İçerikleri sosyal medya üzerinden paylaşarak daha fazla kişiye ulaşmasına yardımcı olabilirsiniz.



Kategori: Firewall
Fırat Boyan 19.06.2019 4

FortiGate 200E İle Exchange Server Firewall NAT ve Policy Yapılandırması

Exchange Server kurulumunu tamamladıktan sonra, Firewall, NAT ve Policy ayarlarının yapılması oldukça önemlidir. Bu ayarlar, Exchange Server'ın güvenli ve düzgün çalışmasını sağlamak için gereklidir. Firewall ayarları, sunucunun yalnızca yetkili trafiği kabul etmesini ve yetkisiz erişimlere karşı korunmasını sağlar.

NAT (Network Address Translation) ayarları, Exchange Server'ın dış dünya ile iletişimini düzenler. Sunucunun iç IP adreslerinin gizlenmesi ve dış IP adresleri ile iletişim kurulması, güvenlik açısından kritik bir rol oynar. Bu, özellikle Exchange Server'ın internet üzerinden erişilebilir olduğu durumlarda önemlidir. NAT ayarlarının doğru yapılması, hem güvenliği artırır hem de iletişimdeki olası sorunları en aza indirir.

Policy ayarları, Exchange Server'ın güvenlik politikalarını ve kullanıcı erişimlerini yönetir. Bu ayarlar, kullanıcıların hangi hizmetlere erişebileceğini ve hangi işlemleri gerçekleştirebileceğini belirler. Güvenlik politikalarının doğru yapılandırılması, Exchange Server'ın saldırılara karşı korunmasına ve veri güvenliğinin sağlanmasına yardımcı olur. Özellikle, e-posta trafiğinin güvenliğini sağlamak ve spam ile zararlı içeriklerin filtrelenmesi için bu ayarlar hayati öneme sahiptir.

Firewall, NAT ve Policy ayarlarını yaparken dikkat edilmesi gereken bazı temel noktalar vardır. İlk olarak, yalnızca gerekli olan Port'ların açılması ve diğer tüm Port'ların kapalı tutulması gerekir. Bu, saldırı yüzeyini minimize eder ve Exchange Server'ın güvenliğini artırır. Ayrıca, NAT ayarlarında doğru IP eşlemelerinin yapılması, iç ve dış Network trafiğinin doğru bir şekilde yönlendirilmesini sağlar. Policy ayarlarında ise kullanıcı gruplarına özel erişim izinleri tanımlanarak, gereksiz erişimlerin önüne geçilir.

Bu ayarları yapmak, Exchange Server performansını da olumlu yönde etkiler. Firewall ve NAT ayarları, sunucunun yalnızca gerekli trafiği almasını sağladığı için gereksiz yüklerden kurtulmasına yardımcı olur. Bu da sunucunun daha hızlı ve verimli çalışmasını sağlar. Aynı zamanda, doğru yapılandırılmış Policy ayarları ile kullanıcılar arasındaki veri trafiği düzenlenir ve sunucu üzerindeki işlem yükü dengelenir.

Exchange Server kurulum işlemi tamamlandıktan sonra Exchange Server'ımızı iç Network içinde e-posta gönderimi ve alımı için kullanabiliriz ancak dış dünyaya e-posta gönderimi ve alımı için DIŞ DNS üzerinde bir takım işlemlerin yapılarak, Firewall üzerinde de bir takım yapılandırmaları yapmanız gerekmektedir. NAT ve Policy yapılandırma işlemlerimi Fortigate Firewall cihazı üzerinden yapıyor olacağım.

1- 25 Port'unun Açılması

25 Port'unun açılması, Exchange Server üzerinde e-posta trafiğini yönetmek için kritik bir adımdır. Port 25, SMTP (Simple Mail Transfer Protocol) için standart Port olup, e-posta sunucuları arasında mesajların iletilmesi için kullanılır. Bu Port'un doğru bir şekilde yapılandırılması, Exchange Server'ın diğer e-posta sunucuları ile sorunsuz iletişim kurmasını sağlar.

Port 25'i açmak için, Firewall ayarlarında ilgili kuralların eklenmesi gerekir. Bu işlem, yalnızca yetkili trafiğin geçmesine izin verir ve yetkisiz erişimlere karşı koruma sağlar. Ayrıca, dış dünyadan gelen SMTP trafiğinin Exchange Server'a yönlendirilmesi için NAT ayarlarının yapılması önemlidir. NAT ayarları, gelen trafiği iç Network üzerindeki doğru sunucuya yönlendirir.

Doğru yapılandırılmış bir Port 25, e-posta iletiminin güvenli ve kesintisiz olmasını sağlar. Ancak, bu Port'un açık olması, spam ve diğer kötü amaçlı trafiğin de sunucuya ulaşma riskini artırır. Bu nedenle, ek güvenlik önlemleri almak, örneğin, spam filtreleme ve kimlik doğrulama mekanizmalarını etkinleştirmek önemlidir. Bu nedenle Port 25'in açılması, Exchange Server'ın e-posta trafiğini yönetebilmesi için temel bir gereksinimdir ve bu adımın dikkatlice yapılması, güvenli ve verimli bir e-posta iletişimi sağlar.

Firewall üzerinde NAT ve Policy yapılandırması işlemini gerçekleştirmeden önce, 25 Port'unuzun açık olduğundan emin olmanız gerekmektedir. 25 nolu Port, Internet servis sağlayıcınız tarafından kapatılmış olacaktır. Öncelikle bu Port'u, Internet servis sağlayınız ile iletişime geçerek açtırmanız gerekecektir. Bu Port açılmadan, dış dünyaya e-posta dönerimi yapamaz, yine aynı şekilde e-posta alamazsınız. Bu Port'u açtırdıktan sonra Telnet komutu ile 25 Port'tunun açık olduğunu kontrol edin. Bunu niçin komut satırı (CMD) üzerinden kendi WAN IP adresiniz ile ör. Telnet 31.210.76.98.30 25 komutunu çalıştırdığınızda Port'unuzun açık olup olmadığını test edebilirsiniz. Bu kontrolü Server ya da Client üzerinden yapakcasanız, bunun için Telnet Client'ı yüklemeniz gerekecektir. Exchange Server’ın dış dünyaya e-posta atabilmesi ve yine dış dünyadan e-posta alabilmesi için Firewall üzerinde aşağıda belirttiğim Port'lar için NAT ve Policy yapılandırma işlemleri yapılması gerekmektedir.

» 25 Port'u
» 587 Port'u
» 80 Port'u
» 443 Port'u
» 143 Port'u (SSL/TSL olmayan IMAP)
» 993 Port'u (SSL/TSL IMAP)
» 110 Port'u (SSL/TSL olmayan POP)
» 995 Port'u (SSL/TSL POP)

NOT: Exchange Server üzerinde IMAP ve POP servislerini kullanmayacaksanız, IMAP ve POP Port'ları için Policy yapılandırması içine dahil etmenize gerek yoktur.
25,80,443,587 port

2- NAT yapılandırması

Exchange Server’ın dış dünyaya e-posta atabilmesi ve yine dış dünyadan e-posta alabilmesi için Firewall üzerinde yukarıda belirttiğim Port'lar için öncelikle Inbound-Outbound ve Outbound-Inbound yönünde NAT yapılandırma işlemleri yapılması gerekmektedir. Şunu belirtmek isterim ki, bu NAT ayarlarında tek seferde her iki yönde de açmış oluyorum. Yani, ayrı ayrı hem Inbound-Outbound hem de Outbound-Inbound açmanıza gerek yoktur.

2.1- 25 Port'u için NAT yapılandırması

Port25NAT

2.2- 80 Port'u için NAT yapılandırması

Port80NAT

2.3- 443 Port'u için NAT yapılandırması

Port443NAT

2.4- 587 Port'u için NAT yapılandırması

Port587NAT

3- Outbound-Inbound Policy Yapılandırması

Firewall NAT yapılandırma işlemlerimizi tamamladıktan sonra sıra, Policy hazırlama işlemine geldi. Policy hazırlamadan yani sadece NAT yapılandırarak bırakmak olmaz. Outbound-Inbound Policy yapılandırması, Exchange Server'ın güvenli ve verimli e-posta trafiği yönetimi için kritik öneme sahiptir. Outbound Policy, Exchange Server'dan dış dünyaya giden e-postaları düzenler. Bu politika ile sadece belirli IP adreslerine veya etki alanlarına e-posta gönderimine izin verilir, böylece sunucudan yetkisiz e-posta gönderimi engellenir. Inbound Policy ise, dış dünyadan Exchange Server'a gelen e-postaları düzenler. Bu politika ile yalnızca belirli IP adreslerinden veya etki alanlarından gelen e-postaların kabul edilmesi sağlanır, bu da spam ve kötü amaçlı e-posta trafiğinin sunucuya ulaşmasını engeller. Bu politikalar Firewall üzerinde yapılandırılarak, güvenlik ve iletişim bütünlüğü sağlanır.

İlk olarak dışarıdan, içeriye yani Outbound-Inbound yönünde bir Policy hazırlıyorum.

3.1- Policy&Object bölümünde IPv4 içindeyken Create New butonuna tıklıyorum.

ExchangeNAT01

3.2- İlk Policy yapılandırmamı, 80,443 ve 587 Port'ları için yapıyorum. Açılan alanda, ilgili alanlar için aşağıdaki gibi girişleri yapıyorum.

Incoming Interface: WAN Interface'iniz yani dış dünyaya bakan Firewall Port'umuzu tanımlıyoruz.
Outgoing Interface: LAN Interface'iniz yani iç Local Network'e bakan Firewall Port'umuzu tanımlıyoruz.
Destination: 80, 443 ve 587 Port'ları için NAT yapılandırması yaptığımız grupları tanımlıyoruz. (En önemli bölüm burasıdır.)

ExchangeNAT02

3.3- Policy yapılandırma işlemimiz bittikten sonra, WAN->LOKAL grubu altına oluştuğunu görüyorum.

ExchangeNAT03

3.4- İkinci Policy yapılandırmamı 25 Port'u için yapıyorum. Açılan alanda, ilgili alanlar için girişleri yapıyorum. 

Incoming Interface: WAN Interface'iniz yani dış dünyaya bakan Firewall Port'umuzu tanımlıyoruz.
Outgoing Interface: LAN Interface'iniz yani iç Local Network'e bakan Firewall Port'umuzu tanımlıyoruz.
Destination: 25 Port'u için NAT yapılandırması yaptığımız grubu tanımlıyoruz. (En önemli bölüm burasıdır.)

ExchangeNAT04

3.5- Policy yapılandırma işlemimiz bittikten sonra, WAN->LOKAL grubu altına oluştuğunu görüyorum.

ExchangeNAT05

Buraya kadar olan bölümde, iç Network'ten (LAN) dış dünyaya (WAN) e-posta gönderimi için gerekli olan tüm Firewall ayarları yapılandırışmış oldu.

4- Inbound-Outbound Policy Yapılandırması

Outbound-Inbound yönünde gerekli Policy yapılandırmalarımı tamamlandıktan sonra sıra, sadece 25 Port'u için Inbound-Outbound yönünde Policy yapılandırma işlemine geldi. Inbound-Inbound Policy yapılandırması, Exchange Server'a gelen e-posta trafiğinin güvenliğini sağlamak ve sunucunun korunmasını sağlamak için kullanılır. Bu politika, yalnızca belirli IP adreslerinden veya etki alanlarından gelen e-postaların kabul edilmesini düzenler. Böylece, yalnızca yetkili kaynaklardan gelen e-postaların sunucuya ulaşmasına izin verilir. Firewall üzerinde yapılandırılan bu politikalar, spam, phishing ve diğer kötü amaçlı trafiğin sunucuya erişimini engeller. Ek olarak, bu yapılandırma sayesinde, sunucunun performansı da artırılarak gereksiz yüklerin önüne geçilir ve güvenli, kesintisiz bir e-posta iletişimi sağlanır.

4.1- Policy&Object bölümünde IPv4 içinde Local -> WAN bölümünde daha önceden oluşturmuş olduğum INTERNET adında bir Policy'im bulunuyor.

ExchangeNAT06

4.2- Bu Policy'de Destination alanındaki tüm Port'lara all seçeneğini tanımladım. Bu nedenle 25 Port'u da bunun içinde olduğu için, 25 Port'u için ekstra bir Policy tanımlaması yapmadım.

ExchangeNAT07

4.3- Bu Policy'de, Local -> WAN yönündeki diğer Policy'ler beraberindeki kısıtlamalar ile Local kullanıcılar için uygulandıktan sonra, en sondaki bu Policy'm uygulanacak. 

Incoming Interface: LAN Interface'iniz yani iç Local Network'e bakan Firewall Port'umuzu tanımlıyoruz.
Outgoing Interface: WAN Interface'iniz yani dış dünyaya bakan Firewall Port'umuzu tanımlıyoruz.
Destination: all
NAT:  Bu Policy'de 25 Port'u için daha önceden oluşturuduğum NAT yapılanmadırma tanımlamadığım için aktif durumda. 

ExchangeNAT08

Bu şekilde tüm Exchange Server için Firewall NAT ve Policy yapılandırma işlemlerimi tamamlamış oluyorum. Artık Exchange Server'ımız tamamen kullanıma hazır ve dış dünyaya e-posta atabilir, dış dünyadan e-posta alabilir durumda.

Faydalı olması dileğiyle...


Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.



Yazar Hakkında

firatboyan.com


1985 yılında Alanya'da doğdum. İlk, orta ve lise öğrenimimi Alanya'da tamamladım. Liseden mezun olduktan sonra Akdeniz Üniversitesi Bilgisayar Teknolojisi Ön Lisans programına yerleştim ve bu programdan mezun oldum. Ön Lisans programından mezun olduktan bir süre sonra Dikey Geçiş Sınavı (DGS) ile İstanbul Teknik Üniversitesi (İTÜ) Bilgisayar Mühendisliği Lisans programına yerleştim.

2003 yılından beri Bilgi Teknolojileri sektöründe Sistem ve Network alanlarında çalışıyorum. Bir çok firma bünyesinde onlarca farklı projelerde yer alarak bu alanda yıllar içinde ciddi bir bilgi birikimi ve deneyimler kazandım. Bilgi Teknolojileri sektöründeki profesyonel çalışma hayatımın uzunca bir dönemini entegratör firma bazında, ağılıklı olarak Microsoft ürünleri üzerine danışman olarak sürdürüyor ve yüksek seviyeli projeler geliştiriyorum. Uzunca bir süredir de Türkiye'nin önde gelen entegratör firmalarından olan Data Market bünyesinde Senior Cloud Engineer olarak çalışıyorum.

Ek olarak, 2015 yılında Network Akademi bünyesinde Microsoft Certified Trainer (MCT) ünvanı ile Sistem ve Network Uzmanlık eğitimleri vermeye başladım. Sistem ve Network Uzmanlığı alanındaki eğitmenlik serüvenime Network Akademi bünyesinde devam etmekteyim.

YORUMLAR
Bu makaleye 4 yorum yapıldı.
Her türlü görüş ve önerilerinizi aşağıdaki yorum panelinden bırakabilir, kafanıza takılanları veya merak ettiklerinizi sorabilirsiniz.

   
   
  750 karakter yazabilirsiniz.
 
Captcha
Güvenlik kodunu BÜYÜK harflerle giriniz.
* Yorumlar, onaylandıktan sonra yayınlanmaktadır.
* E-posta, yorum onay bildirimi için gereklidir. Yayınlanmaz.


28.09.2020 Ali
Merhaba Fırat Hocam port yonlendirme nat policy de 25,80,443,57 portlarına nat yapmışsınız diğer 110,993,995 gibi portlara bu işlemide yaptınızmı ?

28.09.2020 Fırat Boyan
Merhaba Ali. bu port'larla ilgili servisler Exchange'de kullanılacaksa, tabiki NAT uygulaması yapılmalı.


28.11.2019 samet üzümlü
Çok anlaşılır ve faydalı makaleleriniz için çok teşekkür ederiz hocam. İleriki dönemde firewall üzerinde farklı güvenlik profilleri ile alakalı uygulamalar paylaşırsanız çok seviniriz.

29.11.2019 Fırat Boyan
Merhaba Samet, Güzel yorumun için teşekkürler. İleriki zamanlarda yavaş yavaş hepsi olacak :)