FortiGate ile KOBİ'ler için sıfırdan güvenlik politikası

FortiGate, küçük ve orta ölçekli işletmelerin en çok tercih ettiği yeni nesil güvenlik duvarlarından biri. Donanım hızlandırması, geniş özellik seti ve makul lisanslama maliyetiyle KOBİ'ler için güçlü bir savunma hattı kurar. Ancak güçlü bir cihaz, kötü yapılandırılırsa hızlı bir biçimde "açık bir kapı" haline gelebilir.

Bu yazıda yeni bir FortiGate'i sıfırdan kurarken atmanız gereken adımları, en sık yapılan hataları ve uzun vadede yönetilebilir kalmasını sağlayacak küçük disiplinleri özetliyoruz.

1. Boyutlandırmayı atlamayın

FortiGate seçerken cihazın "yeterli görünmesi" yeterli değildir. Aktif kullanıcı sayısı, internet bant genişliği ve devreye alınacak güvenlik servisleri (IPS, antivirüs, web filtreleme, SSL inspection) doğrudan performansı etkiler. Özellikle SSL inspection açıkken throughput ciddi şekilde düşebilir; yanlış model alırsanız ağ hattı yavaşlar.

2. Varsayılan parolayı ilk dakikada değiştirin

Cihazın varsayılan admin parolasını ve, eğer kullanıyorsanız, varsayılan yönetim portunu (HTTP/HTTPS) mutlaka değiştirin. Yönetim arayüzünü WAN üzerinden açmaktan kaçının; mümkünse VPN üzerinden erişim verin.

3. Bölgelere ve VLAN'lara yatırım yapın

Tüm cihazları aynı düz ağa atmak, ileride yaşanacak çoğu sorunun kaynağıdır. Sunucu, kullanıcı, IoT ve misafir trafiğini farklı VLAN'lara ayırın; aralarındaki erişimi açık değil varsayılan kapalı politikayla yönetin.

4. "Allow All" politikasından kaçının

Hızlı kurulum baskısıyla "geçici" olarak yazılan "any-any allow" kuralları çoğu zaman kalıcı hale gelir. En baştan kullanıcı/grup ve uygulama bazlı kurallar yazın. Az kural, net kural: anlaşılır bir kural seti, ileride sorun teşhisini kolaylaştırır.

5. UTM servislerini doğru kademede etkinleştirin

• IPS: en azından sunucu ve dış yüzlerde aktif olsun
• Antivirüs: HTTP/HTTPS ve e-posta trafiğinde açık
• Web filtreleme: kategori bazlı, çalışan deneyimini bozmayacak şekilde
• Uygulama kontrolü: riskli kategoriler (P2P, anonim proxy) için kapalı

6. Loglamayı en başta planlayın

Cihaz lokal log'u sınırlıdır; ciddi bir olayda 1 hafta öncesine bakamayabilirsiniz. Bir syslog/SIEM veya en azından FortiAnalyzer hedefi belirleyin. 5651 uyumlu loglama ihtiyaçlarınız varsa ayrı bir log mimarisi gerekir.

7. VPN ve uzaktan erişimi sertleştirin

SSL veya IPSec VPN açtıysanız mutlaka çok faktörlü kimlik doğrulama (MFA) ekleyin. Yönetim erişimini mümkünse ayrı admin profili ve IP kısıtlamasıyla koruyun.

8. Yedeğin alışkanlık olsun

Her büyük değişiklikten sonra konfigürasyon yedeği alın ve versiyon adlandırması yapın (örn. FG60F-2026-06-03-vpn-sonrasi.conf). Felaket anında geri dönüş süreniz dakikalara iner.

9. Firmware'i takip edin ama acele etmeyin

Üretici hızlı sürüm çıkarıyor; her sürüme hemen geçmeyin. Patch sürümlerini bekleyin (örn. .1, .2 yerine .4-.5), önce test ortamında doğrulayın, sonra üretime alın.

10. Bir "değişiklik kaydı" tutun

Tek bir not defterinde (Excel, Notion, wiki — fark etmez) yapılan tüm değişiklikleri tarih, sebep ve sorumluyla kaydedin. 6 ay sonra "bu kural neden açıktı?" sorusu mutlaka gelecek; cevabınız hazır olsun.

Daha kapsamlı bir Fortinet çözümü veya Firewall & VPN projesi planlıyorsanız, ekibimiz keşif aşamasından yönetilen hizmete kadar tüm süreçte yanınızda.