SDWAN – NGFW Nedir? Nasıl Çalışır?

Kelime anlamı “Yazılım tanımlı geniş alan adı” olan SDWAN, bir kontrol merkezi yazılımı ile kurulan, geniş alan ağlarını daha akıcı ve esnek hale getiren ve yöneten bir teknolojik altyapıdır.  

SDWAN Çalışma Mantığı Nedir?

SDWAN, geniş bant sağlamakta ve MPLS*, 3G / 4G / LTE gibi çeşitli teknolojileri yönetmek için daha iyi çözümler sunmaktadır. SDWAN çözümleri, veri merkezleri ve şube ofisleri başta olmak üzere işletme ağlarını büyük mesafeler üzerinden birbirine bağlamakta ve veri aktarım performansını arttırmak için araçlar kullanmaktadır.

Önem derecesi yüksek olan uygulamalarda MPLS servisi üzerinden yürütürken diğer uygulamalara erişimi internet ortamından yapılmasına imkan sağlar.

Veri düzlemi, bir ağ altyapısı yoluyla bilgi paketlerinin akışını ifade ederken, kontrol düzlemi de bir geliştiricinin tanımladığı şekilde verilerin nereye gideceğini tanımlamaktadır. Kuralların tanımlanması ve manuel politikaların programlanması ağ üzerinden bu politikaları dağıtmak çoğu zaman hata ile karşılaşılmasına ve zaman kaybına sebep olmaktadır. 

SDWAN kontrol düzlemini ayırarak, merkezileşmekte ve ağ üzerinde yeni kuralları ve değişiklikleri dağıtmasını kolaylaştırmaktadır.
Ağ üzerinde karşılaşılan hatayı tanımlamak ve çözümü sağlamak için komut dosyalarını tüm ağ üzerinden dağıtmaktadır. 

SDWAN çözümü, politika yöneticilerine kritik verileri hızlı kanallar aracılığı ile dağıtımını sağlamaları için hibrit bir ağ tanımlar. 

SDWAN Neden Önemli?

SDWAN merkezi kontrol yapısı bulunmaktadır. Ağ yönetimini basitleştirebilmek için kontrol işlevlerini, bulut hizmetlerinde veya on-primises uygulamalarında ayrıştırmalar yaparak merkezileştirmektedir. Donanımdan ayrıldığı için, standart WAN yapısından daha esnektir. SDWAN çözümleri, merkezi kontrol yapısından aktarılan operasyonel kuralları uygulamaktadır. Bu özellik sayesinde gateway ve router cihazları ayrı ayrı yönetme ihtiyacını ortadan kaldırmaktadır. SDWAN çözümleri sayesinde uzaktan kurulumların gerçekleşmesi mümkün olmuştur. 

SDWAN; kurumlar için iş güçlerini, erişim kolaylığı ve güvenilir ortamlara hızlı ve sürekli olarak görüntülenebilir bir düzeyde yönetebilme imkanı sağlamaktadır.  

Kurumların donanımsal ve ağ kapsamı genelinde yeterli olacak, uygun maliyette, sistem entegrasyonu kolay, sürekli ölçeklenebilen esnek, çevik ve güvenilir çözümlere ihtiyaç duyulmaktadır. 

SDWAN çözümleri tüm bu ihtiyaçlara yönelik, kurumsal alanda güvenilir birçok yaklaşımları bulunmaktadır. Bu durum sebebiyle ağ çözümleri kapsamında daha çok SDWAN çözümleri tercih edilmektedir.
 

*MPLS (Multi Protocol Label Switching); temel mantığı yavaş yapılabilen yönlendirme işlemini ağın giriş noktalarında, gereken çıkış noktasını belirleyerek bir kez yapmak ve ağın içinde hızlı bir şekilde anahtarlama yapmaktır. Ağın giriş noktalarında yapılan yönlendirme işlemi sırasında data paketlerine atanan MPLS etiketleri ile ağ içinde bu etiketlere göre hızlı bir şekilde anahtarlama yapılması yeterli olmaktadır. 

Başlıca MPLS servisleri aşağıda verilmiştir: 

  • Sanal özel ağlar (VPN, Virtual Private Network), 
  • Trafik mühendisliği, 
  • Hizmet niteliği (QoS, Quality of Service). 

SDWAN Mimari Türleri 

– On-Primises SDWAN mimari türünün donanımı kurum içindedir. Bu sayede doğru dan erişim ile yönetilme sansı bulunmaktadır. Uygun maliyetli çözümler olduğundan, daha küçük kurumlar tercih etmektedir.  

– Cloud-enabled SDWAN (Bulut özellikli SDWAN) ‘lar, ağa erişebilirliği daha kolay sanal bir bulut ağına bağlanır ve bu ağa daha iyi sistem entegrasyonu sağlar. 

– Cloud-Enabled with Backbone SDWAN, kurumlarda bulunan SDWAN kutularının internet bağlantıları POP* noktalarındadır. Bulut özellikli backbone SDWAN ‘ların genel omurga olarak kullandıkları ISP ‘lerin fiber bağlantılı omurgalarıdır.  

SDWAN ‘ın Avantajları Neler?

SDWAN teknolojilerinin operasyonel ve finansal yönden birçok faydaları bulunmaktadır. 

SDWAN ‘ın en önemli avantajı güvenli olmasıdır. WAN trafiğini şifreleyerek, ağda oluşabilecek herhangi bir ihlalin engellenebilmesi veya minimuma indirgenmesi için ağ bölümlemesi yaparak ağ güvenirliğini arttırır. SDWAN teknolojisi IPSEC VPN bağlantısı üzerinden uçtan uca şifreleme yaparak, veri trafiğinin güvenilirliğini arttırmaktadır. SDWAN, ağ trafiğine görünürlük kazandırdığı için herhangi bir saldırı durumunda yetkili kişilere daha hızlı olayın fark edilmesini sağlar. 

SDWAN, WAN trafiğini daha düşük maliyetlerle geniş bantlı internet bağlantılarıyla taşımaktadırlar. Kurumlara mevcut tüm ağ bağlantıları genelinde kullanılan tüm kaynakların tam kapasitede kullanabilirliğini sağlamaktadır. SDWAN teknolojileri, ağdaki gecikmeleri minimize etmesi ve bağlantı hızını daha kaliteli olmasını desteklediği için kullanıcıların bulut ve SaaS tabanlı uygulamalarda kullanım performansını arttırmaktadır. Pahalı olan MPLS hatalarından ticari olarak sunulan fiber, DSL ve mobil bağlantı teknolojilerine geçiş sağlayarak, işletme maliyetlerini düşürmektedir. 

SDWAN teknolojileri ile dağıtım ve yapılandırma süreleri azaltılabilir. 

SDWAN, merkezi bir kontrol noktasından yönetim yapabilmektedir. Bu sayede SDWAN teknolojisi, WAN hizmetlerini en iyi şekilde kullanma olasılığı sağlar ve tek bir yönetim ara yüzü ile dağıtım olanağı sağlaması sebebiyle daha az ağ cihazına ihtiyaç duyulmaktadır. Böylece manuel yapılan yönetimsel işlemleri ortadan kaldırmaktadır. 

SDWAN çözümleri her bir tesis için mevcut kullanılan ISP bağlantılarını kullanma imkanı sağlıyor. Farklı bağlantı yöntemleri ile ISP bağlantılarını kullanışlı bir şekilde entegre ederek, tesislerin ağ performansları artmaktadır. Yapılandırmalar, merkezi olarak yapıldığından manuel işlemlerin önüne geçilmiş olmaktadır. Tüm ağın görünür olması oluşabilecek herhangi bir olay veya sorunda hızlı çözüm sağlanılmaktadır.   

SDWAN, bulut tabanlı özel ağları kullanmaktadır. SDWAN, bulut uygulamaları için daha yüksek performans sağlamaktadır. Kurumların daha fazla kapasiteye ihtiyaç duyulmasından kaynaklı SDWAN sayesinde hızlıca ve kolayca yeni hatları ekleyebilmektedir. Eski WAN sistemlerinde sıkça karşılaşılan gecikmeleri de azaltmaktadır. 

SDWAN teknolojileri daha çevik bir yapısı bulunmaktadır. Kurumlar için en uygun ISP bağlantıları kullanılarak güvenilir ve bu güvenilir ağları hızla devreye alınmasını sağlamaktadır. 

SDWAN sayesinde kaynak kullanımının optimize edilmesine olanak sağlar. Dahili hatlar, internet bağlantıları gibi farklı bağlantılara uygulamaların atamasını ve her biri için farklı QoS atamasını sağlar. Bu sayede performans ve verimi maksimuma çıkarır.  

*POP; tüm aktif ekipmanların bulunduğu, erişimin sağlandığı bina veya yapıdır. VoIP teknolojisini kullanan internet operatörlerinin internet omurgasına doğrudan erişim sağladıkları ana erişim noktalarıdır. 

 

SDWAN ‘ın Amaçları Nedir?

Bulut ve SaaS servislerinin kullanım alanlarının artmasıyla veri iletiminin artışından dolayı fazla maliyet ve hız kısıtlaması gibi sorunlarla karşılaşılmakta ve bu kullanım artışı geniş alan ağının (WAN), bağlantıyı koruması zorlaşmaktadır. SDWAN çözümüyle bu gibi altyapı yetersizlikleri giderilmektedir. 

SDWAN, performansın artması için WAN trafiğini incelemesini yaparak, doğru politikalar doğrultusunda yönlendirmelerde bulunur ve kontrol eder. 

SDWAN, her ağ geçidini VPN kullanarak farklı WAN bağlantıları ile birden fazla bağlantıya sahip olabilmektedir. Bu bağlantıları birleştirip, tek bir bağlantı gibi kullanarak VPN bağlantılarını daha hızlı ve uygun maliyetli olmasını sağlar.  

SDWAN, trafiği WAN bağlantısına göre veya farklı bir ağ bağlantısına göre otomatik olarak yönlendirir. Bu yönlendirmelerde ağ trafiğini dengelemeyi sağlamaktadır. Ayrıca SDWAN teknolojisi, ağdaki paketleri hedefe göre sınıflandırır ve bu da paketleri farklı yollardan gönderebilir olduğunu doğrulamaktadır. 

SDWAN teknolojisi, hizmet kalitesi (QoS) politikasını desteklemektedir. Bu yöntem doğrultusunda paket taşıma önceliği verilerek, gecikmeyi minimuma indirme amacı ile kullanılan uygulama için en iyi performansı sağlama hedefi ile politikalar oluşturulabilmektedir. Geniş bantlı internet bağlantısı üzerinden dosya göndererek maliyet tasarrufu sağlanabilmektedir. 

 

NGFW (New Generation Firewall) 

Firewall Nedir?

Firewall; veri paketlerinden hangisinin ağa girişine ve çıkışına erişim verileceğini belirleyen kuralları uygulanmasını sağlayan donanımsal ya da yazılımsal ağ bileşenleridir.Veri trafiğini filtreleyerek ağ üzerinde yaşanılabilecek sorunlara karşı önem almasını ve güvenliğini sağlaması için çok çeşitli ağ aygıtlarıyla beraber kullanılmaktadır. 

Firewall cihazların çalışma prensibi bakımından genel olarak 3 farklı güvenlik duvarından söz edilebilinir.

Paket filtrelemeli firewall; ağ üzerinden geçen paket başlıklarını inceleyerek uygulanan kurallar çerçevesinde paketlerin geçişine izin verir ya da engeller.

Durum denetimli firewall; üzerinden geçen paketlerin başlıkları dahil tüm içerik bilgilerine bakarak daha verimli bir güvenlik sağlar.

Vekil firewall; trafiği uygulama katmanında (OSI referans modeli) inceleyip, kontrol eder.

 

Geleneksel Firewall ile Yeni Nesil Firewall Arasındaki Farklılıklar Nelerdir?

Geleneksel güvenlik duvarı sistemlerindeki yapılarda port bazlı kısıtlamalar yapıldığından izin verilen portlar üzerinden uygulamalar çalışabilmektedir. Bu nedenle geleneksel yapıda bu trafiklerin kontrolü sağlanılamamaktadır. Bu tarz kontroller ancak Uygulama Kontrol Sensörleri ve IPS imzaları tarafından gerçekleştirilmektedir. NGFW cihazları, portun üzerinde çalışan uygulamaları kontrol edebilme özelliğine sahiptir. 

Geleneksel güvenlik duvarı yeni nesil tehditlere ve artan saldırılara karşı gelişmiş yaklaşımları bulunmamakta ve ağ geçidi kontrolü için yetersiz kalmaktadırlar. Bu cihazlarda oluşabilecek güvenlik açıklıklarını gidermek için operasyonel olarak ek iş gücü ve farklı güvenlik cihazlara yatırım yapılmaktadır. 
NGFW’ lar, geleneksel güvenlik duvarlarında bulunmayan özelliklerden; saldırı önleme, SSL ve SSH denetimi, DPI* denetimi, malware tespiti gibi farkındalıklarına sahiptir. 

Geleneksel FW’ larda, paket filtreleme, ağ adresi dönüştürme ve VPN gibi işlemler sınırlı kalmıştır. Bu FW’ larda kararlar, bağlantı noktalarına, protokollere ve IP adreslerine göre verilir. Pratik anlamda ve güvenlik açısından yetersizlikleri sebebi ile yeni nesil güvenlik duvarlarıyla yeni yaklaşımlar sağlanmıştır. 

NGFW Cihazlar Nedir ve Neden Tercih Edilmelidir?

NGFW, paket içeriğini, kaynak-hedef ve kullanıcı davranışlarını kontrol eden, ağ trafiğini oluşturan uygulamaları tanıyabilen bir mimariye sahiptir. Bu sayede uygulamaları ayırabilen, belirlenen kurallar çerçevesinde kurumsal politikalar oluşturulmasını sağlayabilmektedir. 

NGFW cihazlarını tümleşik güvenlik mekanizması olarak düşünülebilinir. Bu cihazlar ile amaçlanan, IPS, IDS, içerik filtreleme, Anti-virüs kontrolleri gibi tümleşik güvenlik sistemlerini tek bir kontrol noktasına toplayabilmektir. NGFW cihazlarının kontrol sağlayabildiği en önemli özelliği ise kimlik kontrol yeteneğidir. Çünkü bir kullanıcıya ait önceden sistemde tanımlı IP adresinin değişmiş olması durumuna karşı, NGFW’ ların kimlik doğrulama teknolojileri sayesinde verilen yetkiler doğrultusunda ağa erişebilme ve kontrollerin sağlanabilmesine olanak sağlamıştır. 

NGFW teknolojisi, veri paketlerini detaylı incelemesinden ikinci bir üründe kontrol etmesine gerek kalmaması performans ve maliyet olarak kazanıma sahiptir. 

*DPI (Deep Packet Inspection); bir bilgisayar ağı üzerinden gönderilen verileri ayrıntılı olarak inceleyen bir veri işleme türüdür ve buna göre uyarı, engelleme, yeniden yönlendirme veya günlüğe kaydetme gibi eylemler gerçekleştirebilir. 

NGFW cihazlar, ağ güvenliği ihtiyacından dolayı UTM* sistemlerinin sahip olduğu mimari yapısından ayrıştırılmış modüllerin performans değerlerinin artması sonucu geliştirilmiştir. 

UTM sistemlerin gelişmesiyle ağ güvenliği cihazlarının tek bir cihazda toplanması sistem gereksinimlerine fayda sağlamıştır. UTM sayesinde, maliyet ve iş gücü azalmış olsa bile veri paketlerinin ağ geçişlerindeki onay süreçleri birden fazla cihaz içerisindeki sanal motorlardan geçmesi gerekme durumundan ötürü gecikme süresinin uzamasına ve performansın düşmesine sebep olabilmektedir. 

NGFW; tehdit istihbarat servisleriyle entegre edilebilir olması sebebi ile gelişmiş kalıcı tehditlere karşı koruma donanımına sahiptirler. Uygulama farkındalığı, denetim hizmetleri, koruma sistemleri ve farkındalık araçlarını kullanarak cihaz güvenliğini sağlamakta ve düşük maliyet imkanı da sunmaktadır. 

NGFW’ lar aşağıdaki gelişmiş işlevlere sahiptir: 

– Uygulama farkındalığı (Tanıma ve Kontrolü Sistemi)
– Entegre saldırı tespit ve önleme sistemleri (IDS/IPS)
– IPSec VPN Sonlandırma Sistemi
– SSL VPN Sonlandırma Sistemi
– Virüs/Zararlı İçerik Kontrolü
– Kimlik bilinci, kullanıcı ve grup kontrolü
– URL Kategori, İçerik Kontrolü/ Filtreleme
– Köprülü ve yönlendirilmiş modlar
– Bant genişliği yöntemi
– Trafik Analizi/Filtreleme
– Dış zeka kaynaklarını kullanma becerisi 

gibi geleneksel yapıda birden fazla cihazın yaptığı işlevleri tek bir kutu içerisinde sunmaktadır.
 

*UTM (Unified Threat Management); birleşik tehdit yönetimi cihazları geleneksel güvenlik duvarları, saldırı tespit sistemleri, saldırı engelleme sistemleri, Anti-Virüs, Anti-Spam, VPN, yük dengeleme vb. ağ güvenliği cihazlarının teknolojinin gelişmesi ile tek bir cihazda toplanmasına denir. 

 

SDWAN ve NGFW hakkında sizleri bilgilendirmeye çalıştık.

SyberCode olarak,  tüm ürün ve hizmetlerimizle ilgili sizleri daha detaylı olarak bilgilendirmek isteriz.

Diğer çözümlerimiz ile ilgili bize ulaşmak için buraya tıklayınız.