Bankacılık sektöründe çalıştığım yıllarda bir yönetici toplantısında “firewall alalım” denildiğinde mutlaka sorduğum bir soru olurdu: “Hangisini?” Çünkü “firewall” kelimesi, tıpkı “araba” kelimesi gibi, kendi içinde son derece geniş bir aile barındırır. Sokakta gördüğünüz bir Tofaş ile bir Tesla aynı kategoride değerlendirilemez; aynı mantıkla 1990’larda piyasaya çıkmış bir packet filter cihazı ile günümüzün Next-Generation Firewall’u (NGFW) arasında uçurum vardır. Bu yazıda, bir firewall mimarı olarak yıllar içinde tasarladığım NGFW politikaları ve gerçekleştirdiğim penetrasyon testlerinden çıkardığım derslerle, beş ana firewall mimarisini karşılaştırmalı olarak inceleyeceğim: Packet Filter, Stateful Inspection, Proxy (Application Gateway), Next-Generation Firewall (NGFW) ve Web Application Firewall (WAF). Hangisinin hangi tehdide karşı doğru cevap olduğunu, OSI katmanı ile ilişkilerini ve gerçek dünyada hibrit mimarilerin neden vazgeçilmez olduğunu anlatacağım.

Neden Bu Sınıflandırma Önemli?

Penetrasyon testlerinde sık karşılaştığım bir manzara şudur: Şirket, beş haneli rakamlar harcayarak bir NGFW satın almıştır; ancak konfigürasyon, on yıl önce yazılmış packet filter mantığıyla yapılmıştır. Sonuç olarak, ödenen paranın belki yüzde yirmisi kullanılır. Tersi de mümkün: Küçük bir KOBİ, klasik bir Layer-3 ACL ile yetinmesi gerekirken, NGFW’nin tüm modüllerini açar ve performans çöker. Hangi firewall’ın hangi senaryoda doğru tercih olduğunu anlamak, hem maliyet hem de güvenlik açısından stratejik bir karardır. Mimari seçimi, organizasyonun risk profiline, trafik tipine, regülatif gerekliliklerine ve operasyonel kapasitesine göre belirlenmelidir.

1. Packet Filter Firewall: İlk Nesil ve Hâlâ Yaşıyor

Packet Filter, firewall’ın ilk evrimsel basamağıdır. 1988’de DEC tarafından geliştirilen ilk akademik prototip ile başlayan bu mimari, paketleri tek tek inceleyip OSI’nin 3. (Network) ve 4. (Transport) katmanındaki başlık bilgilerine bakar. İncelenen alanlar genellikle şunlardır:

• Kaynak IP adresi ve hedef IP adresi
• Kaynak port ve hedef port
• Protokol numarası (TCP=6, UDP=17, ICMP=1 vb.)
• TCP bayrakları (SYN, ACK, FIN, RST)
• Gelen paketin geldiği fiziksel arayüz

Packet filter’ın en kritik özelliği “stateless” yani durumsuz olmasıdır. Yani gelen her paketi bağımsız bir varlık olarak değerlendirir; o paketin daha önce başlamış bir bağlantının parçası olup olmadığını sorgulamaz. Bu durum, performans avantajı sağlar (her paket için sadece statik bir kural eşleştirmesi yapılır) ancak güvenlik açısından ciddi zafiyetler doğurur.

Örneğin, bir saldırgan dışarıdan içeriye paket göndermek için “ACK” bayrağı set edilmiş paketleri kullanabilir. Stateless firewall, bu paketin var olan bir bağlantıya ait olup olmadığını bilmediği için ACK paketlerini varsayılan olarak geçirebilir. Bu, klasik “ACK scan” tekniğinin temelidir.

Packet Filter Ne Zaman Kullanılır?

Bugün hâlâ packet filter’ı tercih ettiğimiz senaryolar şunlardır:

• Yüksek throughput gereksinimi olan veri merkezi backbone’larında (çünkü stateful tablo tutmaz, line-rate işler)
• Router üzerinde basit ACL şeklinde (örneğin Cisco IOS access-list)
• Çok düşük gecikme kritik olan finansal alım-satım ağlarında (HFT)
• İç ağda mikro-segmentasyon için L3 kontrol noktaları olarak

MikroTik dünyasında, klasik packet filter mantığını /ip firewall filter bölümünde connection-state=invalid veya benzeri state kontrolü olmadan oluşturulan kurallarda görürsünüz. Ancak MikroTik, varsayılan olarak stateful çalışır; saf packet filter modu özellikle istisnai durumlarda devreye girer.

2. Stateful Inspection Firewall: Bağlantıyı Hatırlayan Çözüm

Check Point’in 1994’te tanıttığı Stateful Inspection, sektörde devrim yarattı. Bu mimari, packet filter’ın eksikliklerini gidermek için “connection table” denilen bir bellek yapısı kullanır. Her yeni TCP el sıkışmasında (3-way handshake) firewall, bağlantının kaynak/hedef IP’leri, portları, sıra numaraları ve durumunu tabloya kaydeder. Bundan sonra gelen paketler, bu tabloyla karşılaştırılır:

• Paket, var olan bir bağlantıya ait mi?
• TCP sequence numarası beklenen aralıkta mı?
• Bağlantı doğru state geçişlerinde mi (SYN_SENT -> ESTABLISHED -> FIN_WAIT)?

Bu yaklaşımın güzelliği, sadece outbound olarak başlatılan bağlantıların geri dönüş paketlerine otomatik olarak izin vermesidir. Yani “bir LAN kullanıcısı google.com’a istek attı, dönen TCP-ACK paketini geçir” demek için ayrı bir kural yazmak gerekmez. Bağlantı tablosu bunu otomatik kontrol eder.

Stateful inspection, OSI’nin 3, 4 ve kısmen 5. (Session) katmanında çalışır. UDP gibi connectionless protokoller için bile pseudo-state mantığı uygulanır: ilk paketten itibaren bir “expected reply” penceresi açılır ve bu pencere içindeki paketler ilişkilendirilir.

Gerçek Dünyadan Bir Örnek

Bir e-ticaret müşterimde, kampanya günlerinde sunucuların önündeki stateful firewall’un connection table’ı dolup paket düşürmeye başladı. Bu, klasik bir “state table exhaustion” senaryosudur. Saldırganlar bu durumdan haberdar olduklarında, kasıtlı olarak SYN paketleriyle bağlantı tablosunu doldurarak gerçek müşterilerin bağlanmasını engelleyebilirler (DoS). Bu nedenle stateful firewall’larda tcp-syncookies, connection-limit ve agresif timeout politikaları kritik öneme sahiptir.

3. Proxy (Application Gateway) Firewall: Aracılık Eden Mimar

Proxy firewall’lar, OSI’nin tepe katmanına (Application Layer, OSI 7) çıkarlar. Bu mimaride istemci, hedefe doğrudan bağlanmaz; bunun yerine firewall ile bir bağlantı kurar, firewall da hedef sunucuya ayrı bir bağlantı açar. Yani trafik akışında firewall, gerçek anlamda “aracılık” eder.

Bu yaklaşımın avantajları çok yönlüdür:

• Uygulama protokolünü tam olarak anlayabilir (HTTP istekleri, FTP komutları, SMTP MAIL FROM komutları vb.)
• Protokol içeriğine göre URL filtreleme, dosya tipi kısıtlama, komut bazlı engelleme yapılabilir
• Gerçek istemci IP’si saklanır; sadece proxy’nin IP’si hedefe görünür
• Önbellekleme (caching) yaparak performans iyileştirmesi sağlanabilir

Ancak proxy’nin dezavantajları da ciddidir. Her protokol için ayrı bir uygulama aracısı (application proxy) gerekir. HTTP için ayrı, FTP için ayrı, SMTP için ayrı bir kod yolu vardır. Yeni protokoller (örneğin QUIC, gRPC) için aracı yazılana kadar trafik geçemez veya generic TCP tunnel olarak geçer ve kontrol edilemez. Ayrıca her paketin uygulama katmanına çıkarılması, performansı ciddi şekilde düşürür.

Modern dünyada saf proxy firewall’lar nadirdir; ancak Squid, ZScaler, McAfee Web Gateway gibi ürünler bu mimariyi sürdürür. Özellikle kurumsal web filtreleme, content inspection ve SaaS güvenlik senaryolarında proxy mantığı vazgeçilmezdir.

Forward Proxy vs Reverse Proxy

Proxy firewall’ları iki kategoride incelemek gerekir:

• Forward Proxy: İç ağdaki istemcilerin internete çıkışını aracılar. Genellikle web filtreleme, SSL inspection ve DLP için kullanılır.
• Reverse Proxy: Dışarıdan gelen kullanıcıların iç sunuculara erişimini aracılar. Yük dengeleme (load balancing), SSL termination ve uygulama katmanı koruma için kullanılır.

4. Next-Generation Firewall (NGFW): Tek Çatı Altında Hepsi

NGFW kavramı, 2008’de Gartner tarafından ortaya atıldı ve hızla pazar standardı haline geldi. Bir cihazın NGFW sayılabilmesi için Gartner’ın tanımına göre şu özellikleri taşıması gerekir:

• Stateful inspection (temel düzeyde)
• Application Identification (App-ID): Port ve protokole bakmadan uygulamayı tanıma
• Integrated Intrusion Prevention System (IPS)
• SSL/TLS inspection: Şifreli trafiği açıp inceleme
• User identification: Kullanıcı bazlı kural yazma (AD/LDAP entegrasyonu)
• Threat intelligence feeds: Dinamik olarak güncellenen tehdit listeleri

NGFW’nin en güçlü tarafı App-ID’dir. Klasik firewall “443 portundan giden trafik HTTPS’dir, izin ver” derken NGFW “443 portundan giden bu trafik aslında BitTorrent over HTTPS, blokla” diyebilir. Çünkü trafiğin imzasına, davranışına ve handshake parametrelerine bakar. Bu, klasik port bazlı politikaların artık ne kadar zayıf kaldığını gösterir.

Palo Alto, Check Point, Fortinet, Cisco Firepower, SonicWall ve Sophos XG bugünün önde gelen NGFW oyuncularıdır. MikroTik, klasik tanım itibarıyla NGFW kategorisine girmez; çünkü L7 uygulama tanıma motoru sınırlıdır, ticari IPS imza veritabanı sunmaz ve SSL inspection için doğal bir modül yoktur. MikroTik’in konumu daha çok “high-performance L3/L4 firewall ve router” şeklinde tanımlanabilir.

NGFW’nin Trade-Off’ları

NGFW’leri sahaya çıkarırken karşılaştığım en büyük yanılgılardan biri “tüm özellikleri açalım, en iyi koruma olsun” mantığıdır. Gerçek hayatta:

• SSL inspection açıldığında throughput %50-70 düşer; çünkü her TLS bağlantısı yeniden şifrelenir.
• IPS modülü, tüm imzalar açıkken false positive oranı artar; uygulama trafiğinin bir kısmı yanlışlıkla bloklanabilir.
• Threat intelligence feed’leri lisans gerektirir; bu lisanslar yıllık ciddi maliyetlere ulaşır.

Bu nedenle NGFW konfigürasyonu, “default’u aç ve unut” yaklaşımıyla değil, organizasyonun risk profiline göre özelleştirilmiş bir tuning sürecini gerektirir.

5. Web Application Firewall (WAF): Uygulama Katmanının Bekçisi

WAF, ne klasik bir firewall ne de NGFW’dir. Daha doğru bir ifadeyle, OSI 7. katmanında çalışan ve özellikle HTTP/HTTPS trafiğini hedef alan, web uygulamalarına özgü saldırıları engelleyen özel bir koruma katmanıdır. Bir WAF, web sunucunun önüne (genellikle reverse proxy modunda) yerleştirilir ve gelen tüm HTTP isteklerini ayrıntılı şekilde analiz eder.

WAF’ın koruduğu tipik saldırı vektörleri:

• SQL Injection (SQLi)
• Cross-Site Scripting (XSS)
• Command Injection
• XML External Entity (XXE)
• Server-Side Request Forgery (SSRF)
• Path Traversal
• OWASP Top 10 listesindeki tüm güncel vektörler
• Bot mitigation, credential stuffing engelleme

WAF’ların iki ana çalışma modeli vardır: Negative model (kötü olanı engelle, geri kalanı geçir) ve Positive model (sadece tanımlı iyi davranışı geçir, geri kalanı engelle). Positive model çok daha güvenlidir ancak öğrenme süreci uzun ve yorucudur. Penetrasyon testlerinde sıklıkla negative model WAF’larda bypass yöntemleri bulurum; positive model WAF’larda ise işim çok daha zordur.

WAF Önde Gelen Çözümler

Cloudflare, AWS WAF, Imperva, F5 Advanced WAF, Akamai Kona ve açık kaynaklı ModSecurity, sektörde en yaygın WAF çözümleridir. ModSecurity, Apache, Nginx ve IIS üzerinde modül olarak çalışır ve OWASP Core Rule Set (CRS) ile birlikte ücretsiz, profesyonel düzeyde koruma sağlar.

NGFW ile WAF arasında sık bir kafa karışıklığı yaşanır. NGFW genel amaçlı bir trafik kontrol cihazıdır; WAF ise uygulamaya özgü, içerik bağlamını bilen bir cihazdır. NGFW, “bu HTTP POST isteği OWASP CRS Rule 942100’e (SQLi pattern) uyuyor” diyemez; WAF ise tam olarak bunu yapmak için tasarlanmıştır.

Karşılaştırma Matrisi: Hangi Firewall, Hangi Tehdit?

Aşağıdaki tablo, beş ana firewall mimarisinin OSI katmanı, hız, görünürlük ve tehdit kategorileri açısından nasıl konumlandığını özetler:

Mimari            OSI    Hız    Görünürlük   Korunan Tehditler
-----------------------------------------------------------------
Packet Filter     3-4    En H   Çok Az       Basit IP/port erişim kontrolü
Stateful          3-5    Hızlı  Orta         Spoofing, oturum hijacking
Proxy             7      Yavaş  Yüksek       Protokol abuse, content filtering
NGFW              3-7    Orta   Yüksek       App-abuse, IDS/IPS imzaları, malware
WAF               7      Orta   En Yüksek    OWASP Top 10, bot, app-layer attack

Hibrit Mimari: Defense in Depth

Gerçek hayatta hiçbir organizasyon tek bir firewall mimarisine bel bağlamaz. Bankacılık projelerimde tasarladığım tipik bir savunma derinliği (defense in depth) mimarisi şöyle bir katmandan oluşur:

1. Perimeter (Edge): ISP bağlantısının hemen ardında DDoS koruması ve yüksek hızlı stateful firewall (örneğin Fortinet 1000F serisi). Burada amaç, hacim bazlı saldırıları emmek ve temel ACL uygulamaktır.
2. Internal Network Firewall: İç ağı segmentlere ayıran, mikro-segmentasyon uygulayan NGFW (örneğin Palo Alto VM serisi). DMZ, kullanıcı segmenti ve sunucu segmenti arasındaki tüm trafik bu noktadan geçer.
3. Application Edge: Web uygulamalarının hemen önünde WAF (örneğin Cloudflare veya ModSecurity ile Nginx). OWASP Top 10 tehditlerine karşı specific koruma.
4. Host-Based Firewall: Her sunucuda lokal olarak çalışan firewall (Windows Defender Firewall, iptables, MikroTik filter on a VM router). En son savunma hattı.

Bu katmanların her biri, kendinden önceki katmanı geçen tehditleri durdurmak için tasarlanmıştır. Bir saldırgan perimeter firewall’u aşsa bile NGFW’de takılır; oradan da kaçarsa WAF tarafından engellenir.

MikroTik’in Bu Spektrumdaki Yeri

MikroTik, bu beş kategoride hangi konumdadır? Açık konuşalım: MikroTik temelde gelişmiş bir stateful firewall’dur. RouterOS’un firewall modülü, packet filter ve stateful inspection özelliklerini sunar. Connection tracking, NAT, mangle, layer-7 protokol eşleme gibi özellikler vardır. Ancak:

• App-ID seviyesinde tanıma yok; layer7-protocol regex bazlıdır ve sınırlıdır.
• Profesyonel IPS imza veritabanı bulunmaz (Suricata gibi harici çözümlerle entegre edilebilir).
• SSL inspection için doğal bir modül yoktur; sadece SNI üzerinden hostname kontrolü mümkündür.
• WAF özelliği bulunmaz; bunun için Nginx + ModSecurity gibi ek katman gerekir.

Bu MikroTik’i kötü yapmaz; aksine fiyat-performans oranı açısından mükemmel bir L3/L4 firewall’dur. Küçük-orta ölçekli işletmelerde MikroTik tek başına yeterlidir. Büyük kurumlarda ise MikroTik genellikle iç segmentasyon ve perimeter routing rolünde, NGFW ve WAF ile birlikte kullanılır.

OSI Katmanları ile Firewall İlişkisi

OSI modelinin yedi katmanı ve her birinde hangi firewall’un nasıl çalıştığını görselleştirmek, mimari kararları kolaylaştırır:

• Layer 1 (Physical) ve Layer 2 (Data Link): Klasik firewall’lar bu katmanlarda çalışmaz. MAC adresi bazlı filtreleme yapan switch ACL’leri burada yer alır.
• Layer 3 (Network): IP bazlı filtreleme. Tüm firewall’ların en temel inceleme katmanı.
• Layer 4 (Transport): TCP/UDP port ve bayraklar. Stateful firewall’ların kritik katmanı.
• Layer 5 (Session): Bağlantı durumu tutulması. Stateful inspection’ın çalışma alanı.
• Layer 6 (Presentation): SSL/TLS gibi şifreleme. NGFW’lerin SSL inspection özelliği burada devreye girer.
• Layer 7 (Application): Uygulama protokolleri (HTTP, FTP, SMTP). Proxy, NGFW ve WAF’ın işleyiş alanı.

Karar Verme Çerçevesi: Hangisini Seçmeliyim?

Müşterilerime mimari tavsiyesi verirken kullandığım basit bir karar çerçevesi vardır. Şu soruları sırayla sorun:

1. Trafik hacmim ne kadar? Eğer 40 Gbps üstüne çıkıyorsa, line-rate stateful firewall + sonrasında selective DPI.
2. Hangi uygulamaları koruyorum? Eğer ağırlıklı web ise, mutlaka WAF katmanı eklemeli.
3. Regülatif gerekliliklerim var mı? PCI-DSS, KVKK, HIPAA gibi standartlar belirli kontrolleri zorunlu kılar; NGFW’nin loglama yetenekleri kritik olabilir.
4. Operasyonel ekibim ne kadar tecrübeli? NGFW konfigürasyonu, klasik firewall’a kıyasla çok daha fazla bilgi gerektirir.
5. Bütçem nedir? NGFW lisansları her yıl yenilenir ve cihaz fiyatının %30-50’sine ulaşabilir.

Sıkça Sorulan Sorular

NGFW ile UTM aynı şey midir?

Hayır. UTM (Unified Threat Management), KOBİ pazarına yönelik all-in-one güvenlik cihazıdır; antivirüs, anti-spam, web filtering gibi modülleri de barındırır. NGFW ise daha kurumsal odaklı, performansı yüksek, application-aware bir mimari kategorisidir. Pratikte sınırlar bulanıklaşmıştır; Fortinet gibi üreticiler ürünlerine her iki etiketi de takabilmektedir.

Bir packet filter NGFW yerine yeterli olabilir mi?

Çok özel senaryolar dışında hayır. Modern tehditlerin büyük çoğunluğu (malware komuta-kontrol trafiği, command injection, encrypted attack channels) application katmanında çalıştığı için L3/L4 packet filter görmez bile.

MikroTik ile NGFW yapabilir miyim?

Tam anlamıyla hayır. Ancak MikroTik’i bir IPS (örneğin Suricata) ile birlikte ve önünde bir WAF olacak şekilde tasarlarsanız, NGFW’ye yakın bir koruma elde edebilirsiniz. Daha doğru bir yaklaşım, MikroTik’i routing/segmentasyon için kullanıp uygulama trafiğinin önüne ticari NGFW koymaktır.

Cloud ortamlarda hangi firewall kullanılır?

AWS Security Groups, Azure NSG, GCP Firewall Rules temelde stateful packet filter’dır. Üzerine AWS Network Firewall, Azure Firewall Premium, Cloudflare WAF gibi katmanlar eklenir. Cloud-native NGFW olarak Palo Alto VM-Series, Fortinet FortiGate-VM, Check Point CloudGuard yaygındır.

SSL inspection yasal mıdır?

Kurumsal ağda, çalışanlara önceden duyurulduğu ve KVKK/GDPR’a uygun şekilde implement edildiği takdirde yasaldır. Ancak bankacılık, sağlık gibi belirli oturumlar (örneğin online bankacılık trafiği) inspection’dan çıkarılmalıdır.

Sonuç

Firewall seçimi, “en pahalı olanı al” mantığıyla yapılan bir alışveriş değildir; organizasyonun risk profilini, trafik karakteristiğini ve operasyonel kapasitesini bütünsel olarak değerlendiren stratejik bir karardır. Packet filter, stateful inspection, proxy, NGFW ve WAF; her biri farklı bir problem için tasarlanmış, kendi alanında güçlü çözümlerdir. Profesyonel bir güvenlik mimarisi, bu beşinin akıllıca kombine edildiği çok katmanlı bir defense in depth yaklaşımıdır. MikroTik gibi cost-effective platformlar, doğru noktada kullanıldığında bu mimarinin önemli bir parçası olabilir; ancak her ihtiyacı tek başına karşılayacağı yanılgısına düşülmemelidir. Güvenlik, katmanlardan ve doğru aletin doğru iş için seçilmesinden oluşur.

Bu Konuda Daha Fazla

Konuyla bütünleşik olarak okumanızı önerdiğimiz içerikler: MikroTik Hardening: Sertleştirme Kontrol Listesi ve Saldırı Yüzeyi Azaltma; TCP Flood Saldırıları: MikroTik 3 Katmanlı Savunma; MikroTik Firewall: Üretim Ortamında Mutlaka Olması Gereken 12 Kural ve Otomasyonu; Sunucu Önünde MikroTik: DDoS Mitigation, Rate Limit ve Geo-IP Filtreleme Mimarisi; MikroTik Firewall Stratejisi: Zero Trust Mimarisinden Adaptive Defense'e.

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• NIST Cybersecurity Framework
• OWASP Foundation
• MITRE ATT&CK Matrix
• Wikipedia: Network Address Translation
• Wikipedia: OSI Model