Forefront差異分析:工作組與域環(huán)境
Forefront配置部署在不同的環(huán)境中達(dá)到的效果也時(shí)有所不同的,為了大家能夠更好的使用Forefront,本篇文章就工作組與域環(huán)境中的Forefront差異分析給大家總結(jié)一下這款企業(yè)級(jí)的安全產(chǎn)品性能。
Forefront差異一:Forefront可以在工作組或者域環(huán)境中部屬
首先需要說明的一點(diǎn)是,F(xiàn)orefront可以部屬在工作組環(huán)境中或者在域環(huán)境中。而且如果將其與Windows的域結(jié)合使用,往往能夠起到1+1大于2的效果。這也就是說,兩個(gè)環(huán)節(jié)相比起來,在工作組環(huán)境下配置與管理Forefront要稍微復(fù)雜一點(diǎn)。而且在工作組中由于技術(shù)的原,某些功能也會(huì)受到一定的限制。兩者具體的差異筆者會(huì)在后續(xù)的內(nèi)容中詳細(xì)說到。在這里只是先給大家打一個(gè)預(yù)防針。所以一般情況下,筆者還是建議在域環(huán)境中部屬Forefront。或者說,在部屬之前需要先了解這兩者的差異,然后再根據(jù)企業(yè)的實(shí)際情況,做出合理的選擇。
Forefront差異二:網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)時(shí)需要注意的內(nèi)容
其實(shí)在工作組環(huán)境下與域環(huán)境下的差異不僅僅體現(xiàn)在操作維護(hù)層面,在網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)層面就已經(jīng)需要注意這個(gè)內(nèi)容了。這也就是說,管理員如果需要使用Forefront產(chǎn)品來保護(hù)企業(yè)內(nèi)部安全的話,那么在規(guī)劃的過程中,就需要確認(rèn)在兩種環(huán)境下其運(yùn)行的差異。并根據(jù)這個(gè)差異的內(nèi)容,來合理設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
根據(jù)經(jīng)驗(yàn),筆者認(rèn)為在網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)時(shí)需要注意以下這些差異。
如果將Forefront防止在企業(yè)網(wǎng)絡(luò)的邊緣,可以起到屏蔽互聯(lián)網(wǎng)中不良信息的作用。在這種情況下,其部屬的方式往往有三種,分別為保護(hù)邊緣配置、后端到后端配置與三向配置。保護(hù)邊緣配置又叫做二向配置。簡(jiǎn)單的說,就是采用兩個(gè)網(wǎng)絡(luò)適配器,一個(gè)適配器連接到外部網(wǎng)絡(luò),另外一個(gè)適配器連接到外部網(wǎng)絡(luò)。此時(shí)所有的通信流量都會(huì)經(jīng)過Forefront服務(wù)器,從而對(duì)數(shù)據(jù)流進(jìn)行過濾、掃描等保護(hù)行動(dòng)。后端到后端配置與第一種方式即有相同的地方、也有不同的地方。這種配置方式是使用Forefront安全網(wǎng)關(guān)作為前端防火墻來保護(hù)企業(yè)邊緣的安全,然后也是將一個(gè)適配器連接到外部網(wǎng)絡(luò),將一個(gè)適配器連接到外網(wǎng)網(wǎng)絡(luò)。注意兩個(gè)適配器從本質(zhì)上說都是面向外部的。而在外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間,則配置后端防火墻。三向配置指的是采用三塊網(wǎng)絡(luò)適配器,分別連接到內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)。這三種實(shí)現(xiàn)方式各有特點(diǎn)。不過由于篇幅的關(guān)系,筆者不再這里過多展開。筆者這里需要強(qiáng)調(diào)的是,在工作組環(huán)境下或者在域環(huán)境下,實(shí)現(xiàn)這些部署方式時(shí)的差異,并指出在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)時(shí)需要注意的內(nèi)容。
總的來說,如果將Forefront部署在網(wǎng)絡(luò)的邊緣(即當(dāng)作安全網(wǎng)關(guān)來使用),在大的方面沒有多少差異,即無論在工作組環(huán)境下還是在域環(huán)境下,F(xiàn)orefront都支持在邊緣進(jìn)行配置。不過在一些細(xì)節(jié)上還是存在著不小的差異。如在域工作環(huán)境下,建議在單獨(dú)的林中(這個(gè)林具有與公司林的單向信任關(guān)系)部署這個(gè)產(chǎn)品,而不是在公司網(wǎng)絡(luò)的內(nèi)部林中。這可以提高企業(yè)內(nèi)部林的安全性。而如果在工作組的環(huán)境中部署的話,則沒有這種限制。
另外需要注意的是,有可能會(huì)兩種工作模式同時(shí)使用。在上面談到的后端到后端配置模式。一種比較典型的配置方案是同時(shí)部署兩臺(tái)Forefront服務(wù)器。一種一臺(tái)安裝在邊緣,另外一臺(tái)安裝在后端。此時(shí)可以使用工作組模式來部署前端Forefront服務(wù)器,而以域工作模式來安裝后端服務(wù)器。這主要是出于身份驗(yàn)證的角度來考慮的。具體的內(nèi)容請(qǐng)參考后面身份驗(yàn)證的差異分析。
Forefront差異三:在功能上兩種環(huán)境下也存在差異
在部署時(shí),在設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋾r(shí)需要注意其不同工作環(huán)境下的差異。在具體部署與管理中,也需要注意,特別是在工作組環(huán)境下某些功能上存在著一些限制。
具體的來說,在工作組模式下對(duì)以下這些功能存在限制。一是在工作組環(huán)境下,F(xiàn)orefront不支持EMS復(fù)制。二是在工作組環(huán)境下,其不支持自動(dòng)檢測(cè)Web代理。三是在部署時(shí),在工作組環(huán)境下需要多一些操作的步驟。四是在用戶映射上存在限制。在Forefront中可以為VPN客戶端配置用戶映射。但是需要注意的是,將非微軟操作系統(tǒng)用戶映射到用戶賬戶時(shí),存在限制。即只有在域工作環(huán)境下配置Forefront安全網(wǎng)關(guān)時(shí)系統(tǒng)才支持用戶映射。如果管理員需要使用EMS復(fù)制功能的話,那么就必須要在域環(huán)境下部署Forefront產(chǎn)品。
除了以上這些功能限制之外,在域環(huán)境下實(shí)現(xiàn)Forefront安全網(wǎng)關(guān)還能夠帶來其他的一些額外效益。如在域環(huán)境中,可以使用組策略來鎖定與管理安全網(wǎng)關(guān)服務(wù)器。而在工作組環(huán)境下,則不可以。在工作組模式下,其只能夠通過配置本地策略來鎖定它。這是需要特別注意的地方。
如果雖然在域工作環(huán)境下,F(xiàn)orefront的功能能夠得到最大的發(fā)揮,但是其也會(huì)有一個(gè)安全隱患。如在域環(huán)境中,只要具有域管理員權(quán)限的用戶可以管理每個(gè)域成員。而Forefront安全網(wǎng)關(guān)服務(wù)器就是其中的一個(gè)域成員。如此的話,就將活動(dòng)目錄的安全與Forefront服務(wù)器的安全捆綁在一起。如果活動(dòng)目錄服務(wù)服務(wù)器遭受到攻擊,則這個(gè)Forefront服務(wù)器也會(huì)受到攻擊。相反,如果Forefront服務(wù)器受到攻擊,那么活動(dòng)目錄服務(wù)器也就難以幸免??梢?,對(duì)于活動(dòng)目錄服務(wù)器來說,其又多了一道安全隱患。為此在域環(huán)境下實(shí)現(xiàn)Forefront服務(wù)器,往往需要額外的安全機(jī)制來保障這兩臺(tái)服務(wù)器的安全。
Forefront差異四:身份驗(yàn)證上的差異
在上面網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)中筆者在談到“后端到后端”配置模式中,談到可以設(shè)置兩臺(tái)Forefront服務(wù)器來滿足后端到后端的配置要求。邊緣服務(wù)器可以以工作組模式下進(jìn)行模式,而后段服務(wù)器則可以通過域成員身份進(jìn)行配置。那為什么要進(jìn)行這個(gè)配置呢?主要的原因還在于身份驗(yàn)證上的差異。
如現(xiàn)在出于安全的考慮,F(xiàn)orefront安全網(wǎng)關(guān)服務(wù)器要求對(duì)內(nèi)部客戶端針對(duì)出戰(zhàn)的訪問(即訪問外網(wǎng))進(jìn)行身份驗(yàn)證。注意,在不同的工作環(huán)境下,其采用的身份驗(yàn)證機(jī)制是不同的。如在域環(huán)境下,服務(wù)器采用的是ADDS身份驗(yàn)證方法。而對(duì)于工作組環(huán)境下說,其通過Web代理請(qǐng)求來進(jìn)行RADIUS服務(wù)器身份驗(yàn)證。這是由于這個(gè)原因,所以才建議在連接內(nèi)網(wǎng)的后端服務(wù)器上采用域成員身份進(jìn)行部署。
如果Forefront服務(wù)器與微軟防火墻結(jié)合使用,也需要注意兩者的區(qū)別。通常情況下,如果跟防火墻結(jié)合使用,筆者建議采用域環(huán)境模式。因?yàn)榉阑饓蛻舳藭?huì)請(qǐng)求自動(dòng)包括用戶憑據(jù)。此時(shí)要驗(yàn)證這個(gè)用戶請(qǐng)求,則必須將Forefront安全網(wǎng)關(guān)服務(wù)器包含在一個(gè)域中。而如果在工作組環(huán)境下實(shí)現(xiàn)的話,則相對(duì)來說要麻煩一點(diǎn)。因?yàn)椴荒軌蛑苯訉?shí)現(xiàn),而需要通過鏡像來完成。即需要通過使用鏡像到Forefront安全網(wǎng)關(guān)服務(wù)器上的本地安全帳戶管理器中存儲(chǔ)的帳戶的用戶帳戶來驗(yàn)證請(qǐng)求。雖然最終也可以實(shí)現(xiàn)目標(biāo),但是這需要一定的資源開銷。從而在網(wǎng)絡(luò)比較繁忙的時(shí)候,可能會(huì)加重網(wǎng)絡(luò)的負(fù)擔(dān)。
【編輯推薦】
- Forefront性能優(yōu)化四步走
- 讓ForeFront TMG來做企業(yè)網(wǎng)絡(luò)的守門人
- Forefront Security應(yīng)用程序使用技巧
- 淺談Forefront Security的管理策略和事件
- ForeFront讓郵箱服務(wù)器遠(yuǎn)離侵襲三建議