Microsoft Forefront Protection 2010 for Exchange Server Detaylı Kurulum

 

image001

Forefront güvenlik ürün ailesinin önemli bir üyesi olan Protection 2010 for Exchange Server, şirket organizasyonlarında Exchange Server kullanan sistem yöneticileri için vazgeçilmez bir üründür. Neden bu ürünü seçmemiz gerektiği ve temel bilgileri içeren makalemizi daha öncesinde yayınlamıştık, bu nedenle bu konulara değinemeyeceğim. Merak edenler için bu konuların anlatıldığı linki sizlerle paylaşıyorum

https://www.cozumpark.com/blogs/forefront/archive/2010/10/03/microsoft-forefront-protection-2010-for-exchange-server-fpe-ve-forefront-protection-2010-for-sharepoint-fpsp-ile-g-venli-mesajla-ma-g-venli-birli-inde-en-yi-z-m.aspx

Benim bu makaleyi yazmamdaki amaç ise detaylı bir kurulum ve bu temel makale sonrasında ürün hakkında seri bir şekilde diğer özelliklerini anlatan makaleler yazmak. Bu nedenle kurulum ile başlayalım.

Ürün için kurulum noktasında farklı senaryolar bulunmaktadır, hem bu senaryoları hemde ürün için sistem gereksinimlerini ilk olarak paylaşmak istiyorum.

Desteklenen işletim sistemleri

Windows Server 2003 SP2, Windows Server 2003 R2, Windows Server 2008 veya SP2 ve Windows Server 2008 R2 veya SP1

Desteklenen Exchange versiyonları

Exchange Server 2007 RTM, Exchange Server 2007 SP1, SP2, SP3 rollup1, Exchange 2010 RTM,  Exchange 2010, Exchange 2010 RTM SP1, Exchange Server 2010 SP1 Rollup1

Yükleme senaryolarında ise şirket organizasyonlarında iki temel senaryo görebilirsiniz.  Enterprise Reference Architecture ve Standart Reference Architecture. İlk senaryo gelişmiş şirket senaryolarında gözlemlenebilir. Ölçeklenebilir bir yapısı olmak ile beraber yüksek istemci sayılı yapılarda kullanılır.

image002

Bu modelde gördüğünüz gibi bir edge server rolü kullanılmakta olup ayrıca yapıdaki tüm roller birbirinden ayrılmış ve mailbox server rolü de çoklu sunucular ile desteklenmektedir.

Standart model ise aşağıdaki gibidir

image003

Bu modelde ise tüm roller tek bir sunucu üzerinde konumlandırılmıştır. Ancak Türkiye şartlarında edge kullanılmadığı yapıyı da görmeniz mümkündür. Forefront tüm bu senaryoları desteklemektedir. Temel olarak Edge, Hub ve mailbox sunucularına yüklenir ve buradan geçen tüm mail trafiğini izlemektedir. ( mailbox server üzerinden mail trafiği geçmemektedir ancak buradaki mailboxları taramakta ve policyleri uygulamaktadır, bu nedenle mailbox server üzerinde yüklenen bir FPE ürününde anti spam özelliğini göremezsiniz. Bunun tek istisnası Hub ile Mailbox rollerini aynı sunucuya kurmanızdır. )

Eğer FPE ürününü Edge veya Transport sunucularına yüklerseniz Realtime, Schduled ve on-demand tarama seçeneklerini göremezsiniz. Aynı şekilde mailbox server rolü üzerine yüklemeniz halinde de transport scan özeliğini göremezsiniz. Ancak hem mailbox hem de hub yüklü bir sunucuya yüklemeniz halinde hepsini görme şansına sahipsiniz.

Exchange Server organizasyonunuzu virüs, spyware ve spam lara karşı korumak istiyorsunuz, ancak bunun yanında temel şartınız yüksek performans, yani her mail alt yapısında olduğu gibi amacımız yüksek koruma ve yüksek performans. Oysaki bilinen yöntemlerde yüksek performans düşük korumayı, yüksek koruma ise düşük performansı tetikleyen bir durumdur. FPE ürünü ise bunu Exchange Server’ ın bize sunduğu rol tabanlı mimari ile aşmaktadır. Yani sahip olduğu birden çok taramam motoru ile tarama yaparak yüksek bir güvenlik sağlayabiliriz, ancak bu bize sunucu tarafında performans sorunları olarak geri dönecektir. Bu diğer tüm ürünlerde böyledir, ancak FPE sahip olduğunuz Edge, Hub ve Mailbox rollerine ayrı ayrı yüklenerek bu sorunu aşmaktadır. Bunun nasıl yapıyor derseniz hemen açıklayalım.

image004

Yukarıdaki resimde görüldüğü üzere internet üzerinden gelen spyware, spam ve virüslü mailler ilk olarak Edge üzerindeki FPE ile taranmaktadır. Burada sahip olduğunuz tarama motorlarından iki tanesini seçerek dengeli bir tarama yaptınız ( performans – güvenlik dengesi ). Buradan geçen mail Hub transport üstüne düştü ve burada da ayrı iki motor ile daha taradınız ve aynı şekilde mailbox sunucusu üzerinde ayrı bir motor ile daha bu işlemi yaptınız. Baktığınız zaman her sunucuda ikiden fazla tarama motoru kullanmadığınız için performans sorunları yaşamadınız ancak toplam da farklı motorlar kullandığınız için de yüksek bir güvenlik senaryosuna sahip oldunuz. Benim tek sunucum var derseniz tabi ki bu durumda tek seçeneğiniz bize sunulan Intelligent Engine Management IEM özelliğini kullanmak olacaktır ki bu özelliğin detaylarını makalemizin devam serilerinde bulabilirsiniz. Buradaki kritik nokta aslında mailleri işaretlemekten geçmektedir ( stamp ). Örneğin Edge üzerinde malware içerikli veya spam olduğu işaretlenen bir mail header bilgisine yazıldığı için diğer bir server tarafından bir kez daha taranmaz. Bu sayede tek bir tarama aslında yeterli.

Sistem nasıl çalışıyor? Eğer gelen mail bir kez Edge veya Hub üzerinde taranmış ise antimalware header stamp yazılır ve bu mail bir sonraki uğrak yeri olan Hub, başka bir Hub veya mailbox server’ a geldiğinde ilk olarak header bilgisi kontrol edilir ve eğer bu bilgi bir şekilde düzenlenmiş ise bu mail bir kez daha taranmaz.

Bu durumun tek istisnası sunucu üzerinde “Optimize for performance by not scanning message already virus scanned” seçeneği pasif hale getirilir ise bu durumda aktif olan her engine ile taranma işlemine devam edilir.

Örneğin inbound yani şirket dışından şirket içine gönderilen mailler için varsayılan tarama senaryosu aşağıdaki gibidir;

image005

Tarama Edge üzerinde yapılıp işaretleme yapıldığı için diğer sunucularda tarama yapılmaz.

Outbound mail yani şirket içerisinden şirket dışına gönderilen mailler ise sadece Hub ların üzerinde taranmaktadır

image006

Son olarak ise internal dediğimiz yani şirket içerisindeki maillerin ( şirket içinden yine şirket içine gönderilen mailler ) taranması sadece Hub ların üzerinde gerçekleşmektedir.

image007

FPE ürününü kurmak istiyorsanız eğer bilmeniz gereken bir noktada hangi sunucuların üzerine kurmamız gerektiğidir. Aslında bu konuda sizlere bilgi verdim ancak genel kabul göre senaryolardan da bahsetmek istiyorum.

Mail sisteminizin güvenliği için uygulayabileceğiniz iki temel güvenlik seviyesi vardır;

Baseline protection level

Global protection level

Baseline koruma seviyesinde FPE ürünü sadece Hub ve Edge sunucuları üzerine kurulur ve bu durumda yönlendirilen ( routed ) tüm mail objeleri taranmaktadır. Ancak dez avantajı yönlendirilmeyen öğelerin taranmayacak olmasıdır.

Global koruma seviyesinde ise hub ila edge sunucu rollerinin yanında mailbox sunucu rolüne de FPE kurulması gerekmektedir ve bu sayede hub üzerinden yönlendirilmeyen mail objeleri de yerinde taranabilir (public folders, Sent Items folder, Calendar folder ).

Mailbox sunucu rolü üzerinde temelde 3 tip tarama sunulmaktadır. Bunlar aşağıdaki şekilde özetlenebilir ;

Realtime scanning—Scans: Gerçek zamanlı taramada mail objelerine her erişimde tarama gerçekleşmektedir. Mail objesini okuma, görüntüleme veya indeksleme işlemlerinde bu tarama gerçekleşir.

Scheduled scanning—Scans: Zamanladığınız sürede otomatik olarak mailbox ların taranmasını sağlayan seçenektir.

On-demand scanning—Scans:  Malware outbreak dediğimiz yani malware yayılması durumunda yapılacak tarama yöntemidir. Bir nevi içeride kötü içerikli bir kod tespit edildiğinde nasıl bir tarama yapılacağını belirleyebiliriz.

Peki, biraz daha kurulum adımları ile devam edelim. FPE için temel yayınlama senaryolarını görmüştük ancak sonuç olarak şirket ihtiyaçları değişkenlik gösterdiği için donanım noktasındaki gereksinimlere iyi karar vermek gerekiyor. Bu nedenle size “Forefront Protection 2010 for Exchange Server Capacity Planning Tool

” aracını kullanmanızı tavsiye ederim.

Aşağıdaki tablo aracılığı ile de tavsiye edilen ram miktarlarını daha net görebilirsiniz

Number of Cores

Number of Engines

Number of Scanning Processes

Approximate Memory Required (GB)

4

1

4

5.0

4

3

4

5.5

4

5

4

6.0

8

5

4

10.0

8

5

8

11.4

Örneğin 8 core ve 5 engine çalışan bir sunucu üzerinde tarama işlemini de 8 olarak ayarlarsanız 11.4 GB ram’ e ihtiyaç duymaktasınız.

Tarama süreci için birden çok tarama motoru kullanabilirsiniz. Her bir tarama süreci 350mb ram kullanmaktadır ( varsayılan olarak 5 tarama motoru kullandığınızı düşünürsek) . Eğer siz tarama süreci içerisindeki tarama motorlarının azaltırsanız bu ram miktarı tarama motoru başına 63mb düşmektedir. Örneğin bir tarama süreci için 3 adet tarama motoru kullanırsanız ortalama 224mb’ lık bir ram kullanımı söz konusu olacaktır. Bunun yanında tabi ki varsayılan olarak 4 tarama süreci geleceği için bu rakamları 4 ile çarpmanız gerekmektedir. Bu konudaki ayarları makalenin ilerleyen bölümlerinde bulabilirsiniz. Bunların yanında tabi ki destek servisleri için 650MB ram ve Exchange server için ayrıca ram gereksinimlerini unutmamak gerekmektedir. Yine bu hesaplamalar sadece tek bir rolün yüklü olduğu sunucular için verilmektedir ( sadece hub, sadece mailbox veya sadece edge gibi ).

Tavsiye edilen donanımlar ise aşağıdaki gibidir

4 veya 8 core cpu

4 GB ram ve mailbox başına 5mb ek ram gerekmektedir.

Ayrıca ürün Windows server 2003 üzerinde exchange 2007 ve Windows server 2008 R2 üzerinde Exchange 2010 desteklediği için bu konudaki performansını da sizlerle paylaşmak isterim.

image008

Görüldüğü gibi en çok mesaj işleme ve en az cpu kullanımını fiziksel 2008R2 / Exchange 2010 ortamında gerçekleştirmektedir.

Performans konusundan devam edecek olursak yükleme öncesi yukarıdaki bilgilerin yanında birde kaynak kullanımında kullanacağınız filtrelerin çok büyük önem arz ettiğini belirtmek isterim. Örneğin Edge sunucu üzerine gelen bir mesaj ilk olarak Ip reputation servis üzerinde karşılanır, eğer mesaj burayı geçer ise  content filter, devamında diğer tanımlanmış olan filtreler ve malware taramasından geçirilir. Buradaki performansı etkileyen en önemli hususlardan biri kullandığınız filtrelerdir. Ne kadar çok filtre tanımlarsanız o kadar çok kaynak tüketimi yaparsınız.

Aşağıdaki şekilde filtre kullanımı ile doğru orantılı olarak artan cpu kullanımını görebiliriz

image009 

Resimdeki şekil için açıklama tablosu aşağıdaki gibidir

 

Keyword Filter

File Filter

Light

1 – 115

1 – 20

Moderate

116 – 230

21 – 40

Heavy

231 – 345

41 – 60

Very heavy

346 – 460

Evet şimdi yükleme için ön hazırlığa başlayabiliriz. Temiz bir yükleme olması için sistem gereksinimlerini kontrol etmenizi öneririm;

https://technet.microsoft.com/en-us/library/cc482970.aspx

Eğer gereksinimler tam ise yüklemeye başlayabiliriz.

Yükleme adımları çok basit olduğu için detaylandırma gereği duymuyorum, yani bu makalede asıl can alıcı nokta aslında buraya kadar anlattığım bölümlerdeydi çünkü dediğim gibi yükleme standart olarak next next şeklinde devam edecektir.

image010

Sözleşmeyi kabul ediyoruz

image011

Kurulum sırasında Transport Servisi durdurulacak ve tekrar başlatılacak, eğer yoğun bir Hub sunucusu ise bu kesintisi olmaması için mesai saatleri dışında bu kurulum işlemini yapabilirsiniz.

image012

Kurulum dizinleri

image013

İnternet erişimi için proxy var ise bilgileri girebilirsiniz , ancak bu işin en iyi yöntemlerinden biri sunucuların proxy den bağımsız internete çıkmaları olduğu için ( firewall dan direk izinli olmaları beklenir ).

image014

Yükleme sonrası Anti Spam özelliği hemen aktif olmasını istiyorsanız buradaki seçeneği “Enable” olarak değiştirebilirsiniz, peki neden böyle bir seçenek var derseniz temel configleri yapmadan bu özelliği açmak istemeyebilirsiniz.

image015

Otomatik güncellemeler.

image016

Ve kurulumdan önceki son adım.

Kurulumun hemen ardından aşağıdaki gibi kullananlar için Forefront Online Protection for Exchange Gateway  kurulumu da yapma imkanına sahipsiniz.

image017

Bu hizmet hakkında makalemizin ilerleyen bölümlerinde bilgi bulabilirsiniz.

image018

Kurulumun ardından yukarıdaki gibi konsol ekranı bizi karşılıyor ve hemen aktivasyon ekranını görüyoruz.

image019

Sahip olduğunuz seri numarasını girerek aktivasyonu tamamlayabilirsiniz

image020

Bu son işlemden sonra artık FPE ürünü kullanmaya hazır hale geliyor. Bundan sonrası için detaylı kullanım makalelerini takip edebilirsiniz. Bu FPE üzerine hazırladığım seri makalelerin ilki olup devamından detaylı konfigürasyon bilgilerini alabilirsiniz.

Bir sonraki makalemizde görüşmek üzere.