Sunucunuz internete bağlı olduğu andan itibaren binlerce farklı kaynaktan gelen trafiğe açık hale geliyor. Bu trafiğin bir kısmı meşru ziyaretçilerden, bir kısmı ise kötü niyetli botlardan, port tarama araçlarından ve otomatik saldırılardan geliyor. Firewall, bu iki trafiği birbirinden ayıran dijital kapı görevlisi.
Firewall (güvenlik duvarı), gelen ve giden ağ trafiğini önceden tanımlanmış kurallara göre filtreleyen bir güvenlik sistemidir. Her veri paketi bu kurallar çerçevesinde değerlendirilir: izin ver, engelle ya da logla. Bu kararlar IP adresi, port numarası, protokol türü ve bağlantı durumu gibi kriterlere göre alınır.
Basit bir örnekle açıklamak gerekirse: Web sunucunuzun yalnızca 80 (HTTP) ve 443 (HTTPS) portlarından trafik almasına izin verirken tüm diğer portları kapattığınızda, potansiyel saldırganların farklı servisler üzerinden sisteme sızmaya çalışmasının önüne geçmiş olursunuz.
Ağ tabanlı firewall, sunucu altyapısının önünde yer alır ve tüm sunucular için merkezi bir koruma katmanı oluşturur. Veri merkezi seviyesinde çalışır; donanım tabanlı olabilir. DCNET gibi sağlayıcılar bu katmanı altyapı düzeyinde sunarak müşteri sunucularını ek bir güvenlik şeridiyle çevreler.
Host tabanlı firewall doğrudan sunucu işletim sistemi üzerinde çalışır. Linux sunucular için iptables ve onun modern arayüzü olan UFW (Uncomplicated Firewall), en yaygın tercihler arasında. Windows Server için ise işletim sisteminin dahili güvenlik duvarı bu görevi üstlenir.
Web uygulama güvenlik duvarı (WAF), sıradan firewalların göremediği uygulama katmanı saldırılarını hedef alır. SQL injection, XSS ve CSRF gibi web uygulaması açıklarına karşı özel olarak tasarlanmıştır. Cloudflare WAF veya ModSecurity bu kategorinin en bilinen örnekleri.
Güvenli bir sunucu yapılandırmasında temel kural şu: ihtiyaç duyulmayan her şey kapalı olmalı. Gereksiz açık portlar, saldırı yüzeyini genişletir.
Tipik bir web sunucusu için şu portlar açık tutulur: 80 (HTTP), 443 (HTTPS), 22 (SSH — tercihen varsayılan port değiştirilmeli), 21 (FTP — mümkünse SFTP ile değiştirilmeli), 3306 (MySQL — yalnızca yerel erişime izin verilmeli). E-posta sunucusu çalıştırıyorsanız 25, 465, 587, 993 ve 995 portları da listeye eklenir.
Linux sunucunuzda UFW kullanarak birkaç komutla temel bir güvenlik yapısı kurabilirsiniz. Önce tüm gelen trafiği engelleyin, ardından yalnızca ihtiyaç duyduğunuz servislere izin verin. SSH bağlantı noktasını açmadan firewall'u etkinleştirirseniz sunucuya erişiminizi kalıcı olarak kaybedebilirsiniz — bu yüzden sıralama kritik.
Temel yaklaşım şu şekilde işler: varsayılan politikayı tüm gelen trafiği reddet, tüm giden trafiğe izin ver olarak ayarlayın. Sonra SSH, HTTP ve HTTPS için izin kuralları tanımlayın. Son adımda UFW'yu etkinleştirin ve kural listesini doğrulayın.
CSF (ConfigServer Security Firewall), cPanel ile entegre çalışan ve Linux sunucular için kapsamlı bir güvenlik katmanı sunan popüler bir firewall çözümü. Port yönetimi, IP engelleme ve login tespit özellikleriyle özellikle hosting sunucularında yaygın kullanılıyor.
Fail2Ban, log dosyalarını izleyerek başarısız giriş denemelerini tespit ediyor ve belirli bir eşiği aşan IP adreslerini otomatik olarak engelliyor. SSH brute force saldırılarına karşı ilk savunma hattı olarak neredeyse her Linux sunucuda bulunması önerilir. Beş dakikada yüz başarısız SSH girişimi tespit eden Fail2Ban, o IP'yi anında kara listeye alıyor.
Hayır. Firewall güçlü bir savunma katmanı oluştursa da tek başına tam güvenlik sağlamıyor. Güncel yazılımlar, güçlü kimlik doğrulama, düzenli yedekleme ve güvenlik taramaları firewall ile birlikte çalışması gereken tamamlayıcı önlemler. Katmanlı güvenlik yaklaşımı — derinlemesine savunma olarak da biliniyor — saldırganların tek bir açıktan tüm sisteme ulaşmasını zorlaştırıyor.
