkıştırılan veriyi açıp analiz
edebilme
Sistemler üzerinde istenmeyen trafik üreten
IP’leri karantina’ya alabilme ve karantinada kalma süresinin sistem yöneticisi
tarafından belirlenebilme yeteneği bulunmalıdır.
IPS modülü http2 protokolünü desteklemelidir.
IPS imzalarının, zaman periyodu
ve tekrar etme sayısına bağlı olarak tetiklenme özelliği bulunmalıdır. Örneğin
brute force atağını tespit etmek üzere kullanılan bir imza bir IP adresinden
saniyede 5 deneme tespit edildiğinde tetiklenmesi, ve “saniye” ve “deneme
sayısı” parametrelerinin sistem yöneticisi tarafından değiştirilebilmesi gibi.
İÇERİK FİLTRELEME ÖZELLİKLERİ
İstenmesi halinde HTTPS trafiğinde ‘domain’
bazlı engelleme ‘SSL trafiğinde araya girmeden’ desteklenebilmelidir. (örneğin
twitter.com sertifika isminden veya client tarafından gelen SNI bilgisinden
faydalanılarak engellenebilmelidir)
Finansal, kişisel veriler içeren
web kategorileri otomatik olarak SSL denetiminden (MITM) çıkarılmalıdır.
İstenirse wildcard desteği ile tanımlanan domainler (örneğin *.apple.com), ip/subnet/vlan,
URL bazlı exempt listeleri kolayca oluşturulabilmelidir.
URL filtreleme çözümü aynı websitesi
içerisindeki farklı linklerden gelen verileri ayrıca değerlendirerek, sayfanın
kendisine izin verirken, içerisindeki kısıtlanmış bir içerik alanından gelen
örneğin bir video erişimini kesip yerine blok sayfası sunabilmelidir.
URL filtreleme kategorileri
dışında, wildcard, regex veya tam URL olarak istenilen adreslerin farklı
profiller altında tanımları yapılabilmelidir (Örneğin *.gov.tr/* gibi). Tanımı
yapılan bu adreslere erişim engellenebilmeli veya izin verilebilmelidir.
Bir web sayfası, içerik filtreleme modülü
tarafından bloklandığında kullanıcıya bu sayfanın hangi içerikten dolayı
bloklandığını anlatan müşteri talebine göre özelleştirilebilir bir
bilgilendirme sayfası gösterebilmelidir. Bu blok sayfası müşteri veya policy
bazında özelleştirilebilmelidir. Yanlış bloklamaların bildirileceği bir geri
bildirim mekanizması bulunmalıdır.
İçerik filtreleme modülü web trafiği hangi
port üzerinden gelirse gelsin tanıyabilmeli ve filtreleme yapabilmelidir.
Google, yahoo, bing ve yandex
arama motorları için http ve HTTPS yapılan sorgulamalarda talep edilen
içeriklerin uygun olmaması durumunda hem text, hem görsel hem de videolar için
engellenmesi sağlanacaktır. (safe search desteği) Bu fonksiyon sayesinde
kullanıcı tarayıcılarındaki ayardan bağımsız olarak her zaman güvenli içeriğin
arama motorundan döndürülmesi sağlanabilmelidir.
Sistemin URL Filtreleme
fonksiyonu için kullanıcı ve IP başına lisans/limitasyon sınırı olmamalı ve
sınırsız kullanıcı lisansı ile sunulmalıdır.
Url/domain listesi eklenebilecek,
kara/beyaz listenin gerektiğinde kullanılmasına izin verilebilecektir. Girdi
sayısının yüksek olduğu durumlarda merkezi yönetim sistemi üzerinden bu
entegrasyon gerçekleşebilmelidir.
Kullanıcı başına Web
Kategori/URL/Domain bazlı zaman kotası desteklenmelidir
Aynı üreticiye ait harici/bulut
sandbox çözümü ile entegrasyon sonucunda tesbit edilen sıfır gün zararlılarına
ait imzaların (hash bilgisi, gidilen URL/domain listeleri vb..) otomatik olarak
cihaz üzerindeki içerik filtreleme veritabanına yazılması desteklenmelidir.
ANTI-MALWARE ÖZELLİKLERİ
Web (http/s), email (smtp/s, pop3/s, imap/s),
MAPI, FTP/s protokolleri içerisinde zararlı yazilim taraması/koruması
sağlanmalidir.
Aynı üreticiye ait harici sandbox
çözümü ile entegrasyon sonucunda tesbit edilen sıfır gün zararlılarına ait
imzaların (hash bilgisi vb..) otomatik olarak cihaz üzerindeki anti-malware
veritabanına yazılabilmelidir.
Eposta eklentileri içerisindeki
Windows executable dosyalarının bloklanmasını desteklemelidir.
Virüs bulaşmış kullanıcıların monitör
ekranından kolayca tesbit edilip, tek bir tıkla karantinaya alınabilmelidir.
Antimalware modülünün gelişmiş
özelliklerle statik/hash bazlı denetim yapan antimalware cihazlarını atlatmak
üzere popüler sıkıştırma araçları (RAR, GZIP, WINZIP, 7z) kullanılarak birkaç
kez sıkıştırılmış ve değiştirilmiş virüsleri yakalayabilmelidir.
Kayıt ve Raporlama Sistemi
Cihaz üzerinden geçen tüm
trafiğin günlüklerde tutulması, istenen kıstaslara göre (En az IP, IP aralığı,
ağ, protokol, zaman) filtrelenebilmesi ve aktif bağlantıların gerçek zamanlı
izlenebilmesi sağlanacaktır.Gün, saat veya haftalık periyodlarda
yapılandırılabilen otomatik kayıt arşivleme özelliği olacaktır. Güvenlik
duvarları ile kayıt sunucusu arasında iletişimin sağlanamaması durumunda
oluşturulan kayıtlar, bağlantı sağlanana kadar güvenlik duvarının kendi
üzerinde tutulabilmelidir.Yönetilen ağ güvenlik duvarlarına ait performans ve
güvenlik duvarları üzerinden geçen trafik ile ilgili bilgileri geçmişe yönelik
olarak gösterebilme özelliği desteklenecektir.
Merkezi yönetim dâhilinde bulunan
bileşenlere ait anlık ortalama CPU, boş disk alanı, firewall, firewall cluster
üzerinden akan tüm uygulamalar, kullanıcı IP adresleri ve dâhili kullanıcı
isimleri gibi değerler anlık ve sürekli olarak görüntülenebilecektir. Önerilen
kayıt yönetim sistemi geçmişe yönelik olarak raporlama yapabilme özelliğine
sahip olacaktır. Örneğin bant genişliği kullanımı, uygulama denetimi, URL
filtreleme ile ilgili istenen tarih aralıklarında raporlar üretebilecektir.Tutulan
kayıt alanları baz alınarak özelleştirilmiş sorgular yazılabilmeli ve bu
sorguların çıktıları, tablo, pie-chart şeklinde raporlar içerisine konulabilmelidir.pdf
formatında rapor üretebilmeli ve üretilen raporları belirtilen e-mail
adreslerine otomatik veya elle gönderebilmeli, ftp veya web sitelerine tomatik
olarak yükleyebilmelidir.Kayıtları ftp veya benzer bir protokolle harici bir
Sunucu veya Depolama alanı üzerinde yedekleme yapıp arşivleyerek kayıtların
yedekliliği sağlayabilmelidir.
Comments
Post a Comment