Forefront配置部署在不同的環(huán)境中達到的效果也時有所不同的，為了大家能夠更好的使用Forefront，本篇文章就工作組與域環(huán)境中的Forefront差異分析給大家總結(jié)一下這款企業(yè)級的安全產(chǎn)品性能。

Forefront差異一：Forefront可以在工作組或者域環(huán)境中部屬

首先需要說明的一點是，F(xiàn)orefront可以部屬在工作組環(huán)境中或者在域環(huán)境中。而且如果將其與Windows的域結(jié)合使用，往往能夠起到1+1大于2的效果。這也就是說，兩個環(huán)節(jié)相比起來，在工作組環(huán)境下配置與管理Forefront要稍微復雜一點。而且在工作組中由于技術(shù)的原，某些功能也會受到一定的限制。兩者具體的差異筆者會在后續(xù)的內(nèi)容中詳細說到。在這里只是先給大家打一個預防針。所以一般情況下，筆者還是建議在域環(huán)境中部屬Forefront?；蛘哒f，在部屬之前需要先了解這兩者的差異，然后再根據(jù)企業(yè)的實際情況，做出合理的選擇。

Forefront差異二：網(wǎng)絡拓撲設計時需要注意的內(nèi)容

其實在工作組環(huán)境下與域環(huán)境下的差異不僅僅體現(xiàn)在操作維護層面，在網(wǎng)絡拓撲的設計層面就已經(jīng)需要注意這個內(nèi)容了。這也就是說，管理員如果需要使用Forefront產(chǎn)品來保護企業(yè)內(nèi)部安全的話，那么在規(guī)劃的過程中，就需要確認在兩種環(huán)境下其運行的差異。并根據(jù)這個差異的內(nèi)容，來合理設計網(wǎng)絡拓撲結(jié)構(gòu)。

根據(jù)經(jīng)驗，筆者認為在網(wǎng)絡拓撲設計時需要注意以下這些差異。

如果將Forefront防止在企業(yè)網(wǎng)絡的邊緣，可以起到屏蔽互聯(lián)網(wǎng)中不良信息的作用。在這種情況下，其部屬的方式往往有三種，分別為保護邊緣配置、后端到后端配置與三向配置。保護邊緣配置又叫做二向配置。簡單的說，就是采用兩個網(wǎng)絡適配器，一個適配器連接到外部網(wǎng)絡，另外一個適配器連接到外部網(wǎng)絡。此時所有的通信流量都會經(jīng)過Forefront服務器，從而對數(shù)據(jù)流進行過濾、掃描等保護行動。后端到后端配置與第一種方式即有相同的地方、也有不同的地方。這種配置方式是使用Forefront安全網(wǎng)關作為前端防火墻來保護企業(yè)邊緣的安全，然后也是將一個適配器連接到外部網(wǎng)絡，將一個適配器連接到外網(wǎng)網(wǎng)絡。注意兩個適配器從本質(zhì)上說都是面向外部的。而在外圍網(wǎng)絡和內(nèi)部網(wǎng)絡之間，則配置后端防火墻。三向配置指的是采用三塊網(wǎng)絡適配器，分別連接到內(nèi)部網(wǎng)絡、外部網(wǎng)絡和外圍網(wǎng)絡。這三種實現(xiàn)方式各有特點。不過由于篇幅的關系，筆者不再這里過多展開。筆者這里需要強調(diào)的是，在工作組環(huán)境下或者在域環(huán)境下，實現(xiàn)這些部署方式時的差異，并指出在網(wǎng)絡拓撲結(jié)構(gòu)設計時需要注意的內(nèi)容。

總的來說，如果將Forefront部署在網(wǎng)絡的邊緣(即當作安全網(wǎng)關來使用)，在大的方面沒有多少差異，即無論在工作組環(huán)境下還是在域環(huán)境下，F(xiàn)orefront都支持在邊緣進行配置。不過在一些細節(jié)上還是存在著不小的差異。如在域工作環(huán)境下，建議在單獨的林中(這個林具有與公司林的單向信任關系)部署這個產(chǎn)品，而不是在公司網(wǎng)絡的內(nèi)部林中。這可以提高企業(yè)內(nèi)部林的安全性。而如果在工作組的環(huán)境中部署的話，則沒有這種限制。

另外需要注意的是，有可能會兩種工作模式同時使用。在上面談到的后端到后端配置模式。一種比較典型的配置方案是同時部署兩臺Forefront服務器。一種一臺安裝在邊緣，另外一臺安裝在后端。此時可以使用工作組模式來部署前端Forefront服務器，而以域工作模式來安裝后端服務器。這主要是出于身份驗證的角度來考慮的。具體的內(nèi)容請參考后面身份驗證的差異分析。

Forefront差異三：在功能上兩種環(huán)境下也存在差異

在部署時，在設計網(wǎng)絡拓撲時需要注意其不同工作環(huán)境下的差異。在具體部署與管理中，也需要注意，特別是在工作組環(huán)境下某些功能上存在著一些限制。

具體的來說，在工作組模式下對以下這些功能存在限制。一是在工作組環(huán)境下，F(xiàn)orefront不支持EMS復制。二是在工作組環(huán)境下，其不支持自動檢測Web代理。三是在部署時，在工作組環(huán)境下需要多一些操作的步驟。四是在用戶映射上存在限制。在Forefront中可以為VPN客戶端配置用戶映射。但是需要注意的是，將非微軟操作系統(tǒng)用戶映射到用戶賬戶時，存在限制。即只有在域工作環(huán)境下配置Forefront安全網(wǎng)關時系統(tǒng)才支持用戶映射。如果管理員需要使用EMS復制功能的話，那么就必須要在域環(huán)境下部署Forefront產(chǎn)品。

除了以上這些功能限制之外，在域環(huán)境下實現(xiàn)Forefront安全網(wǎng)關還能夠帶來其他的一些額外效益。如在域環(huán)境中，可以使用組策略來鎖定與管理安全網(wǎng)關服務器。而在工作組環(huán)境下，則不可以。在工作組模式下，其只能夠通過配置本地策略來鎖定它。這是需要特別注意的地方。

如果雖然在域工作環(huán)境下，F(xiàn)orefront的功能能夠得到最大的發(fā)揮，但是其也會有一個安全隱患。如在域環(huán)境中，只要具有域管理員權(quán)限的用戶可以管理每個域成員。而Forefront安全網(wǎng)關服務器就是其中的一個域成員。如此的話，就將活動目錄的安全與Forefront服務器的安全捆綁在一起。如果活動目錄服務服務器遭受到攻擊，則這個Forefront服務器也會受到攻擊。相反，如果Forefront服務器受到攻擊，那么活動目錄服務器也就難以幸免?？梢?，對于活動目錄服務器來說，其又多了一道安全隱患。為此在域環(huán)境下實現(xiàn)Forefront服務器，往往需要額外的安全機制來保障這兩臺服務器的安全。

Forefront差異四：身份驗證上的差異

在上面網(wǎng)絡拓撲結(jié)構(gòu)設計中筆者在談到“后端到后端”配置模式中，談到可以設置兩臺Forefront服務器來滿足后端到后端的配置要求。邊緣服務器可以以工作組模式下進行模式，而后段服務器則可以通過域成員身份進行配置。那為什么要進行這個配置呢?主要的原因還在于身份驗證上的差異。

如現(xiàn)在出于安全的考慮，F(xiàn)orefront安全網(wǎng)關服務器要求對內(nèi)部客戶端針對出戰(zhàn)的訪問(即訪問外網(wǎng))進行身份驗證。注意，在不同的工作環(huán)境下，其采用的身份驗證機制是不同的。如在域環(huán)境下，服務器采用的是ADDS身份驗證方法。而對于工作組環(huán)境下說，其通過Web代理請求來進行RADIUS服務器身份驗證。這是由于這個原因，所以才建議在連接內(nèi)網(wǎng)的后端服務器上采用域成員身份進行部署。

如果Forefront服務器與微軟防火墻結(jié)合使用，也需要注意兩者的區(qū)別。通常情況下，如果跟防火墻結(jié)合使用，筆者建議采用域環(huán)境模式。因為防火墻客戶端會請求自動包括用戶憑據(jù)。此時要驗證這個用戶請求，則必須將Forefront安全網(wǎng)關服務器包含在一個域中。而如果在工作組環(huán)境下實現(xiàn)的話，則相對來說要麻煩一點。因為不能夠直接實現(xiàn)，而需要通過鏡像來完成。即需要通過使用鏡像到Forefront安全網(wǎng)關服務器上的本地安全帳戶管理器中存儲的帳戶的用戶帳戶來驗證請求。雖然最終也可以實現(xiàn)目標，但是這需要一定的資源開銷。從而在網(wǎng)絡比較繁忙的時候，可能會加重網(wǎng)絡的負擔。

【編輯推薦】

1. Forefront性能優(yōu)化四步走
2. 讓ForeFront TMG來做企業(yè)網(wǎng)絡的守門人
3. Forefront Security應用程序使用技巧
4. 淺談Forefront Security的管理策略和事件
5. ForeFront讓郵箱服務器遠離侵襲三建議