Sophos XGS Kurulum Rehberi

Sıfırdan Devreye Alma, Temel Sertleştirme ve En İyi Pratikler

Bu rehber, Sophos XGS kurulum sürecini “cihazı tak-çalıştır” seviyesinden çıkarıp, doğru topoloji, güvenli varsayılanlar, düzgün politika mantığı ve yönetilebilir bir yapı kurmanıza yardım eder. İster tek ofis, ister çoklu şube çalışın; hedef aynı: güvenli, performanslı ve denetlenebilir bir kurulum. Yazı boyunca adım adım ilerleyecek, en sık yapılan hataları ve pratik kontrol listelerini paylaşacağız.

Anahtar kelimeler: Sophos XGS kurulum, Sophos firewall devreye alma Okuma süresi: ~10-12 dk Hedef: Güvenli varsayılan + yönetilebilir politika

Bu rehberde ne öğreneceksiniz?

  • Cihaz ilk açılış, temel ağ ayarları ve erişim güvenliği
  • WAN/LAN, VLAN, DHCP, DNS/NTP ve yönlendirme kurgusu
  • Temel sertleştirme: yönetim erişimi, admin politikaları, güncelleme disiplini
  • NAT ve firewall kural mantığı (okunabilir ve sürdürülebilir politika tasarımı)
  • Log/raporlama, bildirimler ve devreye alma test planı

1) Kurulum Öncesi Planlama (Topoloji & Gereksinimler)

Sophos XGS kurulum başarısının yarısı planlama aşamasında gelir. Cihazın arayüzlerini rastgele bağlayıp “sonra düzeltiriz” yaklaşımı, ileride VPN, VLAN, politika yönetimi ve sorun giderme tarafında gereksiz karmaşa yaratır. Bu yüzden önce şunları netleştirin: internet çıkışı (WAN), iç ağ segmentleri (LAN/VLAN), sunucu ağları, misafir ağları, kablosuz erişim, şube bağlantıları ve uzaktan erişim senaryoları.

Pratik ipucu (en çok atlanan konu)

Kurulumdan önce IP planı ve VLAN tablosu çıkarın. Hangi ağın hangi servislere erişeceği, hangi trafiğin engelleneceği (ör. Misafir → Sunucular: yasak) daha baştan belli olursa, firewall kural setiniz “derli toplu” kalır ve büyüdükçe kontrol edilebilir olur.

Planlama checklist’i

  • WAN bilgileri: Statik IP / PPPoE / DHCP, modem köprü (bridge) durumu, public IP sayısı
  • LAN segmentleri: Yönetim, kullanıcı, sunucu, VoIP, IoT, misafir gibi ağ ayrımları
  • DNS/NTP: İç DNS mi, public DNS mi, NTP kaynağı, saat dilimi
  • VPN hedefleri: SSL VPN mi IPsec mi, kimler bağlanacak, MFA ihtiyacı
  • Log ve görünürlük: Rapor e-postaları, SIEM hedefi, saklama süresi
  • Failover: Çift WAN / yedek hat / otomatik geçiş ihtiyacı

2) İlk Açılış ve Temel Kurulum

Sophos XGS cihazını devreye alırken hedefiniz hızlıca interneti görmek değil; önce yönetim erişimini güvenli hale getirmek, sonra doğru arayüz ve zone mantığını oturtmaktır. İlk kurulumda aşağıdaki sırayı izlemek genelde sorunsuz ilerletir:

  1. Yönetim PC’si hazırlığı: Geçici IP verin (cihaz default ağına göre), tarayıcı ile yönetim arayüzüne erişin.
  2. Admin parola değişimi: Varsayılan şifreleri kapatın, güçlü parola + mümkünse MFA planlayın.
  3. Firmware kontrolü: Kurulumdan önce stabil sürüm planı yapın (güncelleme “hemen” değil, kontrollü).
  4. Zone/Interface mantığı: WAN, LAN, DMZ gibi mantıksal ayrımları baştan belirleyin.
  5. Temel servisler: Hostname, DNS, NTP, saat dilimi, yönetim portları.

Okunabilirlik için standart isimlendirme

Arayüzleri ve objeleri “Port2” gibi bırakmayın. Örn: WAN-ISP1, LAN-Users, LAN-Servers, VLAN-Guest. Aynı şekilde IP objeleri: SRV-AD01, NET-Users, GRP-RemoteUsers. 3 ay sonra bile kural setine baktığınızda neyin ne olduğunu anında anlarsınız.

3) Temel Sertleştirme (Hardening) Adımları

Birçok kurulum “çalışıyor” diye devreye alınır; fakat yönetim paneli gereksiz yere her yerden erişilebilir durumdadır, zayıf parola politikaları vardır, loglar izlenmez ve cihaz uzun süre güncellenmeden kalır. Aşağıdaki temel sertleştirme adımları, güvenlik riskini belirgin şekilde düşürür.

Yönetim erişimi

  • Yönetim arayüzünü sadece Yönetim VLAN veya belirli IP’lerden erişilebilir yapın.
  • WAN üzerinden yönetimi kapatın (zorunlu ise IP kısıtı + MFA + log/uyarı şart).
  • Admin hesaplarını kişiselleştirin; tek “admin” ile kullanım yerine rol bazlı hesaplar oluşturun.
  • Parola politikası: uzunluk + karmaşıklık + periyodik rotasyon (kurumsal standardınıza göre).

Güncelleme disiplini

Firmware güncellemeleri güvenlik açısından kritiktir; ancak üretim ortamında rastgele yapılmamalıdır. En iyi yaklaşım: bakım penceresi belirlemek, sürümü önce notlarda incelemek ve mümkünse kısa bir test planı uygulamaktır. Ayrıca otomatik yedekleme alıp geri dönüş planını (rollback) hazır tutun.

Minimum güvenlik standardı (öneri)

  • Yönetim erişimi sadece yönetim segmentinden
  • Admin hesapları kişiye özel + güçlü parola + mümkünse MFA
  • Otomatik konfig yedeği + değişiklik kayıt disiplini
  • Log/uyarı e-postaları aktif (kritik olaylar)
  • Bakım penceresiyle düzenli firmware/IPS imza güncellemesi

4) WAN/LAN, VLAN ve DHCP Tasarımı

Sağlam bir ağ tasarımı, Sophos XGS üzerinde kural yazmayı kolaylaştırır. Tek bir “LAN” ağı ile her şeyi aynı segmente koymak, kısa vadede pratik görünse de güvenlik ve yönetim maliyetini artırır. VLAN kullanarak trafiği kategorize etmek, hem performans hem de güvenlik tarafında büyük avantaj sağlar.

Örnek segment önerisi

Segment VLAN Örnek Ağ Not
Yönetim 10 192.168.10.0/24 Sadece IT / yönetim erişimi
Kullanıcılar 20 192.168.20.0/24 Standart iş istasyonları
Sunucular 30 192.168.30.0/24 AD, dosya, uygulama, DB
Misafir 40 192.168.40.0/24 Sadece internet, iç kaynak yok

DHCP, DNS ve NTP (temel kural)

DHCP dağıtımı yapacaksanız her VLAN için ayrı scope tanımlayın ve gateway/DNS seçeneklerini doğru verin. DNS için kurumsal ortamda çoğu zaman iç DNS (ör. AD DNS) mantıklıdır; ancak misafir ağında public DNS kullanmak yönetimi kolaylaştırabilir. NTP tarafı basit gibi görünür ama log korelasyonu için kritiktir: cihaz saati doğru değilse, olay analizi zorlaşır.

5) NAT ve Firewall Politikaları: Doğru Mantık

“Firewall kuralı yazmak” çoğu ekipte kısa sürede karmaşaya döner. Sebep genelde aynı: objeler düzensiz, kurallar rastgele, açıklamalar yok ve istisnalar ana kural setini bozuyor. Sophos XGS üzerinde uzun vadede rahat etmek için kural tasarımı ve objelendirme disiplinini baştan kurun.

Önerilen politika sıralaması (genel yaklaşım)

  1. Block kuralları (kritik yasaklar): Misafir → İç ağ, IoT → Sunucular gibi
  2. İzin kuralları (iş gereksinimi): Kullanıcı → İnternet, Kullanıcı → Sunucu belirli portlar
  3. Özel istisnalar: Sadece gerekli ise ve açıklama + süre notu ile
  4. Temizlik: Kullanılmayan/çakışan kuralların periyodik kaldırılması

NAT tarafında iki tip senaryo

  • Outbound NAT: İç ağların internete çıkışı (çoğu ortamda standart)
  • Inbound NAT / Port Forward: Dışarıdan bir servisi yayınlama (çok dikkatli yönetilmeli)

Inbound yayın yaparken “minimum risk” yaklaşımı

  • Servisi mümkünse VPN arkasına alın; doğrudan yayınlamayın.
  • Yayın zorunluysa IP kısıtı, WAF/Reverse Proxy, IPS profili ve sıkı log/uyarı kurun.
  • DMZ/ayrı VLAN kullanın; sunucuyu kullanıcı ağına koymayın.
  • “Any/Any” kuralı açmayın; kaynak/hedef/servis net olsun.

Kural açıklaması ve etiketleme (okunabilirlik)

Her kuralın bir “neden”i olmalı. Kural açıklamasına iş gerekçesi (ör. “ERP erişimi”), ilgili kişi/departman, gerekiyorsa talep numarası ve gözden geçirme tarihi ekleyin. Bu küçük alışkanlık, büyüyen ağlarda “bu kural niye var?” krizini ortadan kaldırır ve güvenlik denetimlerinde ciddi zaman kazandırır.

6) Loglama, Raporlama ve İzleme

Firewall sadece engelleyen/izin veren bir cihaz değildir; aynı zamanda görünürlük katmanıdır. Doğru log/raporlama olmadan, hem saldırıları hem de performans darboğazlarını geç fark edersiniz. Sophos XGS üzerinde hedefiniz: kritik olaylarda uyarı almak, rutin raporlarla trendleri görmek ve gerektiğinde SIEM’e beslemek.

Minimum raporlama paketi (öneri)

  • Engellenen tehdit/IPS olayları (günlük/haftalık)
  • En çok trafik üreten kullanıcılar ve uygulamalar (haftalık)
  • VPN oturumları ve başarısız giriş denemeleri (günlük)
  • WAN link durumları ve failover olayları (anlık uyarı)

İzleme için pratik yaklaşım

İlk 2 hafta “gözlem dönemi” ilan edin: logları takip edin, hatalı/çok geniş kuralları daraltın, gereksiz blokları düzeltin ve performans etkisi olan politika/uygulama sınıflarını ayarlayın. Bu dönem tamamlandığında kural setiniz belirgin şekilde olgunlaşır.

7) Test Planı ve Devreye Alma Kontrol Listesi

Kurulumun sonunda “internet var” demek yetmez. Devreye alma, kontrollü bir test planıyla tamamlanmalıdır. Aşağıdaki kontrol listesi, sahada en çok iş gören minimum test setidir.

Devreye alma checklist

  • WAN: IP/PPPoE doğru, DNS çözümü var, hız testi kabul edilebilir
  • LAN/VLAN: DHCP scope’lar doğru, gateway/DNS doğru dağıtılıyor
  • Politikalar: Misafir izolasyonu çalışıyor, kullanıcı erişimleri iş ihtiyacına uygun
  • NAT: Outbound NAT stabil, inbound yayınlar sınırlı ve loglanıyor
  • Log/uyarı: Kritik olaylar e-posta/uyarı düşüyor, raporlar geliyor
  • Yedek: Konfig yedeği alındı, değişiklik kaydı tutuldu
  • Dokümantasyon: IP planı, VLAN tablosu, kural seti mantığı ve erişim notları hazır

Sık Sorulan Sorular

Sophos XGS kurulum ne kadar sürer?

Basit tek ofis kurulumları birkaç saat içinde devreye alınabilir; fakat VLAN, VPN, web filtreleme ve optimizasyon gibi kalemler eklendikçe süreç uzar. En kritik fark, “çalışır hale getirmek” ile “doğru ve sürdürülebilir tasarım” arasındadır.

Mevcut ağımda kesinti yaşamadan geçiş yapabilir miyim?

Evet. En iyi yöntem, yeni XGS’i paralelde hazırlayıp politika ve objeleri düzenledikten sonra bakım penceresinde kontrollü geçiş yapmaktır. Geri dönüş planı ve yedekler hazırsa risk ciddi ölçüde düşer.

“Any/Any” kuralı neden kötü?

Çünkü hem güvenlik riskini artırır hem de olay anında hangi trafiğin “normal” olduğunu ayırt etmeyi zorlaştırır. Kaynak/hedef/servis net olduğunda hem güvenlik hem performans hem de troubleshooting daha sağlıklı olur.

Sophos XGS Kurulum Desteği İster misiniz?

Mevcut topolojinizi inceleyip en doğru segmentasyon, güvenlik politikası ve görünürlük ayarlarıyla Sophos XGS’i hedefinize göre konumlandıralım. Uzaktan veya yerinde kurulum seçenekleriyle hızlı ilerleyebiliriz.