Fortigate Üzerinden URL Path Engelleme İşlemi (Inbound URL Filter)

Dış dünyaya açık olan web sunucuların yönetim panellerini erişime açık bırakmak, ciddi güvenlik risklerine yol açabilir. Ayrıca, herhangi bir web sunucusunun belirli bir URL yolunu (path) dış erişime kapatmak isteyebilirsiniz. Bu tür durumlarda, Fortigate üzerinden gerekli konfigürasyonu yaparak belirlenen URL yolunu engellemek mümkündür.

Bu yazıda, Exchange sunucum için yönetim paneli olan mydomain.com/ecp yolunu dış dünyaya kapatma işlemini ele alacağız.

1) Proxy-Based Mod

Exchange web servisinin HTTPS protokolü üzerinden çalışması nedeniyle, Fortigate'in araya girerek trafiği analiz etmesi ve engellemesi için proxy-based modda çalışması gerekmektedir. Bu nedenle, Web Server veya Exchange üzerinde kullanılan trusted https sertifikasının Fortigate’e import’u gerekmektedir.

2) Ssl Seçimi

Daha sonra İlgili sertifika SSL/SSH Inspection “Protecting SSL Server” profili içerisinde seçilmelidir.

3) Web Filter 

SSL Inspection profilimizi tamamladık; artık firewall, ilgili sunucuya giden trafik için araya girebilir durumda.
Bu aşamadan sonra URL engelleme işlemini Web Filter Profili üzerinde gerçekleştireceğiz.
Yeni bir Web Filter profili oluşturuyor ve engellemek istediğimiz path’i URL Filter altında ekliyoruz. Ayrıca Exchange’in /ecp” ve /owa yönlendirme sayfaları da eklenmiştir.

mydomain.com/ecp    Type: Regular Expression,  Action: Block , Status: Enable

mydomain.com/owa/auth/logon.aspx?replaceCurrent=1&url=https%3a%2f%2fmydomain.com%2fecp    Type: Simple, Action: Block, Status: Enable

4) DNAT Policy Seçimi

Oluşturduğumuz SSL Inspection ve Web Filter profillerini, Exchange sunucumuz için tanımlı olan DNAT policy'mizde seçiyoruz.

5) Sonuç

İşlem tamam.
İnternet ortamından “mydomain.com/owa” adresine sorunsuz erişebilirken, “mydomain.com/ecp” Exchange yönetim paneline olan erişimi engellenmiş olduk.