1.1 Reverse Proxy Modu Nedir?

Reverse Proxy, web trafiğinin sunucuya ulaşmadan önce üzerinden geçtiği bir ara katmandır. SecureSphere Gateway, sniffing yapmayan modda Reverse Proxy olarak yapılandırılabilir. İki deployment tipi mevcuttur:

1.2 Non-Transparent Reverse Proxy Mimarisi

Non-Transparent Reverse Proxy deployment yapısında Gateway hem istemci hem sunucu tarafından görünürdür. Belirtilen portlarda dinleme yapar, diğer tüm trafiği yoksayar.

Trafik Akışı

1.3 Transparent Reverse Proxy (TRP) Mimarisi

Transparent Reverse Proxy'de istemci proxy'nin farkında değildir. Gateway bridge modunda çalışır ve belirli sunucular için ek olarak Reverse Proxy işlevi görür.

TRP Trafik Akışı

1.4 Reverse Proxy Modunun Avantajları

1.5 Sınırlamalar ve Dikkat Edilmesi Gerekenler

• Non-Transparent modda Gateway arızalanırsa web sunucu erişilemez hale gelir (HA önerilir)
• Multi-part olmayan maksimum POST istek boyutu: 2 MB
• Var olmayan sayfa veya kapalı sunucu, alert olmadan engelleme yanıtı döndürür (saldırı olarak sınıflandırılmaz)
• Sanal makineler yalnızca Fail Close modunu destekler (donanım bypass bileşeni yoktur)
• Model başına önerilen maksimum reverse proxy kuralı sayısı değişir (Ek A'ya bakınız)

2.1 Bileşen Mimarisi

SecureSphere, AYRI makinelere deploy edilen iki bileşen gerektirir (yalnızca dağıtık deployment):

2.2 Donanım/VM Gereksinimleri

VMware ESXi Host Gereksinimleri

Gateway VM Özellikleri

Management Server (MX) VM Özellikleri

Linux KVM Gereksinimleri

2.3 Ağ Planlama Kontrol Listesi

Deployment'a başlamadan önce aşağıdaki bilgileri hazırlayın:

1. Management Server (MX) management arayüzü için IP adresi
2. Gateway management arayüzü için IP adresi
3. Gateway inbound (harici/istemci tarafı) arayüz IP adresleri
4. Gateway outbound (dahili/sunucu tarafı) arayüz IP adresleri
5. Default gateway IP adresi
6. DNS sunucu IP adresleri
7. NTP sunucu IP adresleri
8. Alt ağ maskeleri (CIDR notasyonu)
9. Korunacak web sunucu IP adresleri ve portları
10. SSL sertifikaları ve özel anahtarlar (SSL sonlandırma yapılacaksa)
11. Lisans dosyası (Imperva'dan Enterprise License Code)
12. MX ve Gateway için hostname (kısa veya FQDN formatı)
13. Zaman dilimi bilgisi

2.4 Gerekli Firewall Portları

SecureSphere bileşenleri arasında aşağıdaki portları açın:

2.5 Yazılım İndirmeleri

VMware OVF:

KVM QCOW2:

3.1 MX Sanal Makinesini Deploy Etme

VMware (vSphere Client)

1. VMware vSphere client'ı başlatın
2. Menüden File > Deploy OVF Template seçin
3. Deploy OVF Template penceresinde OVF kurulum dosyasını seçin
4. Next tıklayın. OVF şablon detayları görüntülenir
5. Next tıklayın. Son Kullanıcı Lisans Sözleşmesi görüntülenir
6. Accept tıklayın, sonra Next
7. VM için bir isim girin (ör. Imperva-MX-v15.4) ve Next
8. Deployment Configuration olarak VM150 seçin ve Next
9. Bir host veya cluster seçin ve Next
10. Cluster içinde belirli bir host seçin ve Next
11. Bir resource pool seçin ve Next
12. Hedef storage'ı seçin ve Next
13. Virtual disk formatını seçin ve Next
14. Network Mapping: Varsayılanları kabul edin (sonra yapılandırılacak) ve Next
15. IPv4 adresi, CIDR ve default gateway IP adresini girin
16. Next tıklayın
17. Yapılandırma özetini gözden geçirin ve Finish tıklayın

Linux KVM

1. Imperva Customer Portal'dan KVM QCOW2 imajını indirin
2. QEMU yüklü host üzerinde çalıştırın: virt-manager
3. Yeni VM oluştur > "Import existing disk image" seçin > Forward
4. İndirilen QCOW2 imajını seçin
5. OS tipi: Linux, Version: CentOS 7
6. RAM: 8 GB, CPU: 4 core > Forward
7. Makine adı girin (ör. Imperva-MX-v15.4)
8. Network Selection'ı genişletin ve management network'ü seçin
9. Finish tıklayın. KVM sunucu oluşturulur

1. Host makinede bridge network tanım dosyası (bridge.xml) oluşturun
2. Network tanımlayın: virsh net-define ./bridge.xml
3. Network'ü başlatın: virsh net-start br0
4. Autostart ayarlayın: virsh net-autostart br0
5. Doğrulayın: virsh net-list --all
6. KVM'i br0 bridge arayüzü ve virtio device model ile yapılandırın
7. VM'i başlatın

3.2 Management Server (MX) First-Time Login

MX VM deploy edildikten sonra sistemi yapılandırmak için First-Time Login (FTL) işlemini gerçekleştirin:

1. MX sanal cihazını console penceresinde açın
2. Giriş: kullanıcı adı: admin, şifre: admin
3. Admin şifresini hemen değiştirin

1. ftl komutunu çalıştırarak First-Time Login'i başlatın
2. Bileşen seçim menüsünde 1 yazarak "Management Server only" seçin ve Enter'a basın

Management Arayüzünü Ayarlama

1. "Do you want to change it?" satırında n (OVF'de IP ayarlandıysa) veya y girin
2. "IP Address [IP Address/CIDR]" satırında IP adresini girin. Örnek: 192.168.1.1/24
3. "Do you want to set IPv6 Address as well?" satırında n girin

LAN Arayüzünü Ayarlama

1. "Do you want to set a LAN interface?" satırında y girin
2. "Do you want to change it?" satırında n (veya değiştirmek için y) girin
3. "IP Address [IP Address/CIDR]" satırında LAN IP'sini girin. Örnek: 192.168.5.5/24
4. "Do you want to set IPv6 Address as well?" satırında n girin

Default Gateway Ayarlama (Önerilen)

1. "Do you want to set an IPv4 default gateway?" satırında y girin
2. "Gateway [IPv4 Address]" satırında gateway IP'sini girin. Örnek: 192.168.1.254
3. "Do you want to specify a device?" satırında n girin

DNS Client Ayarlama

1. "Do you want to configure a DNS client?" satırında y (önerilen) veya n girin

Şifreleri Ayarlama

1. Linux root kullanıcısı için yeni şifre girin (GRUB bootloader şifresi olarak da kullanılır). Tekrar girin
2. Administrative kullanıcı için yeni şifre girin. Tekrar girin
3. System kullanıcısı (veritabanı yöneticisi) için yeni şifre girin. Tekrar girin

Hostname Ayarlama

1. Host için bir isim girin (kısa ad veya FQDN formatı)

Zaman Dilimi Ayarlama

1. Numaralı listeden kıta/okyanus seçin
2. Numaralı listeden ülke seçin
3. Onaylayın: "Is the above information OK?" > 1 (yes) girin

NTP Ayarlama (Önerilen)

1. "Do you want to configure an NTP client?" satırında y girin
2. "NTP servers" satırında bir veya daha fazla IPv4 adresi girin (boşlukla ayrılmış). Örnek: 192.168.2.250

Sistem Yapılandırmasını Uygulama

1. Sistem yapılandırmasını uygulamak için Enter'a basın

3.3 MX GUI Erişimi ve Lisans Yükleme

1. İnternet tarayıcısını açın ve şu adrese gidin: https://<MX_IP>:8083
2. EULA görüntülenir. Okuyun ve Accept tıklayın
3. GUI için Admin şifresi yapılandırın
4. Upload License penceresinde lisans almak için "here" bağlantısına tıklayın
5. Imperva Activation Portal açılır. MX Application ID otomatik doldurulur
6. Enterprise License Code'unuzu girin ("Welcome Imperva WAF Customer" e-postasından)
7. E-posta adresinizi girin
8. EULA'yı okuyun ve Accept onay kutusunu işaretleyin
9. Doğrulama dizelerini girin
10. Activate tıklayın
11. Lisans dosyası için e-postanızı kontrol edin
12. Upload License penceresine dönün ve Browse ile lisans dosyasını seçin
13. Upload tıklayın
14. Yönlendirmelere göre devam edin

4.1 Gateway Sanal Makinesini Deploy Etme

Bölüm 3.1'deki aynı OVF/KVM deployment adımlarını izleyin, şu farklarla:

1. Deployment Configuration olarak uygun Gateway modelini seçin (V1000, V2500 veya V4500)
2. Devam etmeden önce MX'in çalışır ve erişilebilir durumda olduğundan emin olun

Reverse Proxy için VMware NIC Yapılandırması

4.2 Gateway First-Time Login

Management Arayüzünü Ayarlama

1. "Do you want to change it?" > n veya y girin
2. IP Address [IP Address/CIDR] girin: ör. 192.168.1.10/24
3. IPv6: n girin

LAN Arayüzünü Ayarlama

1. "Do you want to set a LAN interface?" > y girin
2. IP Address [IP Address/CIDR] girin: ör. 10.0.1.10/24

Default Gateway, DNS, Şifreler, Hostname, Zaman Dilimi, NTP

Gateway'e özgü IP adreslerini kullanarak Bölüm 3.2'deki aynı prosedürü izleyin.

Yapılandırmayı Uygulama

1. Sistem yapılandırmasını uygulamak için Enter'a basın

4.3 Gateway'i MX'e Kaydetme

FTL tamamlandıktan sonra Gateway'i kaydedin:

4.4 Gateway Operasyon Modunu Ayarlama

5.1 Adım 1: Gateway Group Oluşturma

1. MX GUI'ye giriş yapın: https://<MX_IP>:8083
2. Main > Setup > Gateways'e gidin
3. [+] simgesine tıklayarak yeni bir Gateway Group oluşturun
4. Parametreleri girin:
   • Name: ör. RP-Gateway-Group
   • Platform: Imperva
   • Gateway Mode: Reverse Proxy
   • Fail Mode: Fail Close
   • Overload Policy: Block on Overload (önerilen)
5. Save tıklayın
6. Gateway'i bu Gateway Group'a sürükleyin/atayın

5.2 Adım 2: Gateway Üzerinde IP Adresi Yapılandırma

1. Main > Setup > Gateways'e gidin
2. Ağaçtan Gateway'inizi seçin
3. Networking altında IP Addresses tıklayın
4. [+] tıklayarak External (Inbound) IP ekleyin:
   • Network Interface: İstemci tarafı arayüz (ör. eth1)
   • IP Address/Mask (CIDR): ör. 203.0.113.10/24
   • Virtual: İşaretlemeyin (HA için VRRP kullanmıyorsanız)
   • Next Hop: Dönüş trafiği için default gateway (ör. 203.0.113.1)
   • Comment: "External/Inbound IP"
5. OK tıklayın
6. [+] tekrar tıklayarak Internal (Outbound) IP ekleyin:
   • Network Interface: Sunucu tarafı arayüz (ör. eth2)
   • IP Address/Mask (CIDR): ör. 10.0.1.10/24
   • Virtual: İşaretlemeyin
   • Next Hop: Sunucular aynı subnet'teyse boş bırakın veya next hop girin
   • Comment: "Internal/Outbound IP"
7. OK, sonra Close tıklayın

5.3 Adım 3: Alias Yapılandırma

Alias'lar bir inbound IP adresini bir outbound IP adresiyle ilişkilendirir. IP adresleri değiştiğinde iki yerde (Gateway ve MX) değişiklik yapma ihtiyacını ortadan kaldırır.

1. Main > Setup > Gateways'e gidin, Gateway'inizi seçin
2. Networking altında Aliases tıklayın
3. [+] tıklayarak yeni alias oluşturun
4. Parametreleri girin:
   • Alias Name: ör. web-server-alias-1
   • Enabled: İşaretli
   • External Address: Dropdown'dan inbound IP seçin (ör. 203.0.113.10)
   • Internal Address: Dropdown'dan outbound IP seçin (ör. 10.0.1.10)
   • Comment: "Alias for web server protection"
5. OK tıklayın
6. Korumak istediğiniz her ek web sunucu veya VIP için tekrarlayın
7. Close tıklayın

5.4 Adım 4: Route Yapılandırma (Gerekirse)

Backend web sunucuları Gateway'in outbound arayüzüyle aynı subnet'te değilse route yapılandırmanız gerekir:

1. Main > Setup > Gateways'e gidin, Gateway'inizi seçin
2. Networking altında Routes tıklayın
3. [+] tıklayın
4. Parametreleri girin:
   • Type: Network (subnet için) veya Host (tek sunucu için)
   • Destination Address / Mask: ör. 172.16.0.0/16
   • Next Hop: ör. 10.0.1.1
   • Virtual: İşaretlemeyin
   • Network Interface: Outbound arayüzü seçin veya boş bırakın
   • Metric: İsteğe bağlı
5. OK tıklayın. Ek route'lar için tekrarlayın. Close tıklayın

5.5 Adım 5: Site Oluşturma

1. Main > Setup > Sites'e gidin
2. Sites Tree'de [+] (New) tıklayın
3. Site adını girin: ör. Production-Web
4. Save tıklayın

5.6 Adım 6: Server Group Oluşturma

1. Sites Tree'de oluşturduğunuz site'ı seçin
2. [+] (New) tıklayarak Server Group oluşturun
3. İsim girin: ör. Web-Servers
4. Create tıklayın
5. Definitions sekmesinde Operation Mode: Active ayarlayın (ilk test için Simulation)
6. Korunan IP adreslerini ekleyin:
   • "Add" veya "Upload from CSV" tıklayın
   • Gerçek web sunucu IP adresini girin: ör. 10.0.1.100
7. Gateway Group'a atayın: RP-Gateway-Group seçin
8. Save tıklayın

5.7 Adım 7: Web Service Oluşturma

1. Sites Tree'de Server Group'u seçin
2. [+] (New) tıklayın
3. Servis adını girin: ör. HTTP-Service
4. Dropdown'dan seçin: HTTP Service
5. Create tıklayın. Varsayılan bir HTTP uygulaması otomatik oluşturulur
6. Save tıklayın

5.8 Adım 8: SSL Key Ekleme (SSL Sonlandırma Yapılıyorsa)

1. HTTP Service panelinde Definitions sekmesine tıklayın
2. Encryption Support bölümünde [+] tıklayarak SSL Key ekleyin
3. Yükleyin:
   • Private Key dosyası (.key)
   • Sertifika dosyası (.crt/.pem)
4. Private key şifresini girin (varsa)
5. İsteğe bağlı olarak sertifika zinciri/CA bundle yükleyin
6. Save tıklayın

5.9 Adım 9: Reverse Proxy Kuralları Yapılandırma (TEMEL ADIM)

Bu en kritik yapılandırma adımıdır. Gateway'in gelen web trafiğini nasıl işleyeceğini burada tanımlarsınız.

Reverse Proxy Listener Yapılandırma

1. HTTP Service panelinde Reverse Proxy sekmesine tıklayın
2. Reverse Proxy bölümünde "Gateway IP Alias" yanındaki [+] tıklayın
3. Reverse Proxy Parametrelerini girin

Decision Rule Yapılandırma

1. "Priority" yanındaki [+] tıklayarak Decision Rule oluşturun
2. Decision Rule Parametrelerini girin
3. Gerektiğinde daha fazla decision rule ekleyin (Priority 20, 30, vb.)
4. Save tıklayın

5.10 Adım 10: Ayarları Aktive Etme

1. Delayed activation modu etkinse yapılandırmayı göndermek için Activate butonuna tıklayın
2. Immediate modda ayarlar Save ile yürürlüğe girer

5.11 Adım 11: Deployment'ı Doğrulama

1. Bir istemci makineden erişin: https://<Gateway_External_IP>/ (veya SSL olmayan için http://)
2. Backend web sunucunuzun içeriğinin gateway üzerinden sunulduğunu görmelisiniz
3. MX Dashboard'u kontrol edin (Main > Monitoring > Dashboard) — Gateway durumu yeşil/aktif olmalı
4. Main > Monitoring > Alerts'te uyarıları kontrol edin
5. Dashboard'da trafik akışını doğrulayın

6.1 Adım 1: Appliance Üzerinde Default Gateway Doğrulama

1. Gateway'e SSH ile bağlanın
2. Çalıştırın: impcfg
3. Gidin: Manage platform > Network settings > Default gateway
4. IPv4 adresinin gösterildiğini doğrulayın
5. Adres gösterilmiyorsa: Manage network > Change IPv4 default gateway
6. Default gateway IP adresini girin

6.2 Adım 2: Appliance'ı Bridge Olarak Yapılandırma

1. Gateway üzerindeki impcfg'de: Manage SecureSphere Gateway > Change operation mode
2. Seçin: Bridge STP veya Bridge IMPVHA
3. Onaylayın ve uygulayın. Gateway kendini yeniden yapılandıracaktır (birkaç dakika sürebilir)

VMware Bridge NIC Yapılandırması

6.3 Adım 3–7: Gateway Group, Site, Server Group, Web Service

Henüz kayıtlı değilse Bölüm 4.3'teki adımları izleyerek Gateway'i MX'e kaydedin. Ardından:

6.4 Adım 8: Transparent Reverse Proxy'yi Etkinleştirme ve Yapılandırma

HTTP Service panelinde Reverse Proxy sekmesine tıklayın, "Enable Transparent Reverse Proxy" işaretleyin, ardından "Server IP" yanındaki [+] ile decision rule ekleyin.

6.5 Adım 9–10: Aktive Etme ve Doğrulama

1. Delayed activation etkinse Activate tıklayın
2. İstemciden web sunucuya gerçek IP adresiyle erişin (gateway IP'si değil)
3. Trafik gateway üzerinden şeffaf olarak akmalıdır
4. MX Dashboard'da gateway durumunu kontrol edin
5. Monitoring > Alerts'te sorunları kontrol edin
6. Event log'larını kontrol ederek gateway'in trafiği incelediğini doğrulayın

7.1 SNI Yapılandırma Adımları

8.1 HSTS Yapılandırma Adımları

HSTS, web sitelerinin kendilerini yalnızca güvenli bağlantılar üzerinden erişilebilir olarak ilan etmelerini sağlar. SecureSphere yalnızca Reverse Proxy olarak yapılandırılmış gateway'ler için HSTS destekler.

9.1 Güvenlik Politikalarını Uygulama

1. Main > Setup > Sites veya Main > Policies'e gidin
2. Site/server group/service'inize varsayılan güvenlik politikalarını uygulayın
3. Trafik kalıplarını öğrenmek için önce Simulation modunda başlamayı değerlendirin

9.2 Dynamic Profiling'i Etkinleştirme

1. Varsayılan Web Profile Policy öğrenme modunu otomatik etkinleştirir
2. Profil öğrenme ilerlemesini izleyin: Main > Setup > Sites > Web Profile

9.3 Loglama ve Uyarıları Yapılandırma

1. Varsayılan action set'leri gözden geçirin
2. Gerekiyorsa syslog yönlendirmesi yapılandırın (Setup > Gateways > Gateway Group > External Logger)
3. Kritik uyarılar için e-posta bildirimleri ayarlayın

9.4 ADC İçerik Yükleme

1. Admin > ADC'ye gidin
2. İmza/içerik güncellemeleri için online veya manuel senkronizasyon yapılandırın

9.5 Gateway Sağlığını İzleme

1. Main > Monitoring > Dashboard: Gateway durumu, throughput kontrol edin
2. Admin > System Performance: CPU, bellek kullanımını izleyin

10.1 Sorun Giderme Hızlı Referans

10.2 CLI Tanılama Komutları

10.3 Ek A: Reverse Proxy Boyutlandırma Önerileri

10.4 Ek B: Alias CSV Import Formatı

Alias'ları bir CSV dosyasından toplu olarak import edebilirsiniz. Her satır bir alias'ı temsil eder:

10.5 Ek C: Virtual Router CSV Import Formatı

HA ortamları için Virtual Router yapılandırmalarını CSV'den import edebilirsiniz:

10.6 Deployment Tamamlanma Checklist