在部署安全產(chǎn)品的時(shí)候，管理人員往往需要考慮如何在安全與性能之間取得均衡。任何一款安全產(chǎn)品，總會降低現(xiàn)有網(wǎng)絡(luò)的性能。因?yàn)楫吘怪虚g多了一個(gè)處理環(huán)節(jié)。現(xiàn)在的問題是，這個(gè)后果是否在用戶可以忍受的范圍之內(nèi)?如果明顯降低現(xiàn)有應(yīng)用的性能，那么管理人員就必須對其進(jìn)行優(yōu)化。Forefront系統(tǒng)也不例外。在這篇文章中筆者就談?wù)勑阅軆?yōu)化的基本思路及可行的措施。筆者將此總結(jié)為四步走。

第一步：性能優(yōu)化規(guī)劃

沒有目標(biāo)的話，大部分事情都干不好。性能優(yōu)化尤其如此。因?yàn)樾阅軆?yōu)化本來就是一個(gè)虛無縹緲的內(nèi)容。如果沒有既定目標(biāo)的話，就很難辦。筆者認(rèn)為，對于Forefront安全系統(tǒng)來說，性能優(yōu)化的第一步是制定可以接受的性能基線。

如現(xiàn)在有一家企業(yè)，他們要部署Forefront系統(tǒng)來保障企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。在部署之前，最好先對企業(yè)的當(dāng)前網(wǎng)絡(luò)狀況進(jìn)行一個(gè)評估。如這家企業(yè)可能上了ERP系統(tǒng)，那么就可以先對這ERP系統(tǒng)的性能進(jìn)行評估。如用戶登錄系統(tǒng)的速度、生成一張復(fù)雜報(bào)表（如安全庫存報(bào)表）所需要的時(shí)間等等。然后在這個(gè)基礎(chǔ)之上，對上Forefront系統(tǒng)之后的性能指標(biāo)進(jìn)行預(yù)測。如果部署了Forefront之后系統(tǒng)的性能明顯下降，那么就要根據(jù)這些指標(biāo)來對部署后的系統(tǒng)進(jìn)行性能的優(yōu)化。

總之，在性能優(yōu)化中，要根據(jù)企業(yè)的實(shí)際情況來制訂一條可以被用戶所接受的性能基線（至少是大部分用戶都可以認(rèn)同）。如果不這么做，沒有定義系統(tǒng)所需功能的性能參數(shù)，那么在后續(xù)優(yōu)化的時(shí)候，就好像大海撈針，很難找到下手的地方。打一個(gè)形象的比喻。這就好像是病人的抽血檢驗(yàn)單。單據(jù)上一般都有三列內(nèi)容：指標(biāo)的名稱、指標(biāo)的標(biāo)準(zhǔn)值、指標(biāo)的實(shí)際值。將實(shí)際值與理論值進(jìn)行對比，醫(yī)生就可以判斷哪個(gè)指標(biāo)有問題。然后再抽絲剝繭的去分析造成這個(gè)指標(biāo)不正常的原因，并找出對應(yīng)的措施。性能優(yōu)化跟這個(gè)抽血檢驗(yàn)是相同的道理。沒有一個(gè)基線，管理員就很很難確定性能需要優(yōu)化的區(qū)域。為此筆者強(qiáng)烈建議，在性能優(yōu)化的時(shí)候，第一步就是要制定可以接受的性能基線。

第二步：對比數(shù)據(jù)分析性能薄弱環(huán)節(jié)

基線定義完之后，接下去就需要搜集企業(yè)實(shí)際的性能數(shù)據(jù)。然后將實(shí)際收集到的內(nèi)容與基線進(jìn)行對比，找出企業(yè)性能的薄弱環(huán)節(jié)?；蛘哒f，對照最佳性能對收集到的性能數(shù)據(jù)進(jìn)行評估。在這個(gè)步驟中，筆者要強(qiáng)調(diào)以下兩個(gè)問題。

一是要將服務(wù)器端與客戶端分開評估。在收集實(shí)際性能數(shù)據(jù)的時(shí)候，大家會發(fā)現(xiàn)部署了Forefront系統(tǒng)之后，其對于服務(wù)器與客戶端的性能影響是不同的。一個(gè)比較特例的情況就是系統(tǒng)部署之后，服務(wù)器的性能下降了，但是客戶端的性能反而上升了。這里面的原因很復(fù)雜?？傊粋€(gè)基本的原則，就是客戶端與服務(wù)器端需要分開評估。只有如此最后得到的結(jié)果才會比較切合實(shí)際。

二是要抓住重點(diǎn)、抓住主要矛盾。筆者認(rèn)為，相對來說部署Forefront系統(tǒng)這后，對于服務(wù)器的影響是最大的。特別是客戶端數(shù)量一多，每次進(jìn)行更新（假設(shè)從WSUS服務(wù)器進(jìn)行更新），服務(wù)器的性能就會明顯下降。

第三步：性能優(yōu)化實(shí)施

以上兩個(gè)步驟完成之后（薄弱環(huán)節(jié)與性能評估數(shù)據(jù)都有了），接下去就可以開藥方，進(jìn)行具體的治療了。在這一步中，筆者認(rèn)為可以采取如下措施。

一是增加服務(wù)器或者客戶端的資源。如可以升級服務(wù)器的CPU或者內(nèi)存，來提高計(jì)算機(jī)的數(shù)據(jù)處理能力?；蛘哒f，將原來的存儲系統(tǒng)進(jìn)行升級，由單塊硬盤升級為磁盤陣列。當(dāng)然，具體的措施還是需要根據(jù)第二步的評估結(jié)果來。如由于是磁盤的I/O問題所導(dǎo)致的性能下降，就可能需要通過磁盤陣列來解決。

二是對內(nèi)存資源進(jìn)行規(guī)劃。如Forefront服務(wù)器可能跟其他應(yīng)用服務(wù)部署在同一臺主機(jī)上。此時(shí)不同的服務(wù)可能會爭奪資源。如當(dāng)客戶端進(jìn)行升級更新的時(shí)候，WSUS服務(wù)就會占用比較多的內(nèi)存。從而就會影響到同一臺主機(jī)上的其他服務(wù)的正常運(yùn)行。由于客戶端更新作業(yè)并不是經(jīng)常發(fā)生。為此增加內(nèi)存雖然可以解決問題，但是投資比較大。在這種情況下，比較合理的做法是對內(nèi)存資源進(jìn)行限制。如設(shè)置最多運(yùn)行Forefront服務(wù)可以使用的內(nèi)存，即設(shè)置各種服務(wù)內(nèi)存資源使用的上限，以最大程度上保障不同服務(wù)的獨(dú)立性，防止因?yàn)槟撤N服務(wù)占用了比較多的資源而給其他服務(wù)造成不利的影響。

三是調(diào)整網(wǎng)絡(luò)系統(tǒng)的相關(guān)設(shè)置。有時(shí)候企業(yè)網(wǎng)絡(luò)的性能可能根源不在于Forefront系統(tǒng)。或者說，F(xiàn)orefront系統(tǒng)其只是一個(gè)導(dǎo)火線，將原來就存在的網(wǎng)絡(luò)性能問題暴露出來了。在這種情下，管理人員就需要深入進(jìn)行分析。比如有一次筆者給客戶部署Forefront系統(tǒng)的時(shí)候，就遇到過這種問題。他們上了Forefront之后，視頻會議系統(tǒng)就特別的卡。在這之前，視頻會議雖然不怎么流暢，但是還可以接受。還好筆者還有思科網(wǎng)絡(luò)方面的基礎(chǔ)。經(jīng)過分析之后，發(fā)現(xiàn)主要是企業(yè)網(wǎng)絡(luò)流量的問題。當(dāng)用戶通過電爐、BT等工具下載軟件或者電影的時(shí)候，視頻就明顯會有一卡一卡的現(xiàn)象。為此筆者就對網(wǎng)絡(luò)參數(shù)進(jìn)行了調(diào)整，對流量采取了優(yōu)先級管理。多媒體信息具有優(yōu)先通過的權(quán)利。通過這個(gè)調(diào)整之后，問題就解決了。這個(gè)案例給魏的提示是，性能優(yōu)化是一個(gè)比較綜合的問題。當(dāng)Forefront在這里扮演的是“導(dǎo)火線”角色時(shí)，問題就會變得復(fù)雜，因?yàn)樵虮容^難找。在這種情況下，往往需要對網(wǎng)絡(luò)系統(tǒng)進(jìn)行相關(guān)的調(diào)整。

第四步：性能優(yōu)化追蹤

以上內(nèi)容完成之后，接下去要做的工作，就是對最后的成果進(jìn)行評估。也就是說，優(yōu)化完成一段時(shí)間后，如一個(gè)星期或者一個(gè)月以后，再對企業(yè)網(wǎng)絡(luò)性能的數(shù)據(jù)進(jìn)行收集。然后將這個(gè)數(shù)據(jù)與網(wǎng)絡(luò)性能基線、上次收集到的數(shù)據(jù)進(jìn)行對比。就如此治療一段時(shí)間后再抽血檢查，以判斷治療是否起到了預(yù)期的效果。

最后筆者給一個(gè)小小的建議。如果看了這篇文章對性能優(yōu)化還是云里霧里的話，那么筆者建議就去找一張化驗(yàn)單?？纯椿?yàn)單中的內(nèi)容，在性能優(yōu)化方面會給我們不少的啟示。

【編輯推薦】

1. 專題：微軟Forefront企業(yè)安全解決方案
2. Forefront安全解決方案如何滿足銀行信息安全需求