部署Forefront單一網絡適配器的注意事項
在Forefront的部署過程中有許多種拓撲結構,根據企業應用環境的不同應當采取不同的配置方式。Forefront管理員需要了解這幾種拓批結構的差異與特點,并在合適的情況下選擇合適的拓撲結構。在這篇文章中將為大家介紹Forefront單一網絡適配器的部署。
如上圖所示,是單一網絡適配器環境的典型示意圖。從這個示意圖我們可以看到,企業邊緣的設備主要有兩個:安全網關與防火墻。也就是說,Forefront中的防火墻功能這里是被禁用掉的,而使用其它防火墻產品來代替。也許有讀者會問,那不是浪費錢嗎?確實,采取這種方式真的會浪費企業的資源。但是在實際工作中,在如下幾種情形下仍然可能會使用這種方式的部署。
一是中間過渡的階段。如企業剛開始組建網絡的時候,并沒有采用ForefrontTMG系統。而只使采用了其他品牌的,如華為的防火墻。后來出于安全提升或者其他方面的原因,企業IT管理人員決定采用Forefront系統來武裝自己的網絡。但是出于穩定過渡的考慮,企業可能并不會一下子就廢掉原先的防火墻系統。而是先使用Forefront的安全網關的功能。等到使用穩定后,再啟用Forefront的安全防火墻,并禁用掉最后的防火墻。這種過渡方式相對來說,比較平穩。對用戶的不利影響也是最低的。所以單一網絡適配器的拓撲結構,在轉型升級的過程中用的機會比較多。
二是出于性能的考慮。在上面這種“單一網絡適配器”的應用環境中,安全網關與防火墻兩種服務是部署在兩臺不同的服務器上。其實這也是一種變向的服務器負載均衡。兩臺不同的服務器分別來完成不同的工作。者就可以提高他們的工作效率。某些企業,如金融機構,對于數據傳輸的性能要求比較高,同時又是“大款”,資金比較充裕。在這種情況下,他們也會考慮采用這種部署方式。
二、Forefront單一網絡適配器方案的使用限制
雖然說單一網絡適配器方案在企業中應用也不在少數。但是企業IT管理人員在選擇用這個方案的時候,需要注意其在功能上會受到某些限制。也就是說,與其他解決方案相比,單一網絡適配器方案只能夠實現部分的功能。對于這一點各位讀者也必須有所了解。因為這也是判斷是否要采用單一網絡適配器解決方案的標準之一。
限制一:不支持點對點的VPN連接方式。
如果企業中有VPN應用的話,那么使用這個單一網絡適配器解決方案需要特別的注意。因為到2010版本為止,在單一網路適配器環境下,其還不能夠支持點對點的VPN連接方式。如管理員現在在出差,其希望通過點對點的VPN連接到企業的邊緣路由器,然后再連接到Forefront服務器進行維護與管理。這種方案是行不通的。因為單一網路適配器不支持點對點的VPN連接。這主要是一種對管理方式的限制。對于普通用戶來說,影響并不是很大。
限制二:對IP地址的限制。
Forefront服務器其實本質上就是一臺主機,可能只是沒有顯示器而已。當這臺服務器要與網絡中的其他主機進行通信時,必須要有IP地址。這個IP地址就好像是人的身份證號碼,與主機進行唯一的對應。在單一網路適配器解決方案中,對于IP地址的使用有所限制。通常情況下,必須為訪問規則配置僅適用企業內部IP地址的源地址。有些企業可能合法的互聯網地址比較多,還有結果剩著沒用,就想給Forefront服務器也搞一個,以利于遠程管理。因為有了合法的互聯網IP地址,在進行遠程管理的時候(通過互聯網進行),就不用使用VPN或者NAT技術。不過可惜的是,在單一網路適配器解決方案中,這也是行不通的。因為根據要求,在這種解決方案下,必須為訪問規則配置內部IP地址的源地址。即不能夠使用公網地址。
除了這兩個限制外,另外還需要注意兩點。一是單一網絡適配器解決方案下,可以啟用部分的防火墻功能。但是需要注意此時防火墻策略不能夠引用外部網絡。二是單一網絡適配器的拓撲結構并不支持SecureNAT或者與TMG客戶端進行通訊。
如果企業需要上面這幾個應用的話,那么需要注意,單一網絡適配器解決方案可能并不適合你。企業IT技術人員可能需要考慮采用后端防火墻或者邊緣放火墻的策略。
三、Forefront單一網絡適配器方案的主要功能
談了上面的限制之后,筆者再結合企業的實際情況,來談談單一網絡適配器拓撲結構主要可以實現的功能。筆者在這里先提醒一下,在閱讀這部分文字時,最好跟上面提到的“適用場合”與“適用限制”一起來看。如此的話,對于下面這部分內容會有更進一步的認識。也就是說,當企業如果需要用到這些功能,而又沒有觸犯以上限制的話,這個單一網絡適配器拓撲結構是可用的。否則的話,就需要謹慎使用。
功能一:在使用Web緩存功能時可以考慮使用。
企業可能會在網站上部署FTP等應用。為了提高其效率,會采用Web緩存機制。也就是說,將用戶經常需要訪問的數據放置在服務期的緩存上。此時由于訪問內存的速度要比訪問硬盤的速度快的多,那么用戶的訪問效率也就會提升不少。在企業的實際工作中,這種經常用到的一種性能優化的方式。單一網絡適配器拓撲結構可以致詞后針對HTTP或者CERN代理的FTP服務器的Web緩存。有些讀者或許不怎么理解CERN代理的工作方式。其實CERN代理與其它代理服務器相比,主要是一個權限上的區別。簡單的說,通過CERN代理服務器將只能夠查看或者下載文件。即只能夠對FTP服務器進行查詢和下載操作,而不能夠進行任何的修改。如上傳或者刪除文件,或者創建文件與文件夾等等。而通過其它代理服務器則不受這一限制。總之,單一網路適配器拓撲結構可以支持針對HTTP和CERN代理的FTP服務器的緩存機制。
功能二:支持有限的Web服務器發布方案。
Web服務器的發布方式有很多種。不過單一網絡適配器拓撲結構其只支持兩種,分別是Web直接發布方案和基于HTTP通信的方案。如果企業采用的是這兩種Web方案的其中一種,那么就可以放心使用。相反,如果采用其他Web發布方案的話,則就需要采用其他的拓撲結構,或者說調整Web的發布方案。
功能三:支持撥號客戶端虛擬專用網絡的訪問。
在上面的限制條件中,筆者強調過,單一網絡適配器拓撲結構并不支持點對點的VPN訪問。但并不是說其不支持所有的VPN連接。其實在這種拓撲結構中,如果采用的是傳統的撥號客戶端虛擬專用網絡的連接,其還是能夠支持的。不過眾所周知,這種撥號訪問的方式,其性能沒有其他方式那么好,而且在安全性上也沒有很高的保證。故如果管理員要使用這種撥號客戶端虛擬專用網絡的訪問,還需要慎重。
總之,使用Forefront單一網絡適配器拓撲結構時,大部分是為了滿足平穩轉型的需要。其使用在功能上會受到比較多的限制。這也就限制了這種解決方案的適用范圍。
【編輯推薦】
- Forefront性能優化四步走
- 讓ForeFront TMG來做企業網絡的守門人
- Forefront Security應用程序使用技巧
- 淺談Forefront Security的管理策略和事件
- ForeFront讓郵箱服務器遠離侵襲三建議
