https://www.fatihyildirim.tr

Palo Alto NGFW çalışma prensibi nedir?

Palo Alto vs FortiGate

1. Tek Geçiş Paralel İşleme (SP³) Mimarisi

2. Teknolojik Bileşenler

App-ID (Uygulama Kimliği):

User-ID (Kullanıcı Kimliği):

Content-ID (İçerik Kimliği):

WildFire (Tehdit İstihbaratı)

Palo Alto ile Fortigate çalışma prensibi bakımından farklılıkları nelerdir?

What is the working principle of the Palo Alto NGFW?

Son düzenleme: 26.05.2026 r.01.01

/ilk yayın

Palo Alto Networks'in NGFW'si (Next-Generation Firewall), geleneksel port ve protokol tabanlı güvenlik duvarlarından farklı olarak, trafiği uygulama (App-ID™) ve kullanıcı (User-ID™) temelinde sınıflandırıp kontrol eder . Bu sayede şifreli trafik veya standart dışı portlar üzerinden yapılan atakları da tespit edebilir .

Çalışma prensibini iki temel başlık altında inceleyebiliriz: Yenilikçi mimarisi ve akıllı trafik sınıflandırma teknolojileri.

⚙️ 1. Tek Geçiş Paralel İşleme (SP³) Mimarisi

Single Pass Parallel Processing (SP3) Architecture | PaloGuard.com

Palo Alto NGFW'lerin performansının temelinde Single-Pass Parallel Processing (SP³) mimarisi yatar .

Tek Geçiş (Single-Pass) İşleme: Geleneksel güvenlik duvarları bir paketi denetlerken farklı işlemler (uygulama tanıma, virüs taraması, saldırı tespiti vb.) için paketi birden çok kez işler . Palo Alto ise bir paketi yalnızca tek bir kez işler. Tüm kontroller (ağ katmanı, kullanıcı kimliği, uygulama kimliği, içerik tehditleri) aynı anda ve bir kerede yapılır. Bu, gecikme süresini (latency) azaltır ve işlemci yükünü minimuma indirir .

Paralel İşleme (Parallel Processing) Donanımı: Cihazın donanım seviyesinde Veri Düzlemi (Data Plane) ve Kontrol Düzlemi (Control Plane) birbirinden ayrılmıştır. Bu sayede yoğun trafik yükü altında bile yönetim ve raporlama gibi işlevler etkilenmez . Veri düzlemi içerisinde ağ işlemleri, güvenlik işlemleri ve imza eşleme için özel işlemciler (ASIC) bulunur. Bu işlemciler, farklı görevleri aynı anda (paralel) yürüterek yüksek hızda güvenlik denetimi sağlar .

🛡️ 2. Teknolojik Bileşenler

Güvenlik politikalarınızı bu kadar esnek ve güçlü kılan temel teknolojileri şu şekilde sıralayabiliriz:

App-ID (Uygulama Kimliği): Trafiği sadece port veya protokolüne bakarak değil, uygulamanın kendine özgü özelliklerine (imza, davranış, heuristics) bakarak tanımlar . Bu sayede port 80 (HTTP) üzerinden gizlenen bir P2P indirmesini veya bir oyunu tespit edip isteğe bağlı olarak engelleyebilirsiniz . Ayrıca gerektiğinde SIP veya FTP gibi dinamik port kullanan uygulamalar için Application Level Gateway (ALG) görevi görerek geçici portlar açar .

App-IDTM, port, protokol, kaçınma özelliği veya şifreleme (SSL veya SSH) ne olursa olsun, ağ üzerinden geçen uygulamaları tanımlayan, patent başvurusu yapılmış bir trafik sınıflandırma teknolojisidir.

1. IP ve Port Eşleme (İlk Filtre) Güvenlik duvarına gelen trafik öncelikle statik port ve IP kuralları (Legacy Port-Based Rules) ile kontrol edilir. Eğer bu aşamada trafiği engelleyen (drop) bir kural varsa trafik doğrudan kesilir.

2. İmza Tabanlı Tanımlama (Signature) Trafiğin başlatılmasına (TCP el sıkışması gibi) izin verildikten sonra, cihaz paketlerin içeriğini (payload) derinlemesine inceler. Uygulamanın kendine has karakteristik izleri/imzaları aranır. Çoğu bilinen uygulama ilk birkaç pakette bu şekilde hemen tanımlanır

3. Protokol Kodu Çözme (Protocol Decoding) Eğer imza ile net bir sonuca varılamazsa, uygulama protokolü çözümlenir (örn. HTTP, FTP, DNS). Güvenlik duvarı protokolün komutlarını ve yapısını analiz ederek arka planda çalışan gerçek uygulamanın (örn. web üzerinden geçen bir Office365 veya Slack trafiği) ne olduğunu tespit eder

4. Sezgisel Analiz ve Davranışsal Değerlendirme (Heuristics) Belirli bir imzası olmayan, özel veya gizli (evasive) yöntemler kullanan uygulamalar için sezgisel analiz devreye girer. Trafiğin akış yönü, kullanılan portlardaki hareketlilik veya şifreleme (SSL) metotları analiz edilerek uygulamanın kimliği tahmin edilir

5. Hizmet Dosyası Arama (Decryption ve WildFire) Uygulama ilk denemede "Unknown" (Bilinmiyor) olarak kalırsa, ilgili trafik için SSL Decryption (şifre çözme) veya gelişmiş güvenlik profilleri (WildFire) uygulanarak paketlerin içindeki sandbox veya sertifika analizi gerçekleştirilir ve uygulama ismi kesinleştirilir.

User-ID (Kullanıcı Kimliği): IP adresi yerine kullanıcı adı veya grubu üzerinden politika tanımlamanıza olanak tanır . Active Directory veya LDAP gibi dizin hizmetleriyle entegre çalışarak bir kullanıcının kimliğini ağdaki IP adresine eşler . Bu sayede "Şu kullanıcının şu uygulamayı kullanmasına izin ver" şeklinde, kullanıcı nerede olursa olsun onu takip eden politikalar uygulayabilirsiniz .

User-ID'nin çalışma prensibini ve sunduğu farklı yöntemleri aşağıda detaylıca bulabilirsiniz.

⚙️ 1. User-ID Nasıl Çalışır? (Temel Mekanizma)

Palo Alto güvenlik duvarı, ağdaki kullanıcıları ve grupları üç ana adımda öğrenir:

1. Veri Toplama (Data Collection): User-ID, ağınızdaki mevcut kimlik doğrulama altyapısını (örneğin Active Directory) kullanarak IP adresi-kullanıcı eşleme bilgilerini toplar. Bu, ya Windows tabanlı bir User-ID Aracısı (Agent) ya da güvenlik duvarına entegre PAN-OS User-ID Aracısı aracılığıyla yapılır .

2. Eşleme (Mapping): Toplanan bilgiler, bir kullanıcının o an hangi IP adresini kullandığını gösteren bir haritaya dönüştürülür. Bu işlem için Domain Controller'ların güvenlik logları (örneğin, başarılı oturum açma olayı ID 4624) izlenir .

3. Politika Uygulama (Policy Enforcement): Güvenlik duvarı, oluşturduğunuz bir güvenlik politikasında "Kaynak Kullanıcı" olarak bir kullanıcıyı veya grubu seçtiğinizde, bu eşleme tablosuna bakarak ilgili IP adresindeki trafiğe o politikanın kurallarını uygula

🛠️ 2. IP Adreslerini Kullanıcılara Eşleme Yöntemleri

User-ID, farklı ağ ortamları ve gereksinimleri için çeşitli eşleme yöntemleri sunar .

Yöntem

Açıklama

Kullanım Durumu

Active Directory / LDAP Entegrasyonu

Yaygın ve temel yöntemdir. Windows tabanlı veya PAN-OS entegre User-ID Aracısı, Domain Controller'ları izleyerek oturum açma olaylarını yakalar. LDAP kullanarak AD'den grup bilgilerini alır .

Çoğu kurumsal ağ, Active Directory kullanımı.

Syslog İzleme

User-ID aracısı, 802.1x, VPN, proxy gibi ağ cihazlarından gelen kimlik doğrulama mesajlarını (Syslog) ayrıştırarak eşleme yapar .

Kablosuz denetleyiciler, NAC çözümleri gibi AD dışındaki kimlik kaynaklarının kullanıldığı ortamlar.

Terminal Server (TS) Aracısı

Birden fazla kullanıcının aynı anda oturum açtığı Citrix veya Microsoft Terminal Server gibi çok kullanıcılı sistemler için özel olarak tasarlanmıştır .

VDI (Sanal Masaüstü) veya Terminal Server ortamları.

Kimlik Doğrulama Portalı

Kullanıcılar, güvenlik duvarının barındırdığı bir web portalı üzerinde kimlik doğrulaması yapar. Bu yöntem, özellikle domain'e dahil olmayan Linux vb. istemciler için kullanılır .

Domain dışı cihazlar, ziyaretçi ağları veya yüksek güvenlik gerektiren uygulamalara erişim.

XML API

Harici bir uygulama veya betik, PAN-OS XML API'sini kullanarak eşleme bilgilerini doğrudan güvenlik duvarına gönderebilir .

Özel geliştirilmiş uygulamalar veya mevcut bir sistemle entegrasyon gerektiğinde.

HTTP Header Ekleme

Güvenlik duvarı, giden HTTP/HTTPS trafiğine kimliği doğrulanmış kullanıcı adını içeren bir başlık (header) ekler. Bu, proxy gibi bir alt cihazın da kullanıcı tabanlı politika uygulamasını sağlar .

Yük dengeleyici veya cache sunucu gibi cihazların da kullanıcıyı tanıması gereken mimariler.

🧑‍💻 3. User-ID Bileşenleri ve Güvenlik Önerileri

Başarılı bir User-ID implementasyonu için aşağıdaki bileşenlere ve güvenlik önerilerine dikkat edilmelidir:

Hizmet Hesabı (Service Account): User-ID aracısının Domain Controller'ları, Exchange sunucularını veya Windows istemcilerini izlemesi için özel bir hizmet hesabı oluşturulmalıdır . En iyi uygulama olarak, bu hesaba Domain Admin yetkisi verilmemeli, sadece gerekli en düşük ayrıcalıklar (Event Log Readers vb.) atanmalıdır .

Grup Eşleme (Group Mapping): Politikaları tek tek kullanıcılar yerine AD grupları üzerinden tanımlamak yönetimi kolaylaştırır. Bunun için güvenlik duvarının LDAP sunucularına bağlanması için bir LDAP Sunucu Profili oluşturulmalıdır .

Client Probing (İstemci Yoklaması): Bu eski yöntem, güvenlik duvarının doğrudan kullanıcının bilgisayarını yoklaması anlamına gelir. Palo Alto Networks, yüksek güvenlikli ağlarda bu yöntemin devre dışı bırakılmasını şiddetle tavsiye eder, çünkü güvenlik riski oluşturabilir ve ağ trafiğini artırabilir

✅ Adım Adım Yapılandırma Özeti

Yüksek seviyede bir User-ID yapılandırması aşağıdaki adımları içerir :

1. Servis Hesabı Oluşturun: AD üzerinde svc_palo_userid gibi bir kullanıcı oluşturun ve Event Log Readers grubuna ekleyin.

2. Güvenlik Duvarını LDAP'a Bağlayın: Device > Server Profiles > LDAP menüsünden AD sunucularınıza erişecek bir profil tanımlayın.

3. Grup Eşlemesi Yapın: Device > User Identification > Group Mapping Settings üzerinden, firewall'ın AD'den hangi grupları alacağını belirleyin.

4. IP-Kullanıcı Eşlemesini Yapın: Kullanacağınız yönteme göre (Windows Aracısı, Syslog vb.) bir eşleme kaynağı tanımlayın.

5. Zone'larda User-ID'yi Aktif Edin: Kullanıcıların bulunduğu güvenilir Zone'lar (Trusted Zone) için Network > Zones menüsünden Enable User Identification seçeneğini işaretleyin.

6. Politika Oluşturun: Policies > Security menüsünde yeni bir kural oluştururken, Kaynak bölümünde Source User alanından kullanıcı veya grupları seçin.

Content-ID (İçerik Kimliği): İzin verilen uygulama trafiğinin içini tarayarak zararlı içerikleri (virüs, casus yazılım, sızma girişimleri vb.) engeller . Tek bir birleşik tarama motoru ile IPS, Antivirüs ve Anti-Spyware işlemlerini yürütür . Ayrıca URL filtreleme ve veri sızıntısı önleme (DLP) gibi yetenekleri de bünyesinde barındırır .

WildFire (Tehdit İstihbaratı): Bilinmeyen veya sıfır günkü (zero-day) tehditlere karşı koruma sağlar . Daha önce görülmemiş bir dosya (örneğin bir PDF veya .exe) trafikte tespit edildiğinde, bu dosyayı Palo Alto'nun bulut tabanlı WildFire ortamında (sandbox) sanal olarak çalıştırıp davranışlarını analiz eder. Eğer zararlı olduğu tespit edilirse, imzası otomatik olarak cihazınıza gönderilir ve bir sonraki benzer tehdit anında engellenir .

Özetle Palo Alto NGFW, SP³ mimarisi sayesinde yüksek performansı korurken, App-ID, User-ID, Content-ID ve WildFire gibi teknolojilerle sadece IP ve portlara değil, uygulama, kullanıcı ve içeriğe göre güvenlik sağlayan bir yapı sunar.

Palo Alto ile Fortigate çalışma prensibi bakımından farklılıkları nelerdir?

Palo Alto Networks ve Fortinet (FortiGate), NGFW pazarının iki lideridir. Her ikisi de yüksek seviyede güvenlik sağlasa da, temel çalışma prensiplerinde çok farklı yaklaşımları benimsemişlerdir. Palo Alto "Güvenlik ve Kontrol" odaklı bir yazılım mimarisine sahipken, Fortinet "Hız ve Performans" odaklı özel donanım çözümü sunar.

2025 Gartner® Magic Quadrant™ for Hybrid Mesh Firewall ...

İşte karşılaştırması:

1. Temel Mimari Farkı: Yazılım vs. Donanım

Bu iki ürün arasındaki en büyük fark, trafiği nasıl işledikleri ve hangi donanım bileşenlerini kullandıklarıdır.

Palo Alto - SP³ (Single-Pass Parallel Processing): Palo Alto, yazılım tabanlı bir mimari olan SP³ ile çalışır. Bu sistemde, bir paket güvenlik duvarına girdiğinde tek bir seferde tüm işlemlerden (uygulama tanımlama, kullanıcı kimliği, tehdit taraması, SSL şifre çözme) geçer. İşlemci, bu işlemleri paralel olarak yapar . Bu sayede güvenlik hizmetleri açıkken bile performans kaybı minimumda tutulur ve karar verme süresi kısalır.

Fortinet - ASIC (Application Specific Integrated Circuit): Fortinet ise donanım tabanlı bir yaklaşım benimser. FortiGate cihazlarında, SPU (Security Processing Unit) adı verilen özel işlemciler bulunur. Bu işlemciler (NP, CP gibi), IPS, antivirüs, şifreleme gibi işlemciyi en çok yoran güvenlik görevlerini ana CPU'dan devralarak donanım seviyesinde ve çok yüksek hızda gerçekleştirir . Bu sayede Fortinet, özellikle büyük hacimli trafikte ve SSL şifre çözme işlemlerinde rakibine göre ciddi bir hız avantajı elde eder

2. Trafik Sınıflandırma: App-ID vs. Application Control

Uygulamaları tanıma ve kontrol etme biçimleri, iki ürünün en belirgin farklılıklarından biridir.

Palo Alto (App-ID™): Palo Alto'nun en güçlü olduğu alanlardan biridir. App-ID, port veya protokolden bağımsız olarak, bir uygulamanın imzasını, davranışını ve eşleşme desenlerini analiz ederek trafikteki uygulamayı yüksek doğrulukla tespit eder. Örneğin, 443 portundan (HTTPS) giden bir trafiğin Facebook mu yoksa bir iş uygulaması mı olduğunu ayırt edebilir. Bu, çok hassas ve detaylı politika oluşturulmasını sağlar .

Fortinet (Application Control): Fortinet de güçlü bir uygulama kontrolüne sahiptir (3.000'den fazla uygulama imzası), ancak çalışma prensibi Palo Alto kadar derinlikli değildir. Genellikle uygulamaları kategorilere ayırarak daha genel kapsamlı kurallar uygular. Ancak bu noktada kritik bir fark vardır: Fortinet'te birçok uygulamanın doğru tespit edilebilmesi için SSL Derin Paket İncelemesi (Deep Inspection) açılmalıdır. Palo Alto, SSL şifreli trafikte bile App-ID ile uygulamayı tanıyabilir

3. Kullanıcı Kimliği: User-ID vs. FSSO

Her iki ürün de (AD) kullanıcı bilgilerini IP adresleriyle eşleyerek politikalarını buna göre uygular, ancak mimarileri farklıdır.

Palo Alto (User-ID™): Palo Alto, kullanıcı bilgilerini almak için çeşitli yöntemler sunar (Agent, Syslog, Portala). En büyük fark, Agent'ın Windows tabanlı olması gerekliliğidir. Ayrıca Palo Alto, User-ID ve Fortinet'in FSSO'su aynı sunucuda çalışabilse de temelde farklı portlar kullanırlar .

Fortinet (FSSO - Fortinet Single Sign-On): Fortinet de benzer şekilde bir DC Agent kullanır. Ancak önemli bir mimari fark olarak, FortiGate'ler birbirleri ile FSSO bilgisi paylaşamaz. Yani bir FortiGate VPN üzerinde alınan kullanıcı bilgisini, arkadaki başka bir FortiGate'e otomatik olarak iletemez. Bunun için ek bir FortiAuthenticator cihazı gereklidir. Palo Alto'da bu tür bir kısıtlama yoktur

4. Performans ve Tehdit İstihbaratı

Fortinet: "Performans" odaklıdır. Özel ASIC donanımı sayesinde, özellikle SSL şifre çözme ve yüksek hızlı IPS işlemlerinde çok başarılıdır. Aynı fiyat bandındaki Palo Alto cihazlarına göre genellikle çok daha yüksek "throughput" (işlem hacmi) değerleri sunar. TCO'su (Toplam Sahip Olma Maliyeti) daha düşüktür .

Palo Alto: "Etkinlik" odaklıdır. Gerçek zamanlı tehdit önleme konusunda iddialıdır. Fortinet'in tehdit imzalarını güncellemesi dakikalar sürebilirken, Palo Alto'nun WildFire bulut sandbox'ı saniyeler içinde yeni tehditlere karşı imza üretebilir . Ayrıca Palo Alto'da güvenlik hizmetleri açıldığında performans düşüşü Fortinet'e göre daha azdır.

5. Yönetim ve Ekosistem

Fortinet (Security Fabric): Güvenlik duvarının yanı sıra FortiSwitch, FortiAP (Wi-Fi) ve FortiExtender gibi tüm ekosistemi tek bir ekrandan (FortiManager) yönetmeyi çok kolaylaştırır. KOBİ'ler ve dağıtık mimarili şubeler için idealdir.

Palo Alto Networks: Merkezi yönetim yazılımı olan Panorama, binlerce kurumsal firewall'u tek merkezden yönetmek, karmaşık kurallar yazmak ve büyük ölçekli log analizi yapmak için endüstri standardıdır. Ancak sistemi verimli kullanmak için ekibin ciddi bir eğitim alması gerekir.

6. Maliyet ve Lisanslama (TCO)

Fortinet: Toplam sahip olma maliyeti (TCO) açısından Palo Alto'ya göre %30 ila %50 daha ekonomiktir. Temel routing, Fortinet SD-WAN ve ana firewall özellikleri lisans gerektirmeden kutuyla birlikte gelir.

Palo Alto Networks: Tamamen premium segment bir üründür. Hem cihaz maliyetleri hem de her bir güvenlik modülü (URL Filtreleme, WildFire, Tehdit Önleme) için ayrı ayrı lisanslama yapılması gerektiğinden bütçeyi zorlayabilir.

Özellik

Palo Alto Networks

Fortinet (FortiGate)

Temel Mimari

Yazılım tabanlı, SP³ (Single-Pass Parallel Processing)

Donanım tabanlı, ASIC hızlandırmalı (NP/CP işlemciler)

Öncelik

Güvenlik & Kontrol (En iyi uygulama görünürlüğü)

Performans & Hız (En iyi fiyat/performans oranı)

Uygulama Tanıma

App-ID™: Porttan bağımsız, çok hassas. SSL şifreli trafikte de çalışır

Application Control: Kategori bazlı. Genellikle SSL Deep Inspection gerektirir

Zero Trust

ZTNA 2.0 ile sürekli doğrulama ve en gelişmiş güvenlik politikaları

Yerleşik (Native) ZTNA, daha basit ve maliyetsiz entegrasyon

Bulut Yetenekleri

Prisma Access ile en güçlü cloud-native SASE ve kapsayıcı (container) desteği

FortiSASE ile entegre, ancak olgunluk seviyesi Palo Alto'nun gerisinde

Performans

Güvenlik hizmetleri açıkken performansı korur. 3. parti testlere göre %30 daha iyi performans

Özellikle SSL şifre çözmede çok yüksek performans. Maliyet/gigabit oranında lider

Fiyatlandırma

Premium (Modüler lisanslama ile pahalıdır)

Rekabetçi (Paket lisanslar ile uygun maliyetli)

💎 Sonuç: Hangisini Seçmelisiniz?

Her iki ürün de doğru tercihtir, ancak hangisinin size uygun olduğu ihtiyaçlarınıza göre değişir.

Palo Alto Networks'i Tercih Edin Eğer:

Uygulama bazlı çok hassas kontrollere ihtiyacınız varsa.

Bulut-first bir stratejiniz varsa (Prisma Access).

Bütçeniz varsa ve en gelişmiş Zero Trust mimarisini (ZTNA 2.0) kurmak istiyorsanız.

Fortinet FortiGate'i Tercih Edin Eğer:

Yüksek performanslı SSL şifre çözme ve hızlı IPS gereksiniminiz varsa.

Bütçeniz kısıtlıysa ve fiyat/performans odaklı bir çözüm arıyorsanız.

SD-WAN ihtiyacınız varsa (FortiGate'in SD-WAN yeteneği çok güçlüdür) .

Şube ofisleri olan ve yüksek hızlı, maliyeti düşük çözümler arayan orta ölçekli işletmelerdenseniz.

İlginç bir yaklaşım olarak, büyük işletmeler artık "Çift Tedarikçi" (Dual-Vendor) stratejisi uygulamaktadır. Yani şube ofislerinde (edge) yüksek performans ve maliyet avantajı için FortiGate, veri merkezi ve bulut katmanında ise ileri tehdit koruması ve hassas kontrol için Palo Alto kullanmaktadırlar

Bu yanıt, yalnızca referans amaçlı AI tarafından oluşturulmuştur.

Fortinet tarafından değerlendirmede:

https://www.fortinet.com/products/next-generation-firewall/fortigate-vs-pan