在Forefront的部署过程中有许多种拓扑结构,根据企业应用环境的不同应当采取不同的配置方式。Forefront管理员需要了解这几种拓批结构的差异与特点,并在合适的情况下选择合适的拓扑结构。在这篇文章中将为大家介绍Forefront单一网络适配器的部署。
如上图所示,是单一网络适配器环境的典型示意图。从这个示意图我们可以看到,企业边缘的设备主要有两个:安全网关与防火墙。也就是说,Forefront中的防火墙功能这里是被禁用掉的,而使用其它防火墙产品来代替。也许有读者会问,那不是浪费钱吗?确实,采取这种方式真的会浪费企业的资源。但是在实际工作中,在如下几种情形下仍然可能会使用这种方式的部署。
一是中间过渡的阶段。如企业刚开始组建网络的时候,并没有采用ForefrontTMG系统。而只使采用了其他品牌的,如华为的防火墙。后来出于安全提升或者其他方面的原因,企业IT管理人员决定采用Forefront系统来武装自己的网络。但是出于稳定过渡的考虑,企业可能并不会一下子就废掉原先的防火墙系统。而是先使用Forefront的安全网关的功能。等到使用稳定后,再启用Forefront的安全防火墙,并禁用掉最后的防火墙。这种过渡方式相对来说,比较平稳。对用户的不利影响也是最低的。所以单一网络适配器的拓扑结构,在转型升级的过程中用的机会比较多。
二是出于性能的考虑。在上面这种“单一网络适配器”的应用环境中,安全网关与防火墙两种服务是部署在两台不同的服务器上。其实这也是一种变向的服务器负载均衡。两台不同的服务器分别来完成不同的工作。者就可以提高他们的工作效率。某些企业,如金融机构,对于数据传输的性能要求比较高,同时又是“大款”,资金比较充裕。在这种情况下,他们也会考虑采用这种部署方式。
二、Forefront单一网络适配器方案的使用限制
虽然说单一网络适配器方案在企业中应用也不在少数。但是企业IT管理人员在选择用这个方案的时候,需要注意其在功能上会受到某些限制。也就是说,与其他解决方案相比,单一网络适配器方案只能够实现部分的功能。对于这一点各位读者也必须有所了解。因为这也是判断是否要采用单一网络适配器解决方案的标准之一。
限制一:不支持点对点的VPN连接方式。
如果企业中有VPN应用的话,那么使用这个单一网络适配器解决方案需要特别的注意。因为到2010版本为止,在单一网路适配器环境下,其还不能够支持点对点的VPN连接方式。如管理员现在在出差,其希望通过点对点的VPN连接到企业的边缘路由器,然后再连接到Forefront服务器进行维护与管理。这种方案是行不通的。因为单一网路适配器不支持点对点的VPN连接。这主要是一种对管理方式的限制。对于普通用户来说,影响并不是很大。
限制二:对IP地址的限制。
Forefront服务器其实本质上就是一台主机,可能只是没有显示器而已。当这台服务器要与网络中的其他主机进行通信时,必须要有IP地址。这个IP地址就好像是人的身份证号码,与主机进行唯一的对应。在单一网路适配器解决方案中,对于IP地址的使用有所限制。通常情况下,必须为访问规则配置仅适用企业内部IP地址的源地址。有些企业可能合法的互联网地址比较多,还有结果剩着没用,就想给Forefront服务器也搞一个,以利于远程管理。因为有了合法的互联网IP地址,在进行远程管理的时候(通过互联网进行),就不用使用VPN或者NAT技术。不过可惜的是,在单一网路适配器解决方案中,这也是行不通的。因为根据要求,在这种解决方案下,必须为访问规则配置内部IP地址的源地址。即不能够使用公网地址。
除了这两个限制外,另外还需要注意两点。一是单一网络适配器解决方案下,可以启用部分的防火墙功能。但是需要注意此时防火墙策略不能够引用外部网络。二是单一网络适配器的拓扑结构并不支持SecureNAT或者与TMG客户端进行通讯。
如果企业需要上面这几个应用的话,那么需要注意,单一网络适配器解决方案可能并不适合你。企业IT技术人员可能需要考虑采用后端防火墙或者边缘放火墙的策略。
三、Forefront单一网络适配器方案的主要功能
谈了上面的限制之后,笔者再结合企业的实际情况,来谈谈单一网络适配器拓扑结构主要可以实现的功能。笔者在这里先提醒一下,在阅读这部分文字时,最好跟上面提到的“适用场合”与“适用限制”一起来看。如此的话,对于下面这部分内容会有更进一步的认识。也就是说,当企业如果需要用到这些功能,而又没有触犯以上限制的话,这个单一网络适配器拓扑结构是可用的。否则的话,就需要谨慎使用。
功能一:在使用Web缓存功能时可以考虑使用。
企业可能会在网站上部署FTP等应用。为了提高其效率,会采用Web缓存机制。也就是说,将用户经常需要访问的数据放置在服务期的缓存上。此时由于访问内存的速度要比访问硬盘的速度快的多,那么用户的访问效率也就会提升不少。在企业的实际工作中,这种经常用到的一种性能优化的方式。单一网络适配器拓扑结构可以致词后针对HTTP或者CERN代理的FTP服务器的Web缓存。有些读者或许不怎么理解CERN代理的工作方式。其实CERN代理与其它代理服务器相比,主要是一个权限上的区别。简单的说,通过CERN代理服务器将只能够查看或者下载文件。即只能够对FTP服务器进行查询和下载操作,而不能够进行任何的修改。如上传或者删除文件,或者创建文件与文件夹等等。而通过其它代理服务器则不受这一限制。总之,单一网路适配器拓扑结构可以支持针对HTTP和CERN代理的FTP服务器的缓存机制。
功能二:支持有限的Web服务器发布方案。
Web服务器的发布方式有很多种。不过单一网络适配器拓扑结构其只支持两种,分别是Web直接发布方案和基于HTTP通信的方案。如果企业采用的是这两种Web方案的其中一种,那么就可以放心使用。相反,如果采用其他Web发布方案的话,则就需要采用其他的拓扑结构,或者说调整Web的发布方案。
功能三:支持拨号客户端虚拟专用网络的访问。
在上面的限制条件中,笔者强调过,单一网络适配器拓扑结构并不支持点对点的VPN访问。但并不是说其不支持所有的VPN连接。其实在这种拓扑结构中,如果采用的是传统的拨号客户端虚拟专用网络的连接,其还是能够支持的。不过众所周知,这种拨号访问的方式,其性能没有其他方式那么好,而且在安全性上也没有很高的保证。故如果管理员要使用这种拨号客户端虚拟专用网络的访问,还需要慎重。
总之,使用Forefront单一网络适配器拓扑结构时,大部分是为了满足平稳转型的需要。其使用在功能上会受到比较多的限制。这也就限制了这种解决方案的适用范围。
【编辑推荐】
- Forefront性能优化四步走
- 让ForeFront TMG来做企业网络的守门人
- Forefront Security应用程序使用技巧
- 浅谈Forefront Security的管理策略和事件
- ForeFront让邮箱服务器远离侵袭三建议
