1. GİRİŞ

Firewall (güvenlik duvarı) mimarisi, ağ ve uygulama trafiğini yetkilendirme, filtreleme ve denetleme prensipleriyle kontrol eden temel güvenlik bileşenidir. Günümüzde firewall'lar sadece port ve IP tabanlı filtrelerden ibaret değildir; uygulama farkındalığı, kullanıcı kimliği, içerik denetimi ve entegre tehdit istihbaratı ile davranış tabanlı kararlar alır. Bulut‑native uygulamalar, mikroservisler, şifreli trafik ve sıfır‑güven (Zero Trust) yaklaşımları, firewall mimarisini yeniden düşünmeyi gerektirir.

Bu konu neden bugün önemli?

• Şifreli trafik oranı arttı; görünürlük sağlamak zorlaştı.
• Dağıtık uygulama ve çoklu bulut mimarileri, merkezi perimetre varsayımını geçersiz kıldı.
• Performans, ölçeklenebilirlik ve gizlilik gereksinimleri firewall tasarımında kritik rol oynuyor.

Kimler için önemli?

• Network ve güvenlik mimarları
• Platform mühendisleri ve SRE'ler
• Bulut mimarları ve güvenlik mühendisleri
• SOC ve detection engineering ekipleri

2. KAVRAMSAL TEMELLER

2.1 Firewall nedir — temel tanım

Firewall, iki veya daha fazla ağ segmenti arasındaki trafiği poliçelere göre kontrol eden ve denetleyen ağ güvenlik cihazıdır. Amaç: yetkisiz erişimi engellemek, saldırı girişimlerini bloke etmek ve güvenlik politikalarını uygulamaktır.

2.2 Temel terminoloji

• Stateless firewall: Paket başlık bilgisine göre basit kurallar uygulayan, bağlantı durumunu takip etmeyen cihaz.
• Stateful firewall: Oturum bilgisi (connection state) tutar; TCP session tablolarına göre karar verir.
• NGFW (Next‑Gen Firewall): Uygulama katmanı (L7) görünürlüğü, TLS inspection, intrusion prevention sistemleri ve kullanıcı kimliği ile gelişmiş kontrol sağlayan firewall.
• Distributed / Virtual firewall: Ağdaki birçok noktada (ör. hypervisor, container host, cloud VPC) çalışan firewall örnekleri; mikrosegmentation için kullanılır.
• Policy engine: Kararların verildiği merkezî bileşen veya politika mantığı.

2.3 Firewall bileşenleri

• Packet processing dataplane (fast path)
• Control plane — policy management, logging, analytics
• Management plane — konfigürasyon, user interface, API
• Telemetry & logging — flow, alert, event stream

3. NASIL ÇALIŞIR?

3.1 Sistem mimarisi — high level

Modern firewall mimarisi tipik olarak üç katman içerir: dataplane (paket işleme), control plane (policy kararları) ve management plane (operasyonel yönetim). Dataplane yüksek hızlı forwarding ve karar uygulamadan sorumludur; control plane kararları verir ve gerektiğinde dataplane'i günceller. Log ve telemetri, SIEM veya NDR platformlarına gönderilerek detection ve korelasyon yapılır.

3.2 Dataplane vs Control plane

Dataplane: düşük gecikmeli, kernel veya wire speed seviyesinde çalışan komponent. Control plane: daha ağır operasyonlar, policy derleme, güncelleme ve entegre hizmetler (IPS, AV, threat intel enrichment) için kullanılır. İyi bir mimari dataplane'i minimal tutar, weighing heavy operations to control plane asynchronously.

3.3 Örnek veri akışı

1. Gelen paket ilk olarak dataplane'in hızlı kontrolünden geçer (ACL, state check).
2. Uygulama veya derin inspeksiyon gerekiyorsa packet veya session control plane'e aktarılır.
3. Control plane policy'i değerlendirir ve dataplane'e karar gönderir (allow/deny, redirect to proxy, SSL inspect).
4. Telemetry üretilip loglandığında SIEM/NDR tarafında korelasyon için toplanır.

3.4 Uygulama katmanı ve TLS inspection

TLS inspection, modern saldırıların tespitinde kritik bir adımdır. Ancak, TLS terminasyonu; gizlilik, performans ve yasal uyumluluk (özellikle kişisel veri içeren trafiğe müdahale) açılarından dikkat gerektirir. Yaklaşımlar: full inspection (man‑in‑the‑middle), selective inspection (sensitive kaynaklar hariç), veya metadata‑based inspection (SNI, JA3, TLS fingerprinting) kullanılarak daha az invaziv yöntemler tercih edilebilir.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Veri merkezi ve bulut senaryoları

Veri merkezlerinde firewall'lar genellikle edge, core ve host seviyelerinde konumlandırılır. Bulut ortamlarında VPC/NSG/SG gibi primitive'ler kullanılırken, NGFW ve cloud‑native WAF ile birleşik politikalar uygulanır. Büyük ölçekli platformlar microsegmentation ve workload identity ile birlikte distributed firewall yaklaşımlarını benimser.

4.2 Servis mesh ve uygulama içi güvenlik

Mikroservis mimarilerinde firewall fonksiyonlarının bazıları servis mesh içinde (mTLS, authorization policies) uygulanır. Service mesh, L7 politikalarına ve telemetry'e kolay erişim sağlayarak uygulama‑düzeyinde daha granüler kontrol sunar.

4.3 Edge ve SASE kullanımları

Remote kullanıcılar için SASE yaklaşımları, firewall fonksiyonlarını cloud edge noktalarında uygulayarak kullanıcıya yakın zamanda policy enforcement yapar. Bu, global dağıtık çalışan çevreler için performans ve güvenliğin dengelenmesine yardımcı olur.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar

• Yetkilendirme ve erişim kontrolünün merkezi uygulanması
• Tehditlerin erken tespiti ve otomatik bloklama
• Policy management ile uyumluluk ve audit sağlama

Sınırlamalar

• TLS inspection ve ileri analizde performans maliyeti
• Distributed mimarilerde policy dağıtımı ve yönetimi karmaşası
• Yanlış kurallar iş sürekliliğini etkileyebilir — teljes test ve canary deploy gerektirir

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

Production kullanımı

• Policy as code: Kurallar versiyonlanmalı, CI/CD ile test edilip canary rollout yapılmalı.
• Least privilege: Network erişim izinleri en dar kapsamda verilmelidir.
• Zero Trust entegrasyonu: user identity ve device posture politikalarına dayalı erişim politikaları uygulayın.
• Logging ve telemetry: flow, packet metadata ve TLS metadata standardize edilip merkezi sisteme gönderilmeli.
• Test & validation: yeni kurallar staging ortamında davranış testi ve performans benchmark'ı ile doğrulanmalı.

Performans ve optimizasyon

• Flow sampling ve metadata tabanlı detection ile tam payload inspection gereksinimini azaltın.
• Hardware offload (ASIC/FPGA) veya eBPF tabanlı dataplane ile paket işleme hızını yükseltin.
• Cache ve connection tracking optimizasyonu ile state table büyümesini yönetin.

Güvenlik

• Key management: TLS inspection için kullanılan sertifika anahtarları KMS/HSM içinde saklanmalı ve rotasyon uygulanmalı.
• Segregation of duties: yönetim erişimleri auditlenmeli ve rollback yolu tanımlı olmalı.
• Threat intel entegrasyonu: IOC ve reputation listeleri düzenli olarak güncellenmeli.

8. SIK YAPILAN HATALAR

• Policy explosion: Kullanılmayan veya çakışan kuralların yıllarca kalması — düzenli cleanup gereklidir.
• DNS ve SNI metadata'sına güvenip payload inspection yapmamak; spoofing riskleri vardır.
• TLS inspection'ı tüm trafiğe açmak — gizlilik ve uyumluluk ihlallerine sebep olabilir.
• Distributed firewall'lar için merkezi policy yönetimini kurmamak — policy drift oluşur.

9. GELECEK TRENDLER

9.1 SASE ve cloud‑native firewall'lar

Ağ güvenliği bulut kenarında (edge) verilecek; SASE mimarileri ile firewall fonksiyonları edge'de ve kullanıcıya yakın noktada uygulanacak. Bu, global dağıtık çalışma modelleri için performans‑uyumlu bir yapı sunacak.

9.2 eBPF, P4 ve programmable dataplane

eBPF ve P4 gibi veri düzlemi programlanabilir teknolojiler, firewall işlevlerinin yüksek performanslı ve esnek şekilde kernel seviyesinde uygulanmasını sağlayacak; uygulama‑özgü politikalar daha verimli çalışacak.

9.3 AI/ML tabanlı trafik analizleri

ML modelleri anomali tespiti, TLS metadata analizleri ve signal fusion ile false positive'i azaltacak; model governance ve explainability önemli olacak.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. NGFW ile dağıtık firewall arasındaki fark nedir?

   NGFW, genellikle ağ kenarında hizmet veren, uygulama ve içerik denetimi sağlayan gelişmiş bir cihazken; dağıtık firewall (host/pod seviyesinde) mikrosegmentasyon ve uygulama içi kontrol sağlar. Her ikisi birlikte kullanıldığında en iyi korumayı verir.

2. 2. TLS inspection'ı tüm trafiğe uygulamalı mıyım?

   Tüm trafiğe uygulamak gizlilik, performans ve uyumluluk sorunlarına yol açabilir. Risk‑based yaklaşım, sensitive data path'leri için inspection ve metadata‑based monitoring kombinasyonu daha pratiktir.

3. 3. Policy as code neden önemlidir?

   Policy as code, kuralların versiyon kontrolü, otomatik test ve CI/CD ile dağıtımını sağlar; insan hatasını azaltır ve audit izlenebilirliği getirir.

4. 4. Mikrosegmentasyon ile neyi hedeflemeliyim?

   Kritik veri yolları, yönetim düzlemleri ve sensitive workload'lar mikrosegmentasyonun öncelikli hedefleri olmalıdır.

5. 5. Hangi metrikleri izlemeliyim?

   Flow volume, blocked connections, policy hit rate, TLS inspection latency, dataplane CPU/packet rate ve policy drift metrikleri izlenmelidir.

6. 6. eBPF tabanlı firewall avantajları nelerdir?

   eBPF, kernel seviyesinde düşük gecikme ile esnek paket işleme sağlar; kullanıcı alanına veri aktarımını azaltır ve performans sağlar.

7. 7. Firewall loglarını nereye göndermeliyim?

   SIEM, NDR veya centralized telemetry lake (hot/warm/cold) yapılarına gönderin; korelasyon ve uzun dönem saklama için uygun retention politikası belirleyin.

8. 8. Küçük ekipler için firewall stratejisi nedir?

   Temel: least privilege network rules, cloud provider native security groups, basit NGFW veya SASE adoption, ve merkezi logging ile başlayın.

Anahtar Kavramlar

• Dataplane: Paketlerin hızlı işlendiği yol.
• Control plane: Politika kararlarının alındığı ve yönetildiği katman.
• NGFW: Uygulama farkındalığı ve gelişmiş tehdit entegrasyonu sağlayan firewall.
• Microsegmentation: İş yüklerini küçük güven bölmelerine ayırma yaklaşımı.
• eBPF: Linux kernel içinde programlanabilir veri düzlemi teknolojisi.

Öğrenme Yol Haritası

1. 0–1 ay: TCP/IP, routing, NAT, temel firewall kavramları öğrenin.
2. 1–3 ay: Stateful vs stateless, ACL, NGFW ve temel TLS kavramlarında pratik yapın.
3. 3–6 ay: Mikrosegmentasyon, service mesh, eBPF ve cloud security group konfigürasyonlarını deneyin.
4. 6–12 ay: Policy as code, SIEM/NDR entegrasyonları, performans optimizasyonu ve programlanabilir dataplane projelerinde çalışın.