Güvenlik duvarları, önceden tanımlanmış güvenlik politikalarına göre gelen ve giden trafiği izleyerek ve kontrol ederek kurumsal ağların güvenliğinin sağlanmasında kritik bir rol oynar. İç ağ ile dış dünya arasında bariyer görevi görerek yetkisiz erişimi önler ve çeşitli siber tehditlere karşı koruma sağlar. Önde gelen bir siber güvenlik şirketi olan Fortinet, gelişmiş güvenlik özellikleri ve yüksek performansıyla tanınan FortiGate serisi altında geniş bir firewall yelpazesi sunuyor.
Firewall seçeneklerini değerlendirirken dikkate alınması gereken en önemli faktörlerden biri firewall verimidir. Firewall verimi, bir firewall’un belirli bir zaman dilimi içinde işleyebileceği maksimum veri miktarını ifade eder. Gerçek dünya senaryolarında bir firewall’un performansını ve etkinliğini belirleyen önemli bir ölçümdür. Firewall verimini anlamak, kuruluşunuzun ağ trafiği gereksinimlerini karşılayabilecek doğru firewall modelini seçmek için çok önemlidir.
Aşağıdaki bölümlerde farklı firewall aktarım türlerini, bunların önemini ve ağ performansını nasıl etkilediklerini inceleyeceği
1. Firewall Verimi Nedir?
Firewall verimi, bir firewall’un veri işleme kapasitesinin bir ölçüsüdür. Firewall’un optimum performansı korurken ağ trafiğini denetleyebileceği ve filtreleyebileceği maksimum hızı belirler. Firewall verimi genellikle maksimum çıkış hızı cinsinden sunulur ve saniye başına megabit (Mbps) veya saniye başına gigabit (Gbps) cinsinden ölçülür.
Maksimum Firewall Verimi
Toplam veya Maksimum Verim olarak da adlandırılan Maksimum Firewall Verimi, firewall veri sayfasında belirtilen en yüksek aktarım hızı istatistiklerini temsil eder. Herhangi bir ek güvenlik hizmeti etkinleştirilmeden, firewall’un temel durumundaki ham, engelsiz işlem hızını gösterir. Bu ölçüm, firewall’un, güvenlikle ilgili herhangi bir işlem ek yükü olmadan ağ trafiğini yönetme kapasitesine ilişkin bilgiler sağlar.
Maksimum Firewall Verimi, bir firewall’un ham işleme kapasitesini anlamak için ilginç bir istatistik olsa da, firewall’un gerçek dünya senaryolarında nasıl performans göstereceğine dair kapsamlı bir resim sağlamaz. Uygulamada çoğu firewall dağıtımı antivirüs taraması, izinsiz giriş önleme ve veri kaybını önleme gibi çeşitli güvenlik hizmetlerini içerir. Bu nedenle, bu güvenlik hizmetlerinin etkisini hesaba katan diğer firewall çıktı türlerinin dikkate alınması önemlidir.
Yeni Nesil Firewall NGFW Verimi
Yeni Nesil Firewall (NGFW) Verimi, yeni nesil önemli firewall hizmetleri olan İzinsiz Giriş Önleme Hizmetleri (IPS) ve Uygulama Kontrolü etkinleştirildiğinde firewall’un verimini ölçen önemli bir ölçümdür. NGFW’ler, modern tehditlere karşı gelişmiş güvenlik sağlamak için gelişmiş özellikleri ve teknolojileri bir araya getirerek geleneksel güvenlik duvarlarının ötesine geçer. NGFW Verimi, firewall’un bu gelişmiş güvenlik hizmetlerini çalıştırırken ağ trafiğini işleyebileceği hızı yansıtır.
IPS ve Uygulama Kontrolü, ağa izinsiz girişler ve yetkisiz uygulama kullanımı gibi kötü niyetli etkinlikleri tanımlamak ve önlemek için kullanılan yaygın hizmetlerdir. Bu hizmetlerin etkinleştirilmesi, karmaşık işleme görevleri içerdiğinden firewall’un performansını önemli ölçüde etkileyebilir. Bu nedenle NGFW Verimi, firewall’un bu güvenlik hizmetlerinin etkinleştirildiği gerçek dünya ortamında nasıl performans göstereceğine dair daha gerçekçi bir gösterge sağlar.
Örneğin Fortinet FortiGate-60F, 1,0 Gbps’lik etkileyici bir NGFW Verimi ile övünüyor; bu, 250 Mbps NGFW Verimi olan selefi FortiGate-60E ile karşılaştırıldığında önemli bir artış gösterir. Verimdeki bu önemli artış, FortiGate-60F’yi yüksek performanslı güvenlik duvarları arayan küçük işletmeler için mükemmel bir seçim haline getiriyor.
2-SSL-VPN Verimi
SSL-VPN Aktarım Hızı, (SSL-VPN) uzaktan erişim bağlantısı yoluyla ağa bağlanan kullanıcılar için bir firewall’un işleyebileceği trafik hacmini ölçer. Uzaktan çalışma eğiliminin artması ve güvenli uzaktan erişim ihtiyacının artmasıyla birlikte SSL-VPN birçok kuruluş için vazgeçilmez bir özellik haline geldi.
SSL-VPN, kullanıcının cihazı ile kurumsal ağ arasında şifreli bir tünel kurarak güvenli iletişim sağlar. Ancak şifrelenmiş trafiğin şifresini çözmek, taramak ve doğrulamak önemli miktarda işlem gücü gerektirir. Sonuç olarak, SSL-VPN Aktarım Hızı genellikle diğer aktarım hızı ölçümlerinden daha düşüktür.
Önemli sayıda uzak çalışanı olan işletmeler için SSL-VPN Verimi çok önemli bir husustur. Yetersiz SSL-VPN Verimi, uzaktaki çalışanlar için performans darboğazlarına ve kullanıcı deneyiminin azalmasına neden olabilir. FortiGate-60F, 900 Mbps’lik övgüye değer bir SSL-VPN Verimi sunarak uzak şubeleri ve ileri karakolları olan kuruluşlar için mükemmel bir seçimdir.
3- AntiVirüs/AV-Proxy Verimi
Antivirüs/AV-Proxy Throughput, güvenlik duvarı (firewall) veri tablolarında artık daha az yaygın olmasına rağmen, güvenlik duvarının ağ trafiğini virüsler, kötü amaçlı yazılımlar veya saldırıları gösteren diğer desenler açısından tararken mevcut olan veri akışını ölçen bir metrik olarak karşımıza çıkar. Geleneksel antivirüs taraması, saldırıları tespit etmeye odaklanan IPS (Intrusion Prevention) ve derin paket incelemesi etrafında daha gelişmiş davranış tabanlı süreçlere evrim geçirmiştir. Bu nedenle, bazı üreticiler Antivirüs/AV-Proxy Throughput’u Tehdit Koruması Throughput’u ile değiştirmişlerdir.
Örneğin, Fortinet, Antivirüs/AV-Proxy Throughput’u veri tablolarında Tehdit Koruması Throughput’u ile değiştirmiştir. Tehdit Koruması Throughput, bir güvenlik duvarının IPS, Uygulama Kontrolü ve Güvenlik Duvarı ile Günlük Kaydı etkinleştirildiğinde işleyebileceği hızı ölçer. Örneğin, FortiGate-60F, çeşitli tehditlere karşı işleme ve korumaya karşı 700 Mbps Tehdit Koruması Throughput’u sunar.
Güvenlik duvarı verimliliğini gerçek dünya senaryolarında, genellikle gelişmiş güvenlik hizmetlerinin etkin olduğu durumlarda daha iyi temsil eden NGFW (Next-Generation Firewall) Throughput veya SSL-VPN Throughput gibi metriklere dayanarak karar vermek önerilir.
4- Diğer Etkenler
Güvenlik duvarı throughput’u ve maksimum öneri istatistiklerinin yanı sıra, organizasyonunuz için bir güvenlik duvarı seçerken hesaba katmanız gereken birkaç faktör daha bulunmaktadır. Bu faktörler arasında form faktörü, arayüzler, değiştirilebilir bileşenler, eklenti modüller ve site-arası VPN yetenekleri bulunmaktadır.
Arayüzler
Arayüzlerin (portlar olarak da bilinir) sayısı ve türleri, güvenlik duvarını diğer ağ cihazlarına, örneğin yönlendiricilere, anahtarlamalı cihazlara ve yardımcı güvenlik cihazlarına bağlama konusunda önemli bir rol oynar. Ağınızın arayüz gereksinimlerini değerlendirmek ve güvenlik duvarının sorunsuz entegrasyon için uygun sayıda uyumlu arayüz içerdiğinden emin olmak esastır.
Değiştirilebilir Bileşenler ve Ek Modüller
Bazı güvenlik duvarı modelleri, örgütlerin güvenlik duvarını belirli dağıtım ihtiyaçlarına uyacak şekilde özelleştirmelerine olanak tanıyan değiştirilebilir bileşenler ve ek modüller sunar. Bu bileşenler ve modüller, ek ağ arayüzleri, depolama seçenekleri, güç kaynağı modülleri veya özel güvenlik modülleri içerebilir. Değiştirilebilir bileşenlerin ve modüllerin uyumluluğunu ve kullanılabilirliğini anlamak, güvenlik duvarının performansını benzersiz ağ ortamlarında optimize etmeye yardımcı olabilir.
Site-to-Site ve IPSec VPN
Birden fazla konuma veya uzaktan çalışan büyük bir personeli olan organizasyonlar için site-arası VPN ve IPSec tünelleri düşünülmesi gereken temel özelliklerdir. Site-arası VPN, farklı ofis konumları arasında güvenli bağlantı sağlar, sorunsuz iletişim ve veri transferine olanak tanır. IPSec tünelleri, dış konumlardan kurumsal ağına erişen uzaktan çalışanlar için şifreli bağlantılar sağlar. Güvenlik duvarı tarafından desteklenen site-arası VPN veya IPSec tünellerinin maksimum sayısını değerlendirmek, tüm ağ kullanıcıları için yeterli bağlantıyı sağlamak açısından önemlidir.
5- Güvenlik Duvarı Throughput’u Terimlerinin Anlaşılması
Güvenlik duvarı veri tabloları, genellikle teknik olmayan kişiler için karışık teknik jargon ve terimlerle dolup taşar. Güvenlik duvarı throughput’u anlayışını kolaylaştırmak için, kullanılan bazı ortak terimleri sade bir dilde basitleştirelim.
Güvenlik duvarı throughput’u, basit bir ifadeyle, bir güvenlik duvarının ağ trafiğini işleme ve yönetme hızını ifade eder. Bu, bir yolun karayolu kapasitesine benzer; throughput ne kadar yüksekse, güvenlik duvarı aynı anda daha fazla aracı (veri paketi) işleyebilir.
Güvenlik duvarını bir karayolu üzerindeki bir güvenlik kontrol noktası olarak düşünün. Araçlar (veri paketleri) kontrol noktasına girdiğinde, güvenlik duvarı bunları önceden tanımlanmış kurallar ve güvenlik politikalarına göre inceleyip filtreler. Güvenlik duvarının throughput’u, bu araçları ne kadar hızlı işleyebileceğini ve inceleyebileceğini belirler. Daha yüksek throughput, daha hızlı işleme anlamına gelir ve güvenlik duvarının verimli bir şekilde daha fazla veriyi işlemesine izin verir.
Next-Generation Firewall NGFW Throughput’u
Next-Generation Firewall (NGFW) throughput’u, bir güvenlik duvarının gelişmiş güvenlik hizmetleri sağlarken ağ trafiğini işleme hızını ifade eder. Bu, araçları sadece meşruiyet açısından kontrol etmekle kalmayıp aynı zamanda potansiyel tehditleri veya şüpheli faaliyetleri tarayan bir süper şarjlı güvenlik kontrol noktasına benzer.
NGFW throughput’u, potansiyel tehditleri belirlemek için araçların içeriğini ve davranışını analiz eden intrusion prevention ve uygulama kontrolü gibi ek güvenlik hizmetlerini dikkate alır. NGFW throughput’u ne kadar yüksekse, güvenlik duvarı bu gelişmiş güvenlik kontrollerini ağ performansını tehlikeye atmadan daha verimli bir şekilde gerçekleştirebilir.
SSL-VPN Throughput’u Çözümlemek
SSL-VPN throughput’u, bir güvenlik duvarının güvenli uzaktan erişim bağlantısı aracılığıyla ağ trafiğini işleme hızını temsil eder. Bu, yetkili kişilere, örneğin evden ofis ağına bağlanan uzaktan çalışanlara, ağa güvenli bir şekilde erişim izni veren güvenli bir tünele benzer.
Uzaktan çalışanlar güvenli uzaktan erişim bağlantısı kullanarak ağa bağlandığında, güvenlik duvarının bu tünel aracılığıyla geçen trafiği şifrelemesi, taraması ve doğrulaması gerekir. SSL-VPN throughput’u, güvenlik duvarının bu şifreli trafiği ne kadar hızlı işleyebileceğini belirler ve performansı riske atmadan güvenli uzaktan erişimi sağlar.
Antivirüs/AV-Proxy Throughput’u Çözümlemek
Antivirüs/AV-Proxy throughput’u, bir güvenlik duvarının ağ trafiğini virüsler, kötü amaçlı yazılımlar veya diğer zararlı faaliyetler açısından tarama hızını ölçer. Bu, her aracı (veri paketi) kontrol noktasından geçirerek herhangi bir tehlike belirtisi açısından ayrıntılı bir şekilde inceleyen dikkatli bir güvenlik görevlisine benzer.
Geleneksel antivirüs taraması, araçları bilinen virüs ve kötü amaçlı yazılım imzaları açısından kontrol etmeyi içeriyordu. Ancak modern güvenlik duvarları, davranış tabanlı analiz ve derin paket incelemeyi içeren daha gelişmiş teknikleri kullanmaktadır. Antivirüs/AV-Proxy throughput’u, güvenlik duvarının optimal ağ performansını koruyarak bu gelişmiş güvenlik kontrollerini gerçekleştirme yeteneğini yansıtır.
6- Güvenlik Duvarı Throughput’unun Ağ Performansına Etkisi
Güvenlik duvarı throughput’u, bir güvenlik duvarının ağ trafiğini işleme ve yönetme yeteneğini belirleyerek ağ performansında kritik bir rol oynar. Yetersiz throughput’a sahip bir güvenlik duvarı, veri iletimini yavaşlatır ve genel ağ performansını engeller. Öte yandan, yüksek throughput’a sahip bir güvenlik duvarı, sorunsuz trafiğin akışını sağlar ve gecikmeyi en aza indirir.
Güvenlik ve Performans Dengesi
Güvenlik duvarları, ağ trafiğini inceleyip filtreleyerek sağlam güvenlik sağlamak üzere tasarlanmıştır. Ancak intrusion prevention, antivirüs tarama ve uygulama kontrolü gibi gelişmiş güvenlik hizmetlerinin tanıtılması, güvenlik duvarının performansını etkiler. Bu güvenlik hizmetleri, derin paket inceleme ve davranış analizi gibi kaynak yoğun görevleri içerir, bu da ek işleme gücü gerektirir.
Güvenlik ve performans arasında bir denge kurabilmek için, organizasyonlar ağ trafiğini işlerken bu güvenlik hizmetlerini çalıştırabilecek yeterli throughput’a sahip bir güvenlik duvarı seçilmelidir. NGFW throughput’u, SSL-VPN throughput’u ve diğer ilgili ölçütleri düşünerek, organizasyonlar seçilen güvenlik duvarının ağ performans gereksinimlerini karşıladığından emin olabilir.
Organizasyonlar, farklı güvenlik duvarı modellerini değerlendirirken, seçilen güvenlik duvarının beklenen ağ trafiğini işleyebilecek ve optimal performansı sürdürebilecek şekilde bu faktörleri göz önünde bulundururlar. Ayrıca, güvenlik duvarının performansını düzenli olarak izlemek ve değerlendirmek, potansiyel dar boğazları belirlemek ve gerekli ayarlamaları yapmak önemlidir.