1. Grafik Arayüz (GUI) ile Yapılandırma
FortiGate yönetim panelini kullanarak bağlayıcıları ve engelleme kurallarını adım adım oluşturun.
Yönetim paneline giriş
FortiGate yönetim arayüzünde tehdit beslemesi bağlayıcısı (External Connector) oluşturma alanına gidin:
Security Fabric → External Connectors → Create New
FortiOS 6.x sürümleri için: Security Fabric → Fabric Connectors
Tehdit Kanallarının (External Resource) Tanımlanması
Her tehdit türü için FortiGate panelinde karşılık gelen bağlayıcı tipini seçip aşağıdaki URL adreslerini tek tek ekleyin:
- Domain Listeleri: Domain Name tipinde SGB-Domain-1, SGB-Domain-2, SGB-Domain-3, SGB-Domain-4 ve SGB-Url-1 olarak ekleyin.
- Kategori Tabanlı Listeler: FortiGuard Category tipinde SGB-Web-1, SGB-Web-2, SGB-Web-3 ve SGB-Web-4 olarak ekleyin.
- IP Listeleri: IP Address tipinde SGB-ipv4-1 ve SGB-ipv6-1 olarak ekleyin.
https://connector.klcnetwork.com/feeds/domain-part1.txt
https://connector.klcnetwork.com/feeds/domain-part2.txt
https://connector.klcnetwork.com/feeds/domain-part3.txt
https://connector.klcnetwork.com/feeds/domain-part4.txt
https://connector.klcnetwork.com/feeds/ip-part1.txt
https://connector.klcnetwork.com/feeds/url-part1.txt
https://connector.klcnetwork.com/feeds/ipv6-part1.txt
https://connector.klcnetwork.com/feeds/ipv6net-part1.txt
Refresh Rate: 60 (dakika) ve Status: enable olarak yapılandırın.
Görsel 1: Tehdit kaynakları başarıyla eklendikten sonraki genel durum görüntüsü
Alan Adı Engelleme (DNS Filter Ayarları)
USOM Domain listelerinin (SGB-Domain-1, SGB-Domain-2, SGB-Domain-3, SGB-Domain-4 ve SGB-Url-1) DNS sorguları seviyesinde bloklanması için aşağıdaki adımları uygulayın:
- Security Profiles → DNS Filter alanına girip aktif profilinizi düzenleyin ya da yeni bir profil oluşturun.
- Local Domain Filter (Yerel Alan Adı Filtresi) bölümünü aktif hale getirin.
- Create New seçeneği ile eklediğiniz tüm SGB Domain kaynaklarını buraya tanımlayın ve Action (Aksiyon) değerini Redirect to Block Portal yapın.
- External IP Block List (Harici IP Engelleme Listesi) seçeneğini aktif (Enable) hale getirerek oluşturduğunuz SGB-ipv4-1 ve SGB-ipv6-1 listelerini bu alana ekleyin. Bu sayede zararlı IP adreslerine çözümlenen DNS sorguları da doğrudan engellenecektir.
Görsel 2: DNS Filter profili üzerinde SGB-Domain bağlayıcılarının engelleme kuralları
Kategori Tabanlı Web Engelleme (Web Filter Ayarları)
USOM zararlı bağlantılarının web protokolleri seviyesinde engellenebilmesi için eklenen SGB-Web-1, SGB-Web-2, SGB-Web-3 ve SGB-Web-4 kategorilerini Web Filter profilinde engelleyin:
- Security Profiles → Web Filter alanından aktif profilinizi açın.
- FortiGuard Category Based Filter bölümünden eklediğiniz özel kategorileri (SGB-Web-1..4) bulun.
- Kategorilerin üzerine sağ tıklayarak Action değerini Block (Engelle) olarak belirleyin.
Görsel 3: Web Filter profili üzerinde SGB-Web özel kategorilerinin Blok (Block) konumuna getirilmesi
IP Tabanlı Engelleme (Firewall Policy Ayarları)
Zararlı IPv4 ve IPv6 adres listelerinin (SGB-ipv4-1 ve SGB-ipv6-1) internet çıkışında doğrudan engellenmesi için güvenlik kuralı (Firewall Policy) oluşturun:
- Policy & Objects → Firewall Policy alanına girip Create New butonuna tıklayın.
- Kuralı şu şekilde yapılandırın:
- Name:
SGB-Threats-Block - Incoming Interface: İç network arayüzleriniz (örn: LAN/Internal)
- Outgoing Interface: Dış internet çıkış arayüzleriniz (örn: WAN/External)
- Source:
all(Tüm iç IP'ler) - Destination: Eklediğiniz IP Tehdit Listeleri (
SGB-ipv4-1veSGB-ipv6-1adres objeleri) - Service:
ALL - Action: DENY (Engelle)
- Name:
- Oluşturduğunuz bu engelleme kuralını, internete çıkış izni veren kurallarınızın **en üst sırasına** taşıyın.
Görsel 4: Tehdit IP listelerinin WAN çıkışında DENY kuralı ile engellenmesi
Küçük Cihazlar için Lite Feed Yapılandırması (Opsiyonel)
Lite feed'ler Domain ve IPv4 türleri için üretilmektedir. Cihaz kapasitesine göre uygun zaman aralığını seçin:
- Son 90 Gün: En az kaynak tüketimi — FortiGate 30G, 40F vb. çok düşük kapasiteli cihazlar için ideal.
- Son 180 Gün: Orta düzey koruma — FortiGate 60F vb. cihazlar için önerilir.
- Son 365 Gün: Kapsamlı koruma — FortiGate 80F vb. orta kapasiteli cihazlar için uygundur.
Eklemek istediğiniz zaman aralığı için aşağıdaki URL adreslerini Adım 1-2'deki yöntemle birer External Connector olarak tanımlayın:
https://connector.klcnetwork.com/feeds/domain-90d.txt
https://connector.klcnetwork.com/feeds/domain-180d.txt
https://connector.klcnetwork.com/feeds/domain-365d.txt
https://connector.klcnetwork.com/feeds/ip-90d.txt
https://connector.klcnetwork.com/feeds/ip-180d.txt
https://connector.klcnetwork.com/feeds/ip-365d.txt
- Domain Lite →
SGB-Domain-Lite-90d(tip: Domain Name) - IPv4 Lite →
SGB-ipv4-Lite-90d(tip: IP Address) - Web Filtre için →
SGB-Web-Lite-90d(tip: FortiGuard Category, aynı Domain Lite URL'si ile)
2. CLI Yapılandırması
Cihaz tipinize ve ihtiyacınıza göre uygun sürümü seçin, ardından komut bloğunu kopyalayın.
Görsel 5: Komut satırı üzerinden (CLI) eklenen kaynakların kontrol çıktısı