Bir kurum ağında en kritik tek nokta cihaz hangisidir diye sorulduğunda, on beş yıllık deneyimimle vereceğim cevap değişmiyor: firewall. Çünkü firewall, ağınızın dış dünya ile konuştuğu sınırdadır; iyi yapılandırıldığında bütün diğer güvenlik katmanlarının üzerine kurulduğu temeli oluşturur, kötü yapılandırıldığında ise diğer her şeyi anlamsız hâle getirir. Bu pillar sayfa, MikroTik üzerinde firewall ile çalışan herkesin — yeni başlayan sistem yöneticisinden, çok şubeli işletmenin BT mimarına kadar — başvurabileceği kapsamlı bir kaynak olarak hazırlandı. Bu rehberi okuduktan sonra hangi kavramları nereye uyguladığınızı bilir, üretim ortamlarınızdaki tasarım kararlarını gerekçelendirmiş olursunuz.

Bu Rehber Kimler İçin Yazıldı?

Firewall ekosistemi, basit görünen ancak derinleştikçe çok katmanlı bir bilgi alanına dönüşen bir konudur. Bu pillar sayfada hedef kitlemizin geniş tutulması bilinçli bir tercih: çünkü konunun “neresinden başlandığı” çok değişebilir.

  • Sistem yöneticileri ve ağ mühendisleri: Günlük operasyonda MikroTik üzerinde firewall kuralı yazan, NAT planlayan veya VPN tüneli açan herkes burada hem temel kavramları hem de üretim ortamına özel ileri konuları bulacak.
  • BT yöneticileri ve karar vericiler: Hangi firewall mimarisinin organizasyonunuza uygun olduğunu, NGFW yatırımının ROI’sini, MikroTik’in kurumsal NGFW alternatiflerine göre nerede durduğunu değerlendirmek isteyenler.
  • Kendi sunucusunu yöneten geliştiriciler: VPS veya kendi donanım sunucularını korumak için MikroTik veya benzer bir router’ı kenar cihazı olarak kullanmak isteyen geliştirici ve sistem operatörleri.
  • Siber güvenlik öğrencileri ve kariyer değiştirenler: Firewall’ın tarihçesinden modern Zero Trust mimarisine kadar bütüncül bir öğrenme yolculuğu için yapılandırılmış kaynak arayanlar.

Yıllar içinde danışmanlık verdiğim hemen her organizasyonda gördüğüm bir örüntü var: firewall yapılandırması yamalı bir patchwork hâline gelmiş, neden var olduğu unutulmuş kurallar var, ve kimse dokunmaya cesaret edemiyor. Bu pillar sayfanın amaçlarından biri, böyle bir kaderden kurtulmanız için ihtiyaç duyduğunuz kavramsal omurgayı tek bir yerde toplamaktır.

MikroTik ile katmanlı firewall stratejisini ve ağ güvenliği konseptini gösteren görsel

Firewall Nedir? Kavramsal Temelleri Anlamadan İleri Gidemezsiniz

Firewall kelimesinin kendisi metafordur: bina mimarisinden alınmıştır, bir yangının bir bölümden diğerine yayılmasını engelleyen yangın duvarını ifade eder. Ağda da aynı işi yapar; bir güven bölgesindeki tehdidin, başka bir güven bölgesine yayılmasını engellemek için tasarlanmıştır. Ancak teknolojik anlamda 1980’lerin sonundan bugüne hangi aşamalardan geçtiğini bilmeden, modern firewall kararlarını gerekçelendirmek zordur.

Eğer firewall kavramına yeni başlıyorsanız veya yıllardır kullansanız da kavramsal arka planını oturtmak istiyorsanız, firewall’un tarihçesinden modern uygulamalarına uzanan kavramsal rehberimiz birinci durağınız olmalıdır. Bu yazı, packet filter’lardan stateful inspection’a, oradan application-aware NGFW’lara nasıl gelindiğini hem teknik hem de organizasyonel sebepleriyle anlatır.

Temelleri oturtan ikinci adım, firewall türlerini karşılaştırarak hangi katmanın hangi sorunu çözdüğünü görmektir. Packet filter ve stateful firewall’ın aynı problemi farklı maliyetlerle çözdüğünü, proxy firewall’ların neden çoğu yerde terk edildiğini, NGFW ve WAF arasında neden seçim yapmak zorunda olmadığınızı detaylıca incelediğimiz firewall türleri karşılaştırma yazımızda kategorilere dair berrak bir tablo bulacaksınız.

Paket İncelemesi: Firewall’un Mutfağı

Bir firewall, çalışırken aslında ne yapar? Yüzeyde basit görünür: paketleri inceler, kurala uyanları geçirir, uymayanları engeller. Ama gerçek mühendislik bu yüzeyin altındadır. Stateful inspection’ın kalbinde duran connection tracking mekanizması, milyonlarca paketin saniyede işlenmesini mümkün kılan veri yapılarıdır. Eğer connection-state mantığını gerçekten anlamadan kural yazıyorsanız, ya gereksiz yere CPU yakan ya da güvenlik açığı bırakan kurallar üretiyorsunuz demektir.

Bu konuyu derinlemesine ele aldığımız bir yazımız var: firewall’lar paketleri nasıl inceler? Connection tracking ve DPI başlıklı yazımızda paketin kart üzerinden girdiği andan firewall karar zincirinin sonuna kadar geçen mikrosaniyeleri görselleştiriyoruz. Bu içerik özellikle MikroTik üzerinde yüksek paket-per-second yüklerinde sorun yaşayanlar için kritik.

İleri bir adım olarak, modern uygulama trafiğini görmek için artık port numarasına bakmak yetmiyor. SSL/TLS içine sarılmış HTTP trafiğinin içinde aslında Facebook mu, Dropbox mı, yoksa Zoom mu olduğunu anlamak için NGFW’lar farklı yöntemler kullanıyor. Bu yöntemlerin teknik derinliğini ve 2026 itibarıyla durumu, Next-Generation Firewall (NGFW) 2026: App-ID, IPS ve SSL Inspection başlıklı yazımızda inceledik. App-ID’nin nasıl çalıştığı, SSL inspection’ın hangi yasal ve teknik tuzakları içerdiği, ve MikroTik’in bu manzaranın neresinde durduğu sorularına bu yazı kapsamlı yanıt verir.

MikroTik Firewall Mimarisi: Sıradan Görünüp Derin Olan Yapı

MikroTik’in firewall’ı, ilk bakışta Linux iptables/nftables üzerine bir kabuk gibi görünür ama gerçek hikâye çok daha incedir. RouterOS’un kendi paket akış (packet flow) modeli vardır; chain’ler (input, forward, output) ile action’lar (accept, drop, reject, jump, fasttrack-connection, log) arasındaki etkileşim, doğru anlaşılmadığında çok ciddi performans ve güvenlik sorunlarına yol açar.

Özellikle “neden bu paket bu kurala düşmüyor?” sorusu, MikroTik dünyasında en sık duyulan sorulardan biridir ve cevabı genellikle chain sırasının ve connection-state işaretlerinin doğru kullanılmamasından kaynaklanır. MikroTik firewall mimarisinin detaylarını incelediğimiz yazımız, chain ve action mantığını sahadan örneklerle açıklar ve sıkça yapılan beş kritik tasarım hatasını numaralandırır.

Standart L3/L4 firewall yetersiz kaldığında, MikroTik’in elinizde tuttuğu bir başka silah Layer 7 Protocol Filtering’dir. Bu özellik regex tabanlı pattern matching ile uygulama imzaları yakalamayı mümkün kılar, ancak yanlış kullanıldığında CPU’yu eritebilir. MikroTik Layer 7 Protocol Filtering rehberimiz, hangi senaryolarda L7 kullanmanın mantıklı olduğunu, hangilerinde alternatif yöntemlere yönelmeniz gerektiğini gerçek dünya benchmarkları ile aktarır.

Hardening: Cihazınızı Saldırı Yüzeyini Daraltarak Korumak

Firewall yapılandırması ne kadar mükemmel olursa olsun, cihazın kendisi savunmasızsa anlamsızdır. MikroTik dünyasında 2018’deki Winbox CVE-2018-14847 zafiyetinden ders almayan yöneticiler hâlâ var. Cihaz hardening’i, üretim ortamına çıkmadan önce bir kontrol listesi olarak uygulanmalıdır. RouterOS sürüm yönetiminden, yönetim portlarının kapatılmasına, SSH key tabanlı kimlik doğrulamadan SNMP topluluk dizilerinin sıkılaştırılmasına kadar her ayrıntının önemi vardır.

Bu konuda tam bir referans olarak MikroTik hardening ve sertleştirme kontrol listemize başvurabilirsiniz. Yazı, açıklamalı bir checklist olarak tasarlandığı için doğrudan operasyonel kullanıma uygundur. Yeni cihazları üretime almadan önce bu listeyi adım adım uygulamanızı tavsiye ederim.

Stratejik Çerçeve: Zero Trust ve Adaptive Defense

Geleneksel “kalede güvenlik” yaklaşımı (perimeter security) modası geçmiş bir paradigma. Modern firewall mimarisi Zero Trust prensiplerine doğru evrildi: hiçbir trafik, sadece “iç ağdan geliyor” diye otomatik güvenilir kabul edilmez. MikroTik gibi geleneksel olarak perimeter cihazı olarak konumlandırılan bir router’ı Zero Trust mimarisi içinde nasıl kullanırsınız? Mikrosegmentasyon nasıl yapılır, kimlik tabanlı erişim politikaları RouterOS üzerinde nasıl ifade edilir?

Bu stratejik sorulara cevap veren MikroTik firewall stratejisi: Zero Trust mimarisinden adaptive defense’e başlıklı yazımız, taktik bilginin üzerine bir mimari katman ekler. Bu içerik özellikle çok şubeli, hibrit (on-prem + cloud) ortamlarda çalışan BT mimarları için yazıldı.

Stratejik çerçevenin operasyonel bir tamamlayıcısı olarak, bir referans kural seti elinizin altında olmalıdır. MikroTik firewall: üretim ortamında mutlaka olması gereken 12 kural başlıklı yazımız, her organizasyonun ilk gün uygulaması gereken minimum güvenlik temelini sunar. Bu 12 kural, “neden bu kural var?” sorusuna gerekçelerle cevap veren bir dokümandır; körü körüne kopyalanacak bir snippet değil, anlayarak adapte edilecek bir baseline’dır.

Pratik Karar Çerçevesi: Hangisini Ne Zaman Kullanmalıyım?

Bu pillar sayfanın size sağladığı bilgi haritası, pratik kararlarda nasıl kullanılır? Birkaç örnek senaryo:

  1. Küçük ofis (5-20 kullanıcı): hAP serisi MikroTik + 12 baseline kuralı + temel hardening checklist’i + DNS filtering. NGFW gerekmez.
  2. Orta ölçekli işletme (50-200 kullanıcı): CCR/RB4011 serisi + tam baseline + L7 filtering + Zero Trust mikrosegmentasyon + VPN ve loglama. Premium tehdit istihbaratı için harici bir kaynak entegrasyonu düşünülebilir.
  3. Sunucu önü deployment: Hardening + 12 kural baseline + DDoS mitigation kuralları (bu konu için ayrı pillar sayfamıza bakın) + connection tracking ayarları. Application-level WAF için ayrıca bir reverse proxy katmanı gerekir.
  4. Çok şubeli kurumsal yapı: MikroTik perimeter + merkezi log/SIEM + Zero Trust politikaları + cihaz başına standart baseline + otomasyonla yapılandırma yönetimi. Bu noktada MikroTik’in The Dude veya harici NMS ile entegrasyonu kritik hâle gelir.

Sıkça Sorulan Sorular

MikroTik bir kurumsal NGFW’nin alternatifi olabilir mi?

Kısa cevap: tek başına değil. Uzun cevap: MikroTik’in fiyat/performans oranı L3/L4 işlemlerde inanılmaz iyidir, ancak imza tabanlı IPS, gelişmiş malware sandbox, integrated SSL inspection gibi NGFW özelliklerini standart olarak sunmaz. Bunlar için ya MikroTik’i bir katman olarak (perimeter + traffic shaping) kullanıp önüne/arkasına başka bir cihaz koymanız ya da açık kaynak alternatifler (Suricata, Snort) ile bütünleştirmeniz gerekir.

Layer 7 firewall ile WAF aynı şey mi?

Hayır. L7 firewall genel uygulama trafiğini protokol seviyesinde tanır ve genellikle pattern matching tabanlıdır. WAF (Web Application Firewall) ise spesifik olarak HTTP/HTTPS uygulamalarını OWASP Top 10 zafiyetlerine (SQL injection, XSS, CSRF vb.) karşı korur. WAF, uygulamanın iş mantığını anlayan kural setleriyle çalışır. İkisi tamamlayıcıdır, birbirini ikame etmez.

Hardening checklist’ini ne sıklıkla gözden geçirmeliyim?

Tavsiyem: her büyük RouterOS sürüm yükseltmesinde (örneğin 7.x’ten 7.y’ye) ve yılda en az bir kez. Ayrıca CVE duyuruları yayınlandığında, ilgili maddeleri öncelikli olarak gözden geçirin. Mümkünse hardening kontrolünü otomasyon araçlarıyla (örneğin RouterOS API üzerinden Ansible playbook ile) çalıştırarak insan hatasını minimize edin.

Zero Trust mimarisi küçük ofislerde uygulanabilir mi?

Evet, ama ölçek değişir. Küçük ofiste Zero Trust’ın esası, “iç ağ” kavramının varsayılan olarak güvenli sayılmamasıdır. Pratikte bu, VLAN segmentasyonu, cihaz başına farklı erişim politikaları, ve hatta misafir/IoT cihazları için izole edilmiş ağ segmentleri anlamına gelir. MikroTik bunları çok düşük maliyetle yapabilir. Mükemmeliyetçi bir Zero Trust uygulaması yerine, kademeli iyileştirme yaklaşımını öneririm.

Üretim ortamında bir firewall kuralını test etmenin güvenli yolu nedir?

İki güçlü yöntem var. Birincisi, kuralı önce action=log ile ekleyip log üretip üretmediğine bakmak — kural mantığını teyit etmenizi sağlar. İkincisi, RouterOS’un Safe Mode özelliği: Winbox’tan veya CLI’dan safe mode‘a girip değişikliklerinizi yapın; eğer cihazla bağlantınız koparsa, RouterOS otomatik olarak değişiklikleri geri alır. Bu özelliği bilmeden üretim cihazlarına dokunmak büyük risktir.

Sonuç ve Sonraki Adımlar

Firewall, kurulup unutulan bir cihaz değildir; sürekli ilgi, güncelleme ve gözden geçirme isteyen yaşayan bir savunma katmanıdır. Bu pillar sayfa size konunun haritasını çıkardı — şimdi sırayla, ihtiyacınıza en yakın olan başlıklara dalın. Yeniyseniz kavramsal rehberimizden başlayın; deneyimliyseniz doğrudan üretim ortamı 12 kural baseline’ına veya hardening kontrol listesine geçin.

Güvenlik bütüncül bir disiplindir. Firewall, içeride durduğunuz tek başına bir kale değildir; daha geniş bir savunma stratejisinin parçasıdır. Bu sebeple sizi mutlaka MikroTik ile DDoS Koruma Rehberi pillar sayfamıza da yönlendirmek isterim. Firewall’unuz kuralları işliyor olabilir, ancak büyük hacimli bir DDoS saldırısı altında bant genişliğiniz dolduğunda kuralların hiçbir önemi kalmaz. DDoS koruma stratejisi, firewall stratejinizin tamamlayıcı parçasıdır.

Son bir söz: her firewall kuralı, koyduğunuz anda doğru olsa bile, zamanla bağlamı değişebilir. Yılda bir kez “firewall temizliği” günü ilan edin; kullanılmayan kuralları silin, açıklama yorumları (comment alanları) yetersiz kalanları zenginleştirin, ve tüm yapılandırmayı versiyon kontrolüne alın. Bu disiplin, on yıl boyunca aynı ağda çalıştığınızda farkı yaratan şeydir.