在企业安全管理过程中,Forefront可以部署在企业网络的边缘当作安全网关使用,避免企业网络受到外网侵害,但是这种情况一旦网关出现问题,企业网络就会造成瘫痪。笔者这里建议企业网络安全人员,可以通过冗余功能,来提高Forefront的可用性。
一、启用安全网关冗余功能提高Forefront可用性的前提条件
服务器冗余现在应用的已经非常的广泛。在数据库、Web服务器等等都已经有成功的案例。现在在Forefront安全网关中也引入了相关的安全机制。不过笔者这里需要强调的一点是,在这里实现安全网关的冗余,对企业的网络环境有比较严格的限制。必须满足一定条件,才能够在企业网络的边缘实现冗余功能。具体的来说,以下几个条件必须满足。
一是所有连接到Forefront TMG的内部和外围网络都必须与默认的外部网络具有网络地址转换关系。网络地址转换在实际工作中还是很有作用的。如国内的企业,一般只能够获得1到3个公网IP地址。而企业内部的主机数量多达几十台,甚至上百台。在这种情况下,显然公网IP地址不够用。此时为了与互联网上的主机进行通信,就要使用NAT(网络地址转换)功能,将企业内部的IP地址转换为外部合法的IP地址。这个限制条件有一点绝对,它要求所有内部的主机都要与默认的外部网络具有网络地址转换关系。当不满足这个条件的时候,将无法享受启用冗余功能。
二是对DHCP服务的限制。DHCP是自动IP地址分配的服务。在企业中应用的也比较广泛。但是如果要使用Forefront安全网关的冗余功能,则对这个服务有所限制。如现在企业可能在Windowsserver2008操作系统上部署了Forefront。此时如果要启用冗余功能的话,需要注意,2008服务器操作系统并不支持DHCP分配的链路中使用多个默认网关。这也就是说,如果企业的的ISP服务商只支持由DHCP分配的地址(也就是说没有固定IP地址),则必须将这个两个默认网关手动添加到Forefront安全网关的路由表中。这段话到底在将什么内容呢?请各位读者回顾一下自己企业的网络配置。有很多企业可能都是通过电信等类似的ISP服务提供商来接入互联网,如ADSL拨号。他们提供的服务,一般可以分为固定IP地址服务与自动IP地址服务。固定IP地址服务指的是每次拨号到互联网中采用的都是相同的IP地址。这也就是说,这个公网的IP地址就给你们企业用了。而自动IP地址则不同。企业每次登录到互联网之前,ISP服务商都会提供一个空闲公网的IP地址。注意,在这种模式下,企业可能每次得到的IP地址都是不同的。企业如果采用的是第二种方式,那么就必须将这两个默认网关手工添加到ForefrontTMG上的路由表中。
除了以上这两个限制之外,还需要注意,如果大家选择将两个ISP连接中的一个或者两个连接与某个网络适配器进行关联,则这些连接必须与默认的外部网络适配器进行关联。而不能够讲ISP连接与其他任何的外部网络关联。
二、故障转移的同时是否启用负载均衡
其实冗余功能,简单的说,就是使用两台Forenfront安全网关服务器。当某一台服务器出现故障的时候,就会自动启用另外一台。通过这种方式,实现不简单的互联网访问。在这个过程中,企业网络安全管理人员还需要回答一个问题。现在企业有两台ForefrontTMG服务器。平时的时候,是两台都同时使用,实现负载均衡呢?还是平时只适用一台,另外一台备用。只有在主服务器出现故障的时候,备用服务器才会接手。这两种不同的工作模式,就构成了Forefront安全网关冗余的两种方式。
***种模式:仅故障转移
在这种工作模式下,两个服务器有主次之分。正常情况下,通信流量都是通过主服务器进行转发的。只有在主服务器出现故障的情况下,才会使用备用服务器。也就是说,网络安全管理人员需要将一个连接定义为所有通信的主连接。然后让另外一个连接充当备用连接。如果主连接由于某种原因变为不可用(如断电当机等等),则通讯将路由到备用连接,从而实现Internet服务的不简单运行。
采用这种工作模式的话,那个备用的服务器配置可以不需要很高。因为其大部分时间都是用不到的。当主服务器出现故障时,才将工作交给备用服务器。当主服务器修复完成后,又会将工作交回给主服务器。故这种方案可以节省企业的投资成本。
不过在这种方案中,网络安全管理人员要确保这个备用服务器的可用性。由于安全管理人员长时间没有关注备用服务器。结果当主服务器出现故障后,才发现备用服务器已经停止工作了很长时间。此时就无法起到冗余的功能。在实际工作中,这是用户经常犯的错误。
第二种模式:在故障转移的同时实现负载均衡
在这种情况下,两台服务器往往就没有主次之分。因为他们是同时工作的。也就是说,企业的出站流量,系统会自动根据两台服务器的繁忙程度,在他们之间进行分配。当服务器A比较空时,就会通过服务器A来转发。相反,当服务器B比较空时,就会通过服务器B来转发。这就是负载均衡的思想。在实际工作中,两台服务器的配置往往也有所差别。此时网络安全管理人员就需要根据两台服务器具体的运行情况,来设置各自的负荷能力。如可以将60%的通信流量交由性能相对较好的服务器A来完成,剩余的则由服务器B来完成。在部署过程中,管理人员可以根据实际情况设置具体的比率。不过一般情况下,两个比例不要设置的太过于悬殊。如一台服务器10%,另一台服务器90%。这么悬殊的比例,很难达到负载均衡的目的。
在负载均衡的同时,实现了故障转移的功能。也就是说,当一台服务器变得不可用时,系统会自动侦测到这种情况。然后将数据都转发给另外一台可用的服务器。当然,这个转换的过程对于用户来说,是透明的。用户可能不会感觉到某一台服务器已经出现故障。
当企业的内部客户端数量比较多,或者并发访问强度比较高时,企业网络边缘的安全网关有可能会成为企业的性能瓶颈。在这种情况下,采用这种工作模式是一举两得的。即能够提高服务器的性能,又能够提高服务器的可用性。
不过在这种配置下,一般要求两台服务器具有相同或者相近的配置。否则的话,负载均衡的效果会受到限制。这对企业来说,往往意味着需要投入更多的资本。故网络安全管理人员需要结合企业的实际情况,来综合考虑,看看这笔投资合不合算。当然如果企业的资金比较充裕,笔者还是建议采用第二种工作模式。即在实现冗余的同时,也实现负载均衡。
总之,对那些可用性要求比较高的企业,如采用了SaaS服务的企业,其用ForefrontTMG冗余是必要的。虽然相比起来,需要增加一台服务器,但是相比可用性来说,这个投资是能够得到回报的。在部署过程中,网络安全管理人员需要注意实现冗余提高Forefront可用性的一些限制条件。同时需要考虑,采用哪一种工作模式。
【编辑推荐】
- Forefront性能优化四步走
- 让ForeFront TMG来做企业网络的守门人
- Forefront Security应用程序使用技巧
- 浅谈Forefront Security的管理策略和事件
- ForeFront让邮箱服务器远离侵袭三建议