部署Forefront单一网络适配器的注意事项

安全
Forefront安全网关可以根据企业的需求不同,而采取不同的拓扑结构。如现在可选的有边缘防火墙、3向外围防火墙、后端防火墙、单一网络适配器等几种拓扑结构。这几种拓扑结构在本质上有很大的差异。

在Forefront的部署过程中有许多种拓扑结构,根据企业应用环境的不同应当采取不同的配置方式。Forefront管理员需要了解这几种拓批结构的差异与特点,并在合适的情况下选择合适的拓扑结构。在这篇文章中将为大家介绍Forefront单一网络适配器的部署。

部署Forefront单一网络适配器的注意事项 

如上图所示,是单一网络适配器环境的典型示意图。从这个示意图我们可以看到,企业边缘的设备主要有两个:安全网关与防火墙。也就是说,Forefront中的防火墙功能这里是被禁用掉的,而使用其它防火墙产品来代替。也许有读者会问,那不是浪费钱吗?确实,采取这种方式真的会浪费企业的资源。但是在实际工作中,在如下几种情形下仍然可能会使用这种方式的部署。

一是中间过渡的阶段。如企业刚开始组建网络的时候,并没有采用ForefrontTMG系统。而只使采用了其他品牌的,如华为的防火墙。后来出于安全提升或者其他方面的原因,企业IT管理人员决定采用Forefront系统来武装自己的网络。但是出于稳定过渡的考虑,企业可能并不会一下子就废掉原先的防火墙系统。而是先使用Forefront的安全网关的功能。等到使用稳定后,再启用Forefront的安全防火墙,并禁用掉最后的防火墙。这种过渡方式相对来说,比较平稳。对用户的不利影响也是最低的。所以单一网络适配器的拓扑结构,在转型升级的过程中用的机会比较多。

二是出于性能的考虑。在上面这种“单一网络适配器”的应用环境中,安全网关与防火墙两种服务是部署在两台不同的服务器上。其实这也是一种变向的服务器负载均衡。两台不同的服务器分别来完成不同的工作。者就可以提高他们的工作效率。某些企业,如金融机构,对于数据传输的性能要求比较高,同时又是“大款”,资金比较充裕。在这种情况下,他们也会考虑采用这种部署方式。

二、Forefront单一网络适配器方案的使用限制

虽然说单一网络适配器方案在企业中应用也不在少数。但是企业IT管理人员在选择用这个方案的时候,需要注意其在功能上会受到某些限制。也就是说,与其他解决方案相比,单一网络适配器方案只能够实现部分的功能。对于这一点各位读者也必须有所了解。因为这也是判断是否要采用单一网络适配器解决方案的标准之一。

限制一:不支持点对点的VPN连接方式。

如果企业中有VPN应用的话,那么使用这个单一网络适配器解决方案需要特别的注意。因为到2010版本为止,在单一网路适配器环境下,其还不能够支持点对点的VPN连接方式。如管理员现在在出差,其希望通过点对点的VPN连接到企业的边缘路由器,然后再连接到Forefront服务器进行维护与管理。这种方案是行不通的。因为单一网路适配器不支持点对点的VPN连接。这主要是一种对管理方式的限制。对于普通用户来说,影响并不是很大。

限制二:对IP地址的限制。

Forefront服务器其实本质上就是一台主机,可能只是没有显示器而已。当这台服务器要与网络中的其他主机进行通信时,必须要有IP地址。这个IP地址就好像是人的身份证号码,与主机进行唯一的对应。在单一网路适配器解决方案中,对于IP地址的使用有所限制。通常情况下,必须为访问规则配置仅适用企业内部IP地址的源地址。有些企业可能合法的互联网地址比较多,还有结果剩着没用,就想给Forefront服务器也搞一个,以利于远程管理。因为有了合法的互联网IP地址,在进行远程管理的时候(通过互联网进行),就不用使用VPN或者NAT技术。不过可惜的是,在单一网路适配器解决方案中,这也是行不通的。因为根据要求,在这种解决方案下,必须为访问规则配置内部IP地址的源地址。即不能够使用公网地址。

除了这两个限制外,另外还需要注意两点。一是单一网络适配器解决方案下,可以启用部分的防火墙功能。但是需要注意此时防火墙策略不能够引用外部网络。二是单一网络适配器的拓扑结构并不支持SecureNAT或者与TMG客户端进行通讯。

如果企业需要上面这几个应用的话,那么需要注意,单一网络适配器解决方案可能并不适合你。企业IT技术人员可能需要考虑采用后端防火墙或者边缘放火墙的策略。

三、Forefront单一网络适配器方案的主要功能

谈了上面的限制之后,笔者再结合企业的实际情况,来谈谈单一网络适配器拓扑结构主要可以实现的功能。笔者在这里先提醒一下,在阅读这部分文字时,最好跟上面提到的“适用场合”与“适用限制”一起来看。如此的话,对于下面这部分内容会有更进一步的认识。也就是说,当企业如果需要用到这些功能,而又没有触犯以上限制的话,这个单一网络适配器拓扑结构是可用的。否则的话,就需要谨慎使用。

功能一:在使用Web缓存功能时可以考虑使用。

企业可能会在网站上部署FTP等应用。为了提高其效率,会采用Web缓存机制。也就是说,将用户经常需要访问的数据放置在服务期的缓存上。此时由于访问内存的速度要比访问硬盘的速度快的多,那么用户的访问效率也就会提升不少。在企业的实际工作中,这种经常用到的一种性能优化的方式。单一网络适配器拓扑结构可以致词后针对HTTP或者CERN代理的FTP服务器的Web缓存。有些读者或许不怎么理解CERN代理的工作方式。其实CERN代理与其它代理服务器相比,主要是一个权限上的区别。简单的说,通过CERN代理服务器将只能够查看或者下载文件。即只能够对FTP服务器进行查询和下载操作,而不能够进行任何的修改。如上传或者删除文件,或者创建文件与文件夹等等。而通过其它代理服务器则不受这一限制。总之,单一网路适配器拓扑结构可以支持针对HTTP和CERN代理的FTP服务器的缓存机制。

功能二:支持有限的Web服务器发布方案。

Web服务器的发布方式有很多种。不过单一网络适配器拓扑结构其只支持两种,分别是Web直接发布方案和基于HTTP通信的方案。如果企业采用的是这两种Web方案的其中一种,那么就可以放心使用。相反,如果采用其他Web发布方案的话,则就需要采用其他的拓扑结构,或者说调整Web的发布方案。

功能三:支持拨号客户端虚拟专用网络的访问。

在上面的限制条件中,笔者强调过,单一网络适配器拓扑结构并不支持点对点的VPN访问。但并不是说其不支持所有的VPN连接。其实在这种拓扑结构中,如果采用的是传统的拨号客户端虚拟专用网络的连接,其还是能够支持的。不过众所周知,这种拨号访问的方式,其性能没有其他方式那么好,而且在安全性上也没有很高的保证。故如果管理员要使用这种拨号客户端虚拟专用网络的访问,还需要慎重。

总之,使用Forefront单一网络适配器拓扑结构时,大部分是为了满足平稳转型的需要。其使用在功能上会受到比较多的限制。这也就限制了这种解决方案的适用范围。


 

 

【编辑推荐】

  1. Forefront性能优化四步走
  2. 让ForeFront TMG来做企业网络的守门人
  3. Forefront Security应用程序使用技巧
  4. 浅谈Forefront Security的管理策略和事件
  5. ForeFront让邮箱服务器远离侵袭三建议

 

责任编辑:张启峰 来源: IT专家网
相关推荐

2013-12-10 09:44:00

网络适配器卸载

2010-12-23 13:56:34

网络适配器

2010-05-05 22:04:08

万兆以太网融合网络Brocade

2010-01-12 16:51:36

交换机怎样设置

2011-12-07 15:24:11

英特尔万兆网卡数据中心

2011-12-07 15:31:11

Red Hat

2011-09-26 11:02:10

2012-05-16 11:11:02

PowershellNIC PCI

2012-03-02 15:27:50

PowershellPCI总线

2017-06-07 15:16:03

Windows 10Windows以太网图标

2012-09-19 15:29:26

Worklight适配器

2013-05-02 15:08:00

BYOD统一网络

2010-02-25 14:28:44

网卡

2012-11-09 11:11:42

以太网网络技术

2009-06-29 09:36:58

思科统一网络

2018-10-11 10:38:31

前端JavaScript编程语言

2009-05-21 09:09:41

网络管理操作系统效率

2022-02-18 17:21:29

适配器模式客户端

2018-06-15 16:10:40

windows 10Wi-Fi适配器

2020-10-25 08:56:21

适配器模式
点赞
收藏

51CTO技术栈公众号