Bu ağ yapılandırmasında güvenli ve sürdürülebilir bir kurumsal yapı hedeflenmiştir küçük işletme ve ofis ağlarında da kallanılabilir. Bu yapıda Personel, Sunucu, Kamera, VOIP Telefon, Management ve WiFi(Personel ve Misafir) ağları VLAN lar ile ayrı ayrı oluşturuldu. Firewall da kablolu ağ trafiği için oluşturulan VLAN lar Omurga ve Kat switchlerinde , Kablosuz haberleşme trafiği için oluşturulanlar ise AP lerde tanımlandı. Oluşturulan ağlar arasındaki iletişimi sağlayan routing işlemi sadece XLOG Firewall 'a bırakıldı. Bu sayede firewall tarafından yetkilendirme yapılarak personelin sunucu ağına erişimi gibi ağlar arasındaki trafik filtrelenip loglanarak koruma altına alındı.
Kurum ağı neden bölümlendirilmelidir?
Kurumsal ağlarda sunucu, personel, telefon ve diğer cihazların aynı ağda blundurulması sık karşılaşılan bir durum olmakla beraber kurum ağının stabilitesi , sürdürülebilirliği siber güvenliği açısından kesinlikle yanlış bir durumdur.
Bu tip ağlarda tüm cihazlar aynı ağda aynı ip bloğuna sahip olacağından örneğin personel ve sunucu arasındaki trafik firewall 'a uğramayacak ve direkt olarak switch üzerinden döneceği için cihazların birbirlerine erişimleri Firewall tarafından hiç bir filtrelemeye ve loglamaya tabi olmayacaktır. Bu durumda iç tehditlere karşı savunmasız ve takip edilemez bir ağ ile karşı karşıya kalınılmaktadır ayrıca tüm cihazların aynı ağda bulunması IP havuzunun dolmasına, IP çakışmalarının yaşanmasına, broadcast trafiğinin artmasına buna bağlı yerel trafiğin yavaşlamasına ve özellikle VOIP Telefonlarda register ve ses kalitesi problemlerine yol açabilmektedir.
Ofis bilgisayarları, yazıcılar, ödeme cihazları gibi personel tarafından kullanılan cihazların bulunduğu ağ türüdür. Personel ağı sunucu ağına erişirken sadece gereken servislere erişim için firewall tarafından yetkilendirilmeli ve bunun dışında sunuculara direkt erişimlerinin engellenmesi gerekmektedir.
Web, Mail , Active Directory, NAS gibi sunucular, SIEM cihazları ve sanal makinelerin bulunduğu ağ türüdür. Diğer ağlardan izole edilir ve diğer ağlardan sadece erişmesi gereken personele izin verilmelidir.
Kapalı devre IP kamera cihazları ve NVR ların bulunduğu ağ türüdür. Bu cihazlar switch üzerinde yüksek trafik oluşturabileceğinden ayrı bir switch üzerinden firewall'a bağlanması önerilir iç ağa erişimleri firewall tarafından engellenmelidir.
IP telefon ve santrallerin bulunduğu ağ türüdür. SIP sinyal trafiği ve RTP trafiği hassas olduğundan bu ağdaki cihazların switch üzerinde oluşturulan voice VLAN' a dahil edilerek diğer ağlardan ayrılması önerilir. Eğer PC ler telefon üzerinden ağa katılıyorlar ise telefonların kendi arayüzünden VLAN ayarı yapılarak PC ve telefonların ayrı ağlarda olması sağlanmalıdır.
Kurum ağında bulunan tüm yönetilebilir switch, access point gibi temel network ekipmanlarının sadece IT ekipleri tarafından erişilebilir ve yönetilebilir kılınması için oluşturulması tavsiye edilen ağ türüdür. Bu management VLAN dan yönetilen cihazlar diğer VLAN lardan gelen erişim isteklerine cevap vermezler.
Personel ve misafirlerin mobil cihaz kullanımları için oluşturulan ağ türüdür. Misafir ve Personel Kablosuz yayını (SSID) için 2 ayrı VLAN oluşturulur. Misafir ağı tüm ağlardan izole edilecek şekilde firewall dan iç ağlara erişim engel kuralı yazılmalıdır.