Forefront差異分析:工作組與域環境
Forefront配置部署在不同的環境中達到的效果也時有所不同的,為了大家能夠更好的使用Forefront,本篇文章就工作組與域環境中的Forefront差異分析給大家總結一下這款企業級的安全產品性能。
Forefront差異一:Forefront可以在工作組或者域環境中部屬
首先需要說明的一點是,Forefront可以部屬在工作組環境中或者在域環境中。而且如果將其與Windows的域結合使用,往往能夠起到1+1大于2的效果。這也就是說,兩個環節相比起來,在工作組環境下配置與管理Forefront要稍微復雜一點。而且在工作組中由于技術的原,某些功能也會受到一定的限制。兩者具體的差異筆者會在后續的內容中詳細說到。在這里只是先給大家打一個預防針。所以一般情況下,筆者還是建議在域環境中部屬Forefront。或者說,在部屬之前需要先了解這兩者的差異,然后再根據企業的實際情況,做出合理的選擇。
Forefront差異二:網絡拓撲設計時需要注意的內容
其實在工作組環境下與域環境下的差異不僅僅體現在操作維護層面,在網絡拓撲的設計層面就已經需要注意這個內容了。這也就是說,管理員如果需要使用Forefront產品來保護企業內部安全的話,那么在規劃的過程中,就需要確認在兩種環境下其運行的差異。并根據這個差異的內容,來合理設計網絡拓撲結構。
根據經驗,筆者認為在網絡拓撲設計時需要注意以下這些差異。
如果將Forefront防止在企業網絡的邊緣,可以起到屏蔽互聯網中不良信息的作用。在這種情況下,其部屬的方式往往有三種,分別為保護邊緣配置、后端到后端配置與三向配置。保護邊緣配置又叫做二向配置。簡單的說,就是采用兩個網絡適配器,一個適配器連接到外部網絡,另外一個適配器連接到外部網絡。此時所有的通信流量都會經過Forefront服務器,從而對數據流進行過濾、掃描等保護行動。后端到后端配置與第一種方式即有相同的地方、也有不同的地方。這種配置方式是使用Forefront安全網關作為前端防火墻來保護企業邊緣的安全,然后也是將一個適配器連接到外部網絡,將一個適配器連接到外網網絡。注意兩個適配器從本質上說都是面向外部的。而在外圍網絡和內部網絡之間,則配置后端防火墻。三向配置指的是采用三塊網絡適配器,分別連接到內部網絡、外部網絡和外圍網絡。這三種實現方式各有特點。不過由于篇幅的關系,筆者不再這里過多展開。筆者這里需要強調的是,在工作組環境下或者在域環境下,實現這些部署方式時的差異,并指出在網絡拓撲結構設計時需要注意的內容。
總的來說,如果將Forefront部署在網絡的邊緣(即當作安全網關來使用),在大的方面沒有多少差異,即無論在工作組環境下還是在域環境下,Forefront都支持在邊緣進行配置。不過在一些細節上還是存在著不小的差異。如在域工作環境下,建議在單獨的林中(這個林具有與公司林的單向信任關系)部署這個產品,而不是在公司網絡的內部林中。這可以提高企業內部林的安全性。而如果在工作組的環境中部署的話,則沒有這種限制。
另外需要注意的是,有可能會兩種工作模式同時使用。在上面談到的后端到后端配置模式。一種比較典型的配置方案是同時部署兩臺Forefront服務器。一種一臺安裝在邊緣,另外一臺安裝在后端。此時可以使用工作組模式來部署前端Forefront服務器,而以域工作模式來安裝后端服務器。這主要是出于身份驗證的角度來考慮的。具體的內容請參考后面身份驗證的差異分析。
Forefront差異三:在功能上兩種環境下也存在差異
在部署時,在設計網絡拓撲時需要注意其不同工作環境下的差異。在具體部署與管理中,也需要注意,特別是在工作組環境下某些功能上存在著一些限制。
具體的來說,在工作組模式下對以下這些功能存在限制。一是在工作組環境下,Forefront不支持EMS復制。二是在工作組環境下,其不支持自動檢測Web代理。三是在部署時,在工作組環境下需要多一些操作的步驟。四是在用戶映射上存在限制。在Forefront中可以為VPN客戶端配置用戶映射。但是需要注意的是,將非微軟操作系統用戶映射到用戶賬戶時,存在限制。即只有在域工作環境下配置Forefront安全網關時系統才支持用戶映射。如果管理員需要使用EMS復制功能的話,那么就必須要在域環境下部署Forefront產品。
除了以上這些功能限制之外,在域環境下實現Forefront安全網關還能夠帶來其他的一些額外效益。如在域環境中,可以使用組策略來鎖定與管理安全網關服務器。而在工作組環境下,則不可以。在工作組模式下,其只能夠通過配置本地策略來鎖定它。這是需要特別注意的地方。
如果雖然在域工作環境下,Forefront的功能能夠得到最大的發揮,但是其也會有一個安全隱患。如在域環境中,只要具有域管理員權限的用戶可以管理每個域成員。而Forefront安全網關服務器就是其中的一個域成員。如此的話,就將活動目錄的安全與Forefront服務器的安全捆綁在一起。如果活動目錄服務服務器遭受到攻擊,則這個Forefront服務器也會受到攻擊。相反,如果Forefront服務器受到攻擊,那么活動目錄服務器也就難以幸免。可見,對于活動目錄服務器來說,其又多了一道安全隱患。為此在域環境下實現Forefront服務器,往往需要額外的安全機制來保障這兩臺服務器的安全。
Forefront差異四:身份驗證上的差異
在上面網絡拓撲結構設計中筆者在談到“后端到后端”配置模式中,談到可以設置兩臺Forefront服務器來滿足后端到后端的配置要求。邊緣服務器可以以工作組模式下進行模式,而后段服務器則可以通過域成員身份進行配置。那為什么要進行這個配置呢?主要的原因還在于身份驗證上的差異。
如現在出于安全的考慮,Forefront安全網關服務器要求對內部客戶端針對出戰的訪問(即訪問外網)進行身份驗證。注意,在不同的工作環境下,其采用的身份驗證機制是不同的。如在域環境下,服務器采用的是ADDS身份驗證方法。而對于工作組環境下說,其通過Web代理請求來進行RADIUS服務器身份驗證。這是由于這個原因,所以才建議在連接內網的后端服務器上采用域成員身份進行部署。
如果Forefront服務器與微軟防火墻結合使用,也需要注意兩者的區別。通常情況下,如果跟防火墻結合使用,筆者建議采用域環境模式。因為防火墻客戶端會請求自動包括用戶憑據。此時要驗證這個用戶請求,則必須將Forefront安全網關服務器包含在一個域中。而如果在工作組環境下實現的話,則相對來說要麻煩一點。因為不能夠直接實現,而需要通過鏡像來完成。即需要通過使用鏡像到Forefront安全網關服務器上的本地安全帳戶管理器中存儲的帳戶的用戶帳戶來驗證請求。雖然最終也可以實現目標,但是這需要一定的資源開銷。從而在網絡比較繁忙的時候,可能會加重網絡的負擔。
【編輯推薦】
- Forefront性能優化四步走
- 讓ForeFront TMG來做企業網絡的守門人
- Forefront Security應用程序使用技巧
- 淺談Forefront Security的管理策略和事件
- ForeFront讓郵箱服務器遠離侵襲三建議
