通過冗余功能提高Forefront可用性
在企業安全管理過程中,Forefront可以部署在企業網絡的邊緣當作安全網關使用,避免企業網絡受到外網侵害,但是這種情況一旦網關出現問題,企業網絡就會造成癱瘓。筆者這里建議企業網絡安全人員,可以通過冗余功能,來提高Forefront的可用性。
一、啟用安全網關冗余功能提高Forefront可用性的前提條件
服務器冗余現在應用的已經非常的廣泛。在數據庫、Web服務器等等都已經有成功的案例。現在在Forefront安全網關中也引入了相關的安全機制。不過筆者這里需要強調的一點是,在這里實現安全網關的冗余,對企業的網絡環境有比較嚴格的限制。必須滿足一定條件,才能夠在企業網絡的邊緣實現冗余功能。具體的來說,以下幾個條件必須滿足。
一是所有連接到Forefront TMG的內部和外圍網絡都必須與默認的外部網絡具有網絡地址轉換關系。網絡地址轉換在實際工作中還是很有作用的。如國內的企業,一般只能夠獲得1到3個公網IP地址。而企業內部的主機數量多達幾十臺,甚至上百臺。在這種情況下,顯然公網IP地址不夠用。此時為了與互聯網上的主機進行通信,就要使用NAT(網絡地址轉換)功能,將企業內部的IP地址轉換為外部合法的IP地址。這個限制條件有一點絕對,它要求所有內部的主機都要與默認的外部網絡具有網絡地址轉換關系。當不滿足這個條件的時候,將無法享受啟用冗余功能。
二是對DHCP服務的限制。DHCP是自動IP地址分配的服務。在企業中應用的也比較廣泛。但是如果要使用Forefront安全網關的冗余功能,則對這個服務有所限制。如現在企業可能在Windowsserver2008操作系統上部署了Forefront。此時如果要啟用冗余功能的話,需要注意,2008服務器操作系統并不支持DHCP分配的鏈路中使用多個默認網關。這也就是說,如果企業的的ISP服務商只支持由DHCP分配的地址(也就是說沒有固定IP地址),則必須將這個兩個默認網關手動添加到Forefront安全網關的路由表中。這段話到底在將什么內容呢?請各位讀者回顧一下自己企業的網絡配置。有很多企業可能都是通過電信等類似的ISP服務提供商來接入互聯網,如ADSL撥號。他們提供的服務,一般可以分為固定IP地址服務與自動IP地址服務。固定IP地址服務指的是每次撥號到互聯網中采用的都是相同的IP地址。這也就是說,這個公網的IP地址就給你們企業用了。而自動IP地址則不同。企業每次登錄到互聯網之前,ISP服務商都會提供一個空閑公網的IP地址。注意,在這種模式下,企業可能每次得到的IP地址都是不同的。企業如果采用的是第二種方式,那么就必須將這兩個默認網關手工添加到ForefrontTMG上的路由表中。
除了以上這兩個限制之外,還需要注意,如果大家選擇將兩個ISP連接中的一個或者兩個連接與某個網絡適配器進行關聯,則這些連接必須與默認的外部網絡適配器進行關聯。而不能夠講ISP連接與其他任何的外部網絡關聯。
二、故障轉移的同時是否啟用負載均衡
其實冗余功能,簡單的說,就是使用兩臺Forenfront安全網關服務器。當某一臺服務器出現故障的時候,就會自動啟用另外一臺。通過這種方式,實現不簡單的互聯網訪問。在這個過程中,企業網絡安全管理人員還需要回答一個問題。現在企業有兩臺ForefrontTMG服務器。平時的時候,是兩臺都同時使用,實現負載均衡呢?還是平時只適用一臺,另外一臺備用。只有在主服務器出現故障的時候,備用服務器才會接手。這兩種不同的工作模式,就構成了Forefront安全網關冗余的兩種方式。
***種模式:僅故障轉移
在這種工作模式下,兩個服務器有主次之分。正常情況下,通信流量都是通過主服務器進行轉發的。只有在主服務器出現故障的情況下,才會使用備用服務器。也就是說,網絡安全管理人員需要將一個連接定義為所有通信的主連接。然后讓另外一個連接充當備用連接。如果主連接由于某種原因變為不可用(如斷電當機等等),則通訊將路由到備用連接,從而實現Internet服務的不簡單運行。
采用這種工作模式的話,那個備用的服務器配置可以不需要很高。因為其大部分時間都是用不到的。當主服務器出現故障時,才將工作交給備用服務器。當主服務器修復完成后,又會將工作交回給主服務器。故這種方案可以節省企業的投資成本。
不過在這種方案中,網絡安全管理人員要確保這個備用服務器的可用性。由于安全管理人員長時間沒有關注備用服務器。結果當主服務器出現故障后,才發現備用服務器已經停止工作了很長時間。此時就無法起到冗余的功能。在實際工作中,這是用戶經常犯的錯誤。
第二種模式:在故障轉移的同時實現負載均衡
在這種情況下,兩臺服務器往往就沒有主次之分。因為他們是同時工作的。也就是說,企業的出站流量,系統會自動根據兩臺服務器的繁忙程度,在他們之間進行分配。當服務器A比較空時,就會通過服務器A來轉發。相反,當服務器B比較空時,就會通過服務器B來轉發。這就是負載均衡的思想。在實際工作中,兩臺服務器的配置往往也有所差別。此時網絡安全管理人員就需要根據兩臺服務器具體的運行情況,來設置各自的負荷能力。如可以將60%的通信流量交由性能相對較好的服務器A來完成,剩余的則由服務器B來完成。在部署過程中,管理人員可以根據實際情況設置具體的比率。不過一般情況下,兩個比例不要設置的太過于懸殊。如一臺服務器10%,另一臺服務器90%。這么懸殊的比例,很難達到負載均衡的目的。
在負載均衡的同時,實現了故障轉移的功能。也就是說,當一臺服務器變得不可用時,系統會自動偵測到這種情況。然后將數據都轉發給另外一臺可用的服務器。當然,這個轉換的過程對于用戶來說,是透明的。用戶可能不會感覺到某一臺服務器已經出現故障。
當企業的內部客戶端數量比較多,或者并發訪問強度比較高時,企業網絡邊緣的安全網關有可能會成為企業的性能瓶頸。在這種情況下,采用這種工作模式是一舉兩得的。即能夠提高服務器的性能,又能夠提高服務器的可用性。
不過在這種配置下,一般要求兩臺服務器具有相同或者相近的配置。否則的話,負載均衡的效果會受到限制。這對企業來說,往往意味著需要投入更多的資本。故網絡安全管理人員需要結合企業的實際情況,來綜合考慮,看看這筆投資合不合算。當然如果企業的資金比較充裕,筆者還是建議采用第二種工作模式。即在實現冗余的同時,也實現負載均衡。
總之,對那些可用性要求比較高的企業,如采用了SaaS服務的企業,其用ForefrontTMG冗余是必要的。雖然相比起來,需要增加一臺服務器,但是相比可用性來說,這個投資是能夠得到回報的。在部署過程中,網絡安全管理人員需要注意實現冗余提高Forefront可用性的一些限制條件。同時需要考慮,采用哪一種工作模式。
【編輯推薦】
- Forefront性能優化四步走
- 讓ForeFront TMG來做企業網絡的守門人
- Forefront Security應用程序使用技巧
- 淺談Forefront Security的管理策略和事件
- ForeFront讓郵箱服務器遠離侵襲三建議
