Klasik mimaride ADC bir cihazda, firewall başka bir cihazda, routing ve NAT kuralları ise ayrı bir operasyon katmanında tutulur. Bu ayrım ilk bakışta düzenli görünür; fakat production'da her değişiklik bir koordinasyon problemine dönüşür. Yeni bir vService açılır, firewall kuralı unutulur. DNAT değişir, route güncellenmez. Backend segmenti değişir, FORWARD kuralı eski kalır.
Çoklu namespace veya çoklu tenant yapılarında bu problem daha büyür. Her tenant kendi IP alanını, kendi arayüzlerini ve kendi NAT kurallarını kullanıyorsa tek global firewall tablosu yeterli değildir. Aynı CIDR farklı namespace'lerde kullanılabilir; bu durumda firewall'un da namespace bazlı ayrışması gerekir.
Ayrı firewall cihazı kullanmak sadece yönetim yükü değildir; audit ve failover da parçalanır. Operatör "bu trafiği kim açtı?", "hangi otomatik kural hangi vService'ten geldi?", "bu DNAT hangi namespace'te aktif?" sorularına tek panelden cevap veremez. Olay anında ADC log'u, firewall log'u ve routing durumu ayrı ayrı incelenir.
Bir diğer problem kural uygulama güvenliğidir. Geleneksel firewall kural setlerinde tek bir hatalı satır tüm yükleme işlemini başarısız kılabilir. Production ortamında bunun sonucu ağırdır: doğru kurallar da uygulanmaz, trafik kesilir veya güvenlik politikası boşta kalır.
TR7 ADC, firewall'u ADC'nin doğal bir parçası olarak ele alır: her namespace için ayrı kural seti, her arayüz için ayrı kontrol, otomatik ADC/GTM/NAT kuralları, DDoS direktifleri, test-apply pipeline ve hatalı kural izolasyonu tek yönetim modelinde birleşir.
TR7'nin firewall yaklaşımı, ayrı bir güvenlik cihazı mantığından ziyade ADC'nin trafik, routing ve namespace modeline gömülü bir L3/L4 kontrol katmanıdır.
Her namespace kendi firewall yöneticisine sahiptir. Bir namespace içindeki kural, başka namespace'in trafiğine temas etmez. Bu model çoklu tenant, çakışan CIDR ve ayrılmış route table senaryolarında güvenli izolasyon sağlar.
Yeni firewall içeriği önce test edilir, ardından uygulanır. Bir satır hata verirse tüm kurallar iptal edilmez; hatalı satır otomatik devre dışı bırakılır ve sağlam kurallar yeniden denenir. Bu, production değişikliklerinde tek hata yüzünden tüm ruleset'in düşmesini engeller.
IPv4 ve IPv6 kuralları ayrı dosyalarda, ayrı validasyonla ve paralel şekilde yönetilir. Bir IP ailesindeki hata diğerini bozmaz. Dual-stack servislerde güvenlik politikası iki aile için de tutarlı uygulanır.
ADC pool, L4 NAT, inline DNAT, GTM DNS yönlendirme, yönetim erişimi ve backend marker gibi durumlarda firewall kuralları otomatik üretilebilir. Operatör vService açarken güvenlik tarafını ayrıca unutmamış olur.
Yerleşik Güvenlik Duvarı, klasik L3/L4 kontrolün yanında ADC'ye özel otomatik kural üretimi, DDoS azaltma, karantina ve namespace izolasyonunu birlikte sunar.
Her namespace bağımsız firewall kural setiyle çalışır. Tenant A'da tanımlanan DNAT, Tenant B'deki aynı CIDR bloğunu etkilemez. Bu yapı, çoklu müşteri ve çakışan IP alanı senaryolarında temel güvenlik ayrımını sağlar.
IPv4 ve IPv6 kuralları ayrı ruleset olarak üretilir ve uygulanır. Dual-stack servislerde IPv6 tarafı sonradan unutulmaz; her iki IP ailesi için de allow, deny, forward, NAT ve rate-limit kontrolleri yazılabilir.
Kural sadece namespace seviyesinde değil, arayüz seviyesinde de tanımlanabilir. Yönetim arayüzü, sync arayüzü, tenant arayüzü veya servis arayüzü için farklı policy uygulanır. Bu model gerçek trafik giriş/çıkış noktasına göre kontrol sağlar.
Temel firewall işlemleri tek modelde yönetilir. INPUT ve FORWARD zincirlerinde izin verme, engelleme, transit geçişi açma veya belirli trafiği transit dışı bırakma davranışları tanımlanabilir.
Gelen trafiği farklı hedef IP'ye yönlendirmek için DNAT, çıkış trafiğinin kaynak IP'sini değiştirmek için SNAT uygulanabilir. Inline yayınlama, L4 servis yönlendirme ve çoklu kurum servisi segmentleri bu kurallarla yönetilir.
Ülke setleri üzerinden kaynak IP eşleştirme yapılabilir. Belirli ülkeleri allowlist'e almak, belirli ülkeleri engellemek veya saldırı anında riskli bölgeleri hızlıca drop etmek mümkündür. Set tabanlı çalışma sayesinde performans korunur.
IP/CIDR, MAC adresi ve "hariç tut" mantığı desteklenir. Örneğin bir subnet'in tamamı engellenirken belirli IP'ler hariç bırakılabilir. Bu yapı hem operasyonel allowlist hem de geçici incident response kuralları için kullanılır.
Tek kuralda birden fazla port veya port aralığı tanımlanabilir. DNS, RADIUS, SIP, API ve yönetim portları için geniş veya dar kapsamlı erişim politikaları yazılabilir.
Invalid paket drop, yeni TCP bağlantı limiti, toplam bağlantı limiti, UDP flood limiti, DNS/NTP flood limiti, TCP reset limiti, fragment drop, suspicious MSS, LAND attack ve zero-byte UDP gibi hazır korumalar tek policy altında açılabilir.
Eşik aşan kaynaklar geçici karantina setlerine eklenir. Karantina süresi dolduğunda kayıt otomatik düşer. Whitelist setleri karantina kuralından hariç tutulabilir; güvenilir kaynaklar yanlışlıkla etkilenmez.
L4 servislerde belirli istemci trafiğini aynı kurum servisine bağlamak için connection mark ve recent list yapısı kullanılabilir. Bu, UDP veya port-range senaryolarında oturum devamlılığı için önemlidir.
Pool açıldığında servis portuna izin verme, L4 SNAT/DNAT üretme, inline DNAT kuralı oluşturma, GTM DNS erişimini yönlendirme veya local deny kuralı ekleme gibi otomatik rule type'ları desteklenir.
Ruleset uygulanırken hata veren satır tespit edilir, yorum satırına alınır ve kalan kurallar yeniden denenir. Bu sayede tek bir hatalı kural tüm firewall senkronizasyonunu durdurmaz.
Kurallar log üretmek üzere ayarlanabilir. Drop, allow, DNAT veya karantina davranışları audit zincirine dahil edilebilir. Olay sonrası analizde hangi kuralın hangi trafiği etkilediği görülebilir.
Yönetim ve cluster sync trafiği sistem tarafından özel ele alınır. Operasyonel erişimin yanlışlıkla kesilmesini önlemek için kritik arayüzler otomatik allow davranışıyla korunur.
Yerleşik firewall katmanı, sadece kural yazma ekranı değildir; test, senkronizasyon, hata izolasyonu, otomatik kural üretimi ve namespace lifecycle ile birlikte çalışır.
Her namespace için IPv4 ve IPv6 firewall içerikleri ayrı konfigürasyon dosyalarında tutulur. Son birleşik konfigürasyon ayrıca saklanır; böylece değişiklik takibi ve debug süreci kolaylaşır.
Firewall senkronizasyonu belirli timeout sınırlarıyla çalışır. İşlem önce hazır hale gelir, ardından test ve apply adımları yürütülür. Uzun süren veya takılan işlem sistem tarafından sınırlanır.
Çok sayıda namespace olduğunda firewall senkronizasyonu toplu ve paralel şekilde yürütülür. Bu, multi-tenant ortamlarda her namespace'in ayrı ruleset'e sahip olmasını operasyonel olarak yönetilebilir kılar.
pool-tcp-udp, ftp-allow, l4-snat, l4-any-dnat, l4-any-snat, inline-dnat, fw-access-allow, fw-access-dnat, gtm-dns-dnat, gtm-access-dnat, local-deny, be-mark gibi otomatik kural türleri ADC nesnelerinden üretilebilir.
RELATED ve ESTABLISHED trafik için geri dönüş akışları otomatik tanınır. Bu, stateful servislerde her geri dönüş paketi için ayrı manuel kural yazma ihtiyacını azaltır.
Per-source rate limit ve connection limit kontrolleri desteklenir. Aynı IP'den gelen aşırı bağlantı, reset paketi, ICMP paketi, DNS/NTP UDP flood veya yeni TCP connection denemesi sınırlandırılabilir.
ICMP tamamen kapatıldığında IPv6 ve Path MTU Discovery gibi temel ağ işlevleri zarar görebilir. TR7, ICMP politikalarını granüler ele alır; gerekli discovery ve control mesajları güvenli şekilde yönetilebilir.
Hatalı kurallar yorum satırına alındıktan sonra final ruleset diske geri yazılır. Operatör hangi satırın devre dışı bırakıldığını görebilir ve düzeltebilir. Sistem silent failure yerine görünür ve uygulanabilir sonuç üretir.
Yönetim arayüzüne gelen SSH bağlantıları per-source limit ile sınırlandırılır. Aynı IP belirlenen eşiği aşarsa geçici karantinaya alınır. Yönetim erişimi açık kalırken brute-force yüzeyi daraltılır.
Sadece belirli ülkelerden gelen trafiğe izin verilir, diğerleri drop edilir. Finans, kamu veya sağlık sistemlerinde ülke bazlı compliance ve risk azaltma için hızlı bir kontrol sağlar.
Tenant A namespace'inde 1.2.3.4 → 10.0.0.5 DNAT uygulanırken Tenant B aynı iç CIDR'ı farklı kuralla kullanabilir. Namespace ayrımı sayesinde iki tenant'ın NAT politikaları çakışmaz.
UDP zero-byte flood, DNS/NTP flood, anormal TCP, fragment ve connection flood davranışları hashlimit, connlimit ve karantina mekanizmalarıyla azaltılır. Ayrı scrubbing cihazı olmadan temel L3/L4 koruma uygulanır.
İki kurum servisi segmenti arasında transit trafik gerekiyorsa FORWARD kurallarıyla kontrollü geçiş sağlanır. Hangi kaynak hangi hedefe, hangi porttan gidebilir net şekilde tanımlanır.
Kurum servisi IP'si TR7 üzerinden yayınlanır ve gelen trafik inline DNAT ile ilgili kurum servisine taşınır. Uygulama veya kurum servisi IP planı değiştirilmeden TR7 güvenlik ve yönlendirme katmanı araya girer.
Namespace izolasyonu, DDoS direktifleri, DNAT/SNAT ve otomatik kural üretimi — kendi ortamınızda canlı gösterelim.