在Forefront的部署過(guò)程中有許多種拓?fù)浣Y(jié)構(gòu)，根據(jù)企業(yè)應(yīng)用環(huán)境的不同應(yīng)當(dāng)采取不同的配置方式。Forefront管理員需要了解這幾種拓批結(jié)構(gòu)的差異與特點(diǎn)，并在合適的情況下選擇合適的拓?fù)浣Y(jié)構(gòu)。在這篇文章中將為大家介紹Forefront單一網(wǎng)絡(luò)適配器的部署。

如上圖所示，是單一網(wǎng)絡(luò)適配器環(huán)境的典型示意圖。從這個(gè)示意圖我們可以看到，企業(yè)邊緣的設(shè)備主要有兩個(gè)：安全網(wǎng)關(guān)與防火墻。也就是說(shuō)，F(xiàn)orefront中的防火墻功能這里是被禁用掉的，而使用其它防火墻產(chǎn)品來(lái)代替。也許有讀者會(huì)問(wèn)，那不是浪費(fèi)錢嗎？確實(shí)，采取這種方式真的會(huì)浪費(fèi)企業(yè)的資源。但是在實(shí)際工作中，在如下幾種情形下仍然可能會(huì)使用這種方式的部署。

一是中間過(guò)渡的階段。如企業(yè)剛開始組建網(wǎng)絡(luò)的時(shí)候，并沒(méi)有采用ForefrontTMG系統(tǒng)。而只使采用了其他品牌的，如華為的防火墻。后來(lái)出于安全提升或者其他方面的原因，企業(yè)IT管理人員決定采用Forefront系統(tǒng)來(lái)武裝自己的網(wǎng)絡(luò)。但是出于穩(wěn)定過(guò)渡的考慮，企業(yè)可能并不會(huì)一下子就廢掉原先的防火墻系統(tǒng)。而是先使用Forefront的安全網(wǎng)關(guān)的功能。等到使用穩(wěn)定后，再啟用Forefront的安全防火墻，并禁用掉最后的防火墻。這種過(guò)渡方式相對(duì)來(lái)說(shuō)，比較平穩(wěn)。對(duì)用戶的不利影響也是最低的。所以單一網(wǎng)絡(luò)適配器的拓?fù)浣Y(jié)構(gòu)，在轉(zhuǎn)型升級(jí)的過(guò)程中用的機(jī)會(huì)比較多。

二是出于性能的考慮。在上面這種“單一網(wǎng)絡(luò)適配器”的應(yīng)用環(huán)境中，安全網(wǎng)關(guān)與防火墻兩種服務(wù)是部署在兩臺(tái)不同的服務(wù)器上。其實(shí)這也是一種變向的服務(wù)器負(fù)載均衡。兩臺(tái)不同的服務(wù)器分別來(lái)完成不同的工作。者就可以提高他們的工作效率。某些企業(yè)，如金融機(jī)構(gòu)，對(duì)于數(shù)據(jù)傳輸?shù)男阅芤蟊容^高，同時(shí)又是“大款”，資金比較充裕。在這種情況下，他們也會(huì)考慮采用這種部署方式。

二、Forefront單一網(wǎng)絡(luò)適配器方案的使用限制

雖然說(shuō)單一網(wǎng)絡(luò)適配器方案在企業(yè)中應(yīng)用也不在少數(shù)。但是企業(yè)IT管理人員在選擇用這個(gè)方案的時(shí)候，需要注意其在功能上會(huì)受到某些限制。也就是說(shuō)，與其他解決方案相比，單一網(wǎng)絡(luò)適配器方案只能夠?qū)崿F(xiàn)部分的功能。對(duì)于這一點(diǎn)各位讀者也必須有所了解。因?yàn)檫@也是判斷是否要采用單一網(wǎng)絡(luò)適配器解決方案的標(biāo)準(zhǔn)之一。

限制一：不支持點(diǎn)對(duì)點(diǎn)的VPN連接方式。

如果企業(yè)中有VPN應(yīng)用的話，那么使用這個(gè)單一網(wǎng)絡(luò)適配器解決方案需要特別的注意。因?yàn)榈?010版本為止，在單一網(wǎng)路適配器環(huán)境下，其還不能夠支持點(diǎn)對(duì)點(diǎn)的VPN連接方式。如管理員現(xiàn)在在出差，其希望通過(guò)點(diǎn)對(duì)點(diǎn)的VPN連接到企業(yè)的邊緣路由器，然后再連接到Forefront服務(wù)器進(jìn)行維護(hù)與管理。這種方案是行不通的。因?yàn)閱我痪W(wǎng)路適配器不支持點(diǎn)對(duì)點(diǎn)的VPN連接。這主要是一種對(duì)管理方式的限制。對(duì)于普通用戶來(lái)說(shuō)，影響并不是很大。

限制二：對(duì)IP地址的限制。

Forefront服務(wù)器其實(shí)本質(zhì)上就是一臺(tái)主機(jī)，可能只是沒(méi)有顯示器而已。當(dāng)這臺(tái)服務(wù)器要與網(wǎng)絡(luò)中的其他主機(jī)進(jìn)行通信時(shí)，必須要有IP地址。這個(gè)IP地址就好像是人的身份證號(hào)碼，與主機(jī)進(jìn)行唯一的對(duì)應(yīng)。在單一網(wǎng)路適配器解決方案中，對(duì)于IP地址的使用有所限制。通常情況下，必須為訪問(wèn)規(guī)則配置僅適用企業(yè)內(nèi)部IP地址的源地址。有些企業(yè)可能合法的互聯(lián)網(wǎng)地址比較多，還有結(jié)果剩著沒(méi)用，就想給Forefront服務(wù)器也搞一個(gè)，以利于遠(yuǎn)程管理。因?yàn)橛辛撕戏ǖ幕ヂ?lián)網(wǎng)IP地址，在進(jìn)行遠(yuǎn)程管理的時(shí)候(通過(guò)互聯(lián)網(wǎng)進(jìn)行)，就不用使用VPN或者NAT技術(shù)。不過(guò)可惜的是，在單一網(wǎng)路適配器解決方案中，這也是行不通的。因?yàn)楦鶕?jù)要求，在這種解決方案下，必須為訪問(wèn)規(guī)則配置內(nèi)部IP地址的源地址。即不能夠使用公網(wǎng)地址。

除了這兩個(gè)限制外，另外還需要注意兩點(diǎn)。一是單一網(wǎng)絡(luò)適配器解決方案下，可以啟用部分的防火墻功能。但是需要注意此時(shí)防火墻策略不能夠引用外部網(wǎng)絡(luò)。二是單一網(wǎng)絡(luò)適配器的拓?fù)浣Y(jié)構(gòu)并不支持SecureNAT或者與TMG客戶端進(jìn)行通訊。

如果企業(yè)需要上面這幾個(gè)應(yīng)用的話，那么需要注意，單一網(wǎng)絡(luò)適配器解決方案可能并不適合你。企業(yè)IT技術(shù)人員可能需要考慮采用后端防火墻或者邊緣放火墻的策略。

三、Forefront單一網(wǎng)絡(luò)適配器方案的主要功能

談了上面的限制之后，筆者再結(jié)合企業(yè)的實(shí)際情況，來(lái)談?wù)剢我痪W(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)主要可以實(shí)現(xiàn)的功能。筆者在這里先提醒一下，在閱讀這部分文字時(shí)，最好跟上面提到的“適用場(chǎng)合”與“適用限制”一起來(lái)看。如此的話，對(duì)于下面這部分內(nèi)容會(huì)有更進(jìn)一步的認(rèn)識(shí)。也就是說(shuō)，當(dāng)企業(yè)如果需要用到這些功能，而又沒(méi)有觸犯以上限制的話，這個(gè)單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)是可用的。否則的話，就需要謹(jǐn)慎使用。

功能一：在使用Web緩存功能時(shí)可以考慮使用。

企業(yè)可能會(huì)在網(wǎng)站上部署FTP等應(yīng)用。為了提高其效率，會(huì)采用Web緩存機(jī)制。也就是說(shuō)，將用戶經(jīng)常需要訪問(wèn)的數(shù)據(jù)放置在服務(wù)期的緩存上。此時(shí)由于訪問(wèn)內(nèi)存的速度要比訪問(wèn)硬盤的速度快的多，那么用戶的訪問(wèn)效率也就會(huì)提升不少。在企業(yè)的實(shí)際工作中，這種經(jīng)常用到的一種性能優(yōu)化的方式。單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)可以致詞后針對(duì)HTTP或者CERN代理的FTP服務(wù)器的Web緩存。有些讀者或許不怎么理解CERN代理的工作方式。其實(shí)CERN代理與其它代理服務(wù)器相比，主要是一個(gè)權(quán)限上的區(qū)別。簡(jiǎn)單的說(shuō)，通過(guò)CERN代理服務(wù)器將只能夠查看或者下載文件。即只能夠?qū)TP服務(wù)器進(jìn)行查詢和下載操作，而不能夠進(jìn)行任何的修改。如上傳或者刪除文件，或者創(chuàng)建文件與文件夾等等。而通過(guò)其它代理服務(wù)器則不受這一限制。總之，單一網(wǎng)路適配器拓?fù)浣Y(jié)構(gòu)可以支持針對(duì)HTTP和CERN代理的FTP服務(wù)器的緩存機(jī)制。

功能二：支持有限的Web服務(wù)器發(fā)布方案。

Web服務(wù)器的發(fā)布方式有很多種。不過(guò)單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)其只支持兩種，分別是Web直接發(fā)布方案和基于HTTP通信的方案。如果企業(yè)采用的是這兩種Web方案的其中一種，那么就可以放心使用。相反，如果采用其他Web發(fā)布方案的話，則就需要采用其他的拓?fù)浣Y(jié)構(gòu)，或者說(shuō)調(diào)整Web的發(fā)布方案。

功能三：支持撥號(hào)客戶端虛擬專用網(wǎng)絡(luò)的訪問(wèn)。

在上面的限制條件中，筆者強(qiáng)調(diào)過(guò)，單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)并不支持點(diǎn)對(duì)點(diǎn)的VPN訪問(wèn)。但并不是說(shuō)其不支持所有的VPN連接。其實(shí)在這種拓?fù)浣Y(jié)構(gòu)中，如果采用的是傳統(tǒng)的撥號(hào)客戶端虛擬專用網(wǎng)絡(luò)的連接，其還是能夠支持的。不過(guò)眾所周知，這種撥號(hào)訪問(wèn)的方式，其性能沒(méi)有其他方式那么好，而且在安全性上也沒(méi)有很高的保證。故如果管理員要使用這種撥號(hào)客戶端虛擬專用網(wǎng)絡(luò)的訪問(wèn)，還需要慎重。

總之，使用Forefront單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)時(shí)，大部分是為了滿足平穩(wěn)轉(zhuǎn)型的需要。其使用在功能上會(huì)受到比較多的限制。這也就限制了這種解決方案的適用范圍。

【編輯推薦】

1. Forefront性能優(yōu)化四步走
2. 讓ForeFront TMG來(lái)做企業(yè)網(wǎng)絡(luò)的守門人
3. Forefront Security應(yīng)用程序使用技巧
4. 淺談Forefront Security的管理策略和事件
5. ForeFront讓郵箱服務(wù)器遠(yuǎn)離侵襲三建議