Bir bankanın güvenlik ekibi olarak 2019 yılında Palo Alto PA-5260 cihazlarını sahaya çıkarmaya başladığımızda, ilk hafta yaşadığımız sürpriz şu olmuştu: trafiğin %30’u, klasik port-protokol eşleştirmesinin söyleyemediği şekilde, “tunneled” yani bir protokolün başka bir protokol içinde geçtiği saldırı veya gri trafikti. Bu deneyim, Next-Generation Firewall’un (NGFW) ne neden bu kadar önemli olduğunu somut bir biçimde gösteriyordu. Klasik firewall “443 portu HTTPS’dir” der; NGFW ise “443 portundan giden trafik aslında BitTorrent over HTTPS, blokla” diyebilir. 2026 itibarıyla NGFW pazarı dramatik şekilde olgunlaşmış durumda; aynı zamanda yeni saldırı vektörleri (TLS 1.3, ECH/Encrypted ClientHello, QUIC) NGFW’lerin görünürlüğünü zorluyor. Bu yazıda NGFW’nin kalbinde yatan App-ID, IPS, SSL inspection, sandboxing mekanizmalarını açıklayacağım; MikroTik’in bu spektrumda nerede konumlandığını dürüstçe konuşacağım ve hibrit mimari önerileri ile yazıyı bitireceğim.

NGFW Tanımı: Gartner’ın Çerçevesi ve Pratikteki Gerçeklik

Gartner’ın 2009’da yayınladığı orijinal NGFW tanımına göre bir firewall’ın “next-generation” sayılabilmesi için şu özelliklere sahip olması gerekir: stateful inspection, integrated IPS, application awareness ve external intelligence kullanımı. Bu liste yıllar içinde genişlemiştir; 2026 itibarıyla bir NGFW’den şunları beklemekteyiz:

• Application Identification (App-ID): Trafiği port-protokole değil, uygulamaya göre tanır.
• User Identification (User-ID): AD/LDAP entegrasyonuyla kullanıcı bazlı politika.
• Intrusion Prevention System (IPS): İmza ve heuristic tabanlı saldırı tespiti.
• SSL/TLS Inspection: Şifreli trafiği decrypt edip inceleme.
• Threat Intelligence Feed: Real-time tehdit listeleri.
• URL Filtering: Web sitesi kategorisi bazlı erişim kontrolü.
• Sandboxing: Şüpheli dosyaları izole ortamda çalıştırıp davranışını gözlemleme.
• Advanced DNS Security: DGA (domain generation algorithm) tespit, DNS tunneling engelleme.
• ZTNA / SASE entegrasyonu: Zero Trust Network Access ve cloud-native genişleme.

Pratikte her üretici bu listeyi kendi marketing diline çevirir. Palo Alto’da “Single-Pass Architecture”, Fortinet’te “Security Fabric”, Check Point’te “ThreatCloud”, Cisco’da “Firepower Threat Defense” gibi isimler aynı temellere farklı isimler verir.

App-ID: Trafiğin Gerçek Kimliği

App-ID, NGFW’nin kalbidir. Klasik firewall TCP 443 portundan geçen her şeyi “HTTPS” olarak işaretler. App-ID ise bu trafiği inceleyip gerçek uygulamayı belirler. Nasıl?

1. Decoder modülü: İlk paketlerden protocol fingerprint çıkarılır. HTTP başlıkları, TLS handshake parametreleri, SOCKS başlıkları parse edilir.
2. Signature matching: Üreticinin imza veritabanı (Palo Alto’da 4000+, Fortinet’te 3000+ uygulama) ile karşılaştırma yapılır.
3. Heuristic analysis: Paket boyutu, paket arası süre, payload entropy gibi davranışsal özellikler değerlendirilir.
4. Protocol decoder: Uygulama protokolünün altındaki tunneled protokoller tespit edilir (örneğin TLS içinde BitTorrent).

Sonuç olarak NGFW, trafiği “Microsoft 365” veya “Salesforce” veya “Telegram” gibi uygulama kimlikleri ile etiketler. Politika yazarken artık “443 portu izin ver” değil, “Microsoft 365 izin ver, Telegram bloklu” şeklinde kural yazılır. Bu, yönetim açısından çığır açıcı bir değişimdir.

App-ID’nin Zayıf Noktaları

Mükemmel değildir. App-ID şu durumlarda yanılabilir:

• Custom protokoller (kurum içi geliştirilmiş özel uygulamalar) tanınmaz, “unknown-tcp” olarak işaretlenir.
• TLS 1.3 + ECH (Encrypted Client Hello) kullanan trafikte SNI gizlendiği için tanıma zorlaşır.
• Belirli VPN ve proxy uygulamaları (Shadowsocks, Trojan, V2Ray) trafiklerini meşru HTTPS gibi gösterir.
• Yeni çıkmış uygulamalar için imzalar gecikebilir.

Bu nedenle profesyonel NGFW konfigürasyonu, “unknown-tcp” trafiğine karşı özel kurallar (örneğin sıkı log ve ratelimit) içermelidir.

Integrated IPS: Imzalar ve Anomaliler

NGFW’lerin IPS modülü, klasik standalone IPS cihazlarının (örneğin eski TippingPoint) yaptığı işi yapar; ancak firewall ile entegre çalıştığı için politika yazımı çok daha esnektir. Bir IPS imzası, belirli bir saldırı vektörünü (CVE-2024-XYZW gibi) tespit eden bir pattern’dir.

İmza veritabanları üretici tarafından sürekli güncellenir; tipik bir kurumsal NGFW’de günde 20-50 yeni imza eklenir. İmzaların farklı kategorileri vardır:

• Vulnerability signatures: Bilinen CVE’leri sömüren payload’ları tespit eder.
• Spyware signatures: Malware command-and-control (C2) trafiğini yakalar.
• Anti-virus signatures: Dosya transferinde malware imzalarını arar.
• DoS signatures: SYN flood, slowloris, application DoS pattern’ları.
• Anomaly signatures: Protokol RFC’sine aykırı paketler (örneğin HTTP method anomalileri).

IPS modülü, false positive yaratabilen bir alandır. Banka projemizde bir defasında bir IPS imzası, bir iç uygulamanın legitim XML request’ini “XXE attack” olarak işaretledi ve servisi blokladı. Bu nedenle IPS imzaları, production’a alınmadan önce mutlaka “alert-only” modda 1-2 hafta gözlemlenmelidir.

SSL/TLS Inspection: Şifreli Trafiğin Görünürlüğü

İnternet trafiğinin %95’inden fazlası bugün TLS şifreli. Eğer NGFW bu trafiği göremiyorsa, IPS ve App-ID büyük oranda kör. SSL inspection (decryption) bu sorunu çözer ancak ciddi mimari ve operasyonel zorluklar getirir.

SSL inspection iki yönde çalışır:

• Outbound (forward) decryption: İç ağdaki kullanıcının dışarıya yaptığı HTTPS bağlantısı NGFW tarafından açılır. NGFW, kullanıcının istediği siteye kendi sertifikasını sunar (MITM proxy mantığı). Bunun çalışması için NGFW’nin root sertifikası, kurum içi tüm cihazlarda trusted olmalıdır (genellikle GPO ile dağıtılır).
• Inbound (reverse) decryption: Dışarıdan iç sunuculara gelen HTTPS trafiği. NGFW, sunucunun gerçek private key’ini taşır ve trafiği açar.

SSL Inspection’ın Zorlukları

SSL inspection sahaya çıkarmak, NGFW projelerinin en zor adımıdır. Karşılaşacağınız zorluklar:

• Performans: Cihazın throughput’u %50-70 düşebilir. SSL inspection için ayrı hardware acceleration kartları (SPC, ASIC) bulunan modeller seçilmelidir.
• Certificate pinning: Mobil bankacılık, WhatsApp, Apple servisleri sertifika pinning kullanır; NGFW’nin sertifikasını kabul etmezler ve bağlantı kopar. Bu uygulamalar inspection’dan istisna edilmelidir.
• Gizlilik / yasal: KVKK/GDPR açısından çalışan trafiğinin decrypt edilmesi, açık bildirim ve onay gerektirir. Bankacılık, sağlık trafiği inspection dışında tutulmalıdır.
• TLS 1.3 ve ECH: Modern TLS sürümleri inspection’a karşı tasarlanmış özellikler içerir. NGFW’lerin bu sürümlere uyum sağlaması sürekli güncelleme gerektirir.

Sandboxing: Şüpheliyi Akvaryumda İzlemek

Sandboxing, NGFW’nin bilmediği bir dosyayı (örneğin yeni bir PDF, yeni bir .exe) izole bir sanal makineye gönderip orada çalıştırmasıdır. Sanal makine, dosyanın davranışlarını (dosya sistemi değişiklikleri, network aktivitesi, registry düzenlemeleri) loglar ve bir tehdit skoru üretir. Eğer skor yüksekse, dosya geriye doğru bloklu olarak işaretlenir ve gelecekte aynı hash görüldüğünde anında engellenir.

Palo Alto’da bu servis “WildFire”, Fortinet’te “FortiSandbox”, Check Point’te “SandBlast”, Cisco’da “AMP/Threat Grid” olarak adlandırılır. Genellikle cloud-based çalışır; cihaz, şüpheli dosyayı üreticinin cloud sandbox’ına gönderir, sonucu beklerken kullanıcıya geçici izin verebilir (post-analysis) veya sonucu beklemeden blok geri dönebilir (pre-analysis, daha güvenli ama UX’i bozar).

MikroTik’in NGFW Spektrumundaki Konumu

Şimdi dürüst konuşalım. MikroTik bir NGFW midir? Hayır. RouterOS’un firewall modülü, klasik stateful firewall ve gelişmiş routing platformu olarak sınıflandırılabilir. NGFW kategorisindeki ana eksiklikleri:

• App-ID yok: Sadece basit layer-7 regex tabanlı protocol matching var. 4000+ uygulamayı tanıyan profesyonel App-ID motoru yok.
• IPS yok: Ticari imza veritabanı bulunmuyor. Suricata gibi harici çözümlerle entegre edilebilir ama out-of-the-box değil.
• SSL Inspection yok: TLS trafiğini decrypt edip inceleme yeteneği bulunmuyor. Sadece SNI üzerinden hostname kontrolü (TLS-Host matcher) mümkün.
• Sandboxing yok: Bilinmeyen dosyaları analiz etme yeteneği yok.
• User-ID sınırlı: Hotspot ve RADIUS ile kullanıcı kimliği alınabilir ancak AD/LDAP tabanlı dinamik user-aware politika sınırlı.
• Threat intel sınırlı: Manuel olarak IP blacklist’leri scriptlerle çekilebilir, ancak otomatik feed entegrasyonu yok.

Bu MikroTik’i kötü yapmaz; aksine, fiyat-performans oranı açısından mükemmeldir. Bir CCR2004 cihazı 4000 USD civarında 10+ Gbps stateful firewall sunar; aynı performansta bir Palo Alto cihazının fiyatı 30-50 bin USD aralığındadır. Mesele, doğru cihazı doğru yerde kullanmaktır.

Hibrit Mimari: MikroTik + NGFW Birlikte

Müşterilerime önerdiğim tipik hibrit mimari şudur. Önce katmanları belirleyelim, sonra her katmana hangi cihaz uygundur konuşalım.

Edge Routing ve Volumetric Protection

ISP bağlantısının hemen ardında bir MikroTik CCR cihazı (örneğin CCR2216-1G-12XS-2XQ) konumlandırılır. Bu cihaz:

• BGP konuşur, multi-homing yapar
• DDoS volumetric saldırılarını absorb eder
• Basit ACL ile bilinen kötü IP listelerini engeller
• Trafik mühendisliği yapar (QoS, traffic shaping)

Bu konumda NGFW kullanmak verimli değildir; çünkü NGFW lisans maliyetlerinin büyük kısmı App-ID, IPS gibi modüllere gider ve perimeter routing için bu modüllere ihtiyaç yoktur.

Security Inspection Katmanı

MikroTik edge router’dan sonra, asıl inceleme NGFW’de yapılır. Bu noktada Palo Alto, Fortinet veya Check Point cluster’ı konumlandırılır. NGFW:

• App-ID ile trafik kimliklendirme
• IPS ile bilinen saldırıları engelleme
• SSL inspection ile şifreli trafiği inceleme
• URL filtering ile web kategorisi kontrolü
• Sandboxing ile bilinmeyen dosyaları analiz

İç Segmentasyon

NGFW’den sonra iç ağ, MikroTik switch ve router’lar ile mikro-segmentlere ayrılır. VLAN’lar arası geçiş kontrolü MikroTik üzerindeki stateful firewall ile yapılır. Bu noktada NGFW kullanmak gereksiz pahalıdır; çünkü segment-arası trafik genellikle bilinen iç uygulamalardır (örneğin web sunucudan veritabanı sunucusuna SQL trafiği).

Uygulama Önü

Public-facing web uygulamalarının önüne WAF (Cloudflare, AWS WAF, Imperva veya ModSecurity ile Nginx) konumlandırılır. NGFW tek başına OWASP Top 10 saldırılarına karşı yeterli koruma sağlamaz.

Pratik Bir Örnek: 500 Kişilik Şirket Mimarisi

Tipik bir orta ölçekli şirket için (500 kullanıcı, 1 Gbps internet, 50 sunucu DMZ) aşağıdaki mimari önerilebilir:

1. Internet edge: MikroTik CCR2004-1G-12S+2XS (yaklaşık 1500-2000 USD). BGP, DDoS rate-limit, ACL.
2. Security gateway: Fortinet FortiGate 200F veya Palo Alto PA-1410 (yaklaşık 15-25 bin USD + yıllık 5-8 bin USD lisans). App-ID, IPS, SSL inspection, sandbox.
3. İç segmentasyon: MikroTik CCR2004 + CRS326 switch’ler. VLAN’lar arası stateful filtering.
4. WAF: Cloudflare Pro plan (web sunucu önünde) veya ModSecurity (kendi-hosted).
5. Endpoint: CrowdStrike Falcon veya SentinelOne EDR (yaklaşık 50-80 USD/endpoint/yıl).

Bu mimaride toplam yatırım yaklaşık 50-70 bin USD + yıllık 20-30 bin USD operasyonel maliyet. Saf NGFW yaklaşımına göre %30-40 daha düşük; çünkü perimeter ve iç segmentasyonda pahalı NGFW lisansı yok.

2026 NGFW Trendleri

2026 itibarıyla NGFW pazarında öne çıkan trendler:

SASE ve ZTNA Konsolidasyonu

Geleneksel “perimeter firewall” modeli, uzaktan çalışan kullanıcı sayısının artmasıyla yetersizleşti. SASE (Secure Access Service Edge) mimarisi, firewall, VPN, SWG, CASB, ZTNA gibi tüm güvenlik servislerini cloud-based bir platformda birleştirir. Palo Alto Prisma Access, Fortinet FortiSASE, Zscaler Zero Trust Exchange bu kategorinin önde gelen oyuncularıdır.

AI-driven Threat Detection

Üreticiler, statik imza tabanlı IPS’ten AI ve ML tabanlı anomali tespitine geçiyor. Trafiğin “normal” davranışı öğreniliyor; sapan davranışlar otomatik flagleniyor. Cisco SecureX, Palo Alto AIOps, Fortinet FortiAI bu yaklaşımın öncüleri.

Encrypted Traffic Analysis (ETA) without Decryption

SSL inspection’ın hem performans hem de yasal sorunları nedeniyle yeni bir yaklaşım: TLS trafiğini decrypt etmeden, sadece handshake parametreleri (JA3/JA4 fingerprinting), paket boyutu dağılımı ve davranışsal özellikler kullanarak malware C2 trafiğini tespit etmek. Cisco ETA bu konuda öncü; diğer üreticiler hızla takip ediyor.

Cloud-Native ve Container-Aware Firewall

Kubernetes ve container ortamları için tasarlanmış NGFW’ler ortaya çıktı. Palo Alto Prisma Cloud, Sysdig Secure, Fortinet FortiCNP gibi çözümler, container içi trafiği L7 düzeyinde inceleyebiliyor.

MikroTik ile NGFW Benzeri Bir Yığın Oluşturmak

Eğer bütçe kısıtlıysa ve MikroTik üzerinde NGFW benzeri bir yığın oluşturmak gerekiyorsa, şu mimari önerilir:

1. MikroTik temel firewall: Stateful inspection, NAT, basic ACL.
2. Suricata IDS/IPS: MikroTik’in TZSP veya port mirror özelliği ile bir Linux makineye trafik kopyalanır; Suricata burada IPS imza analizi yapar.
3. Squid + ICAP + ClamAV: Web trafiği için forward proxy. ClamAV ile dosya tarama.
4. OPNsense veya pfSense: Eğer açık kaynaklı bir gerçek NGFW istiyorsanız, MikroTik’in arkasına bir OPNsense ekleyebilirsiniz. Sucri-IPS, ClamAV, Zenarmor gibi pakellerle NGFW benzeri özellikler ücretsiz elde edilir.
5. ModSecurity + Nginx: Web uygulamalarının önünde WAF olarak.

Bu yığın, ticari bir NGFW’nin sunduğu özelliklerin büyük kısmını sağlar ancak operasyonel olarak çok daha yorucudur. Imza güncellemeleri, performans tuning, log korelasyonu manuel yapılır. Küçük işletmeler için kabul edilebilir, kurumsal ortamlar için pratik değil.

NGFW Konfigürasyonunda En Sık Yapılan Hatalar

Onlarca NGFW projesini sahaya çıkarmış biri olarak en sık karşılaştığım hatalar şunlardır:

• “Allow any any” kuralı en altta: Politikanın en sonunda fallback olarak “allow any” kuralı bırakmak, NGFW’nin tüm değerini ortadan kaldırır. Politikanın altında mutlaka “deny any any log” olmalıdır.
• IPS profili “monitor” modunda kalır: Pilot sırasında alert-only çalıştırılan IPS, prod’a geçişte unutulur. İmzalar görülür ama blok yapılmaz.
• SSL inspection sertifikası tüm cihazlara dağıtılmamış: Misafir Wi-Fi’da sertifika hatası görülür ve kullanıcı şikayet eder; bunun üzerine SSL inspection guest segment için bypass edilir ve kalıcılaşır.
• Default deny logging kapalı: Engellenen trafik loglanmıyor; sorun yaşanan kullanıcı şikayetlerinde nedeni bulmak imkansız hale gelir.
• Backup ve config versiyonlama yok: Cihaz arızasında saatlerce hatta günlerce kayıp yaşanır. Otomatik günlük backup’lar kritiktir.
• HA cluster split-brain testleri yapılmamış: Failover olduğunda her iki node aktif olabilir ve trafik kaybı yaşanır.

NGFW Operasyon Pratikleri

NGFW cihazını sahaya almak iş bittikten sonra başlar. Operasyonel pratikler şunları kapsamalı:

1. Haftalık imza güncelleme rutinleri (otomatik, ama doğrulamalı)
2. Aylık politika temizlik oturumları (kullanılmayan kuralları kaldırma)
3. Üç aylık penetration test ile politika doğrulama
4. SIEM entegrasyonu (Splunk, Elastic, Sumo Logic) ve korelasyon kuralları
5. Quarterly disaster recovery tatbikatı (HA failover, config restore)
6. Yıllık vendor renewal değerlendirmesi (rakip ürünleri benchmark etme)

Sıkça Sorulan Sorular

NGFW satın alırken hangi parametrelere bakmalıyım?

Throughput (firewall, IPS, SSL inspection için ayrı ayrı), concurrent connection sayısı, new connection per second, VPN throughput, lisans modeli (perpetual vs subscription), failover/HA mimarisi. Vendor lock-in açısından da değerlendirin.

MikroTik tek başına yeterli olabilir mi?

KOBİ ve home ofis için evet, kurumsal ortamlar için hayır. Bankacılık, sağlık, e-ticaret gibi sektörlerde compliance gereksinimleri MikroTik’in tek başına karşılayamayacağı kontroller içerir.

SSL inspection açmadan NGFW etkili olur mu?

Sınırlı şekilde. Trafiğin %95’i şifreli olduğu için IPS ve App-ID etkinliği büyük oranda düşer. URL filtering, SNI-based blocking, DNS güvenliği gibi katmanlar devreye girer ama tam görünürlük için inspection gerekir.

2026’da hangi NGFW liderdir?

Gartner Magic Quadrant 2026’ya göre Palo Alto Networks ve Fortinet, leader kadranında baskın oyunculardır. Check Point ve Cisco da güçlüdür. Sophos ve SonicWall, KOBİ segmentinde tercih edilir.

Cloud workload için NGFW gerekli midir?

AWS/Azure/GCP’nin native Security Group’ları temel düzeyde stateful firewall sunar. Production workload için Palo Alto VM-Series, Fortinet FortiGate-VM gibi cloud-native NGFW eklenmesi önerilir. Özellikle inter-VPC trafiği ve threat intelligence için.

Sonuç

Next-Generation Firewall, sadece bir cihaz değildir; bir yaklaşımdır. Uygulamaların port-protokol seviyesinden çıkıp gerçek kimlikleriyle politika yazılması, IPS imzalarının firewall ile entegre çalışması, şifreli trafiğin görünürlüğü ve bilinmeyen dosyaların sandbox’ta analiz edilmesi, modern güvenlik mimarisinin vazgeçilmez bileşenleridir. MikroTik bu spektrumda klasik bir L3/L4 stateful firewall olarak konumlanır; mükemmel bir routing ve segmentation cihazıdır ancak NGFW’nin yerini tutamaz. Doğru mimari, MikroTik’in fiyat-performans avantajını uygun katmanlarda kullanırken, kritik güvenlik incelemesini ticari NGFW’ye veya open-source bir yığına devreden hibrit bir yaklaşımdır. 2026 itibarıyla SASE, ZTNA ve AI-driven detection trendleri NGFW’leri yeni bir nesle taşıyor; doğru zamanda doğru cihazı seçmek, hem güvenlik hem de bütçe açısından kritik bir karar olmaya devam edecek.

Bu Yazıyla Birlikte Önerilenler

Bu konuyla doğrudan ilişkili pratik rehberlerimiz:

1. Firewall Türleri Karşılaştırması: Packet Filter, Stateful, Proxy, NGFW ve WAF
2. Firewall'lar Paketleri Nasıl İnceler? Connection Tracking, Stateful Inspection ve DPI
3. MikroTik Layer 7 Protocol Filtering: Uygulama Katmanı Trafik Tanıma ve Engelleme
4. Sunucu Önünde MikroTik: DDoS Mitigation, Rate Limit ve Geo-IP Filtreleme Mimarisi

Kaynaklar ve Daha Fazla Bilgi

Bu yazıdaki konuları derinleştirmek için aşağıdaki otoriter kaynaklara başvurabilirsiniz:

• NIST Cybersecurity Framework
• OWASP Foundation
• MITRE ATT&CK Matrix