Forefront配置部署在不同的環(huán)境中達(dá)到的效果也時(shí)有所不同的，為了大家能夠更好的使用Forefront，本篇文章就工作組與域環(huán)境中的Forefront差異分析給大家總結(jié)一下這款企業(yè)級(jí)的安全產(chǎn)品性能。

Forefront差異一：Forefront可以在工作組或者域環(huán)境中部屬

首先需要說明的一點(diǎn)是，F(xiàn)orefront可以部屬在工作組環(huán)境中或者在域環(huán)境中。而且如果將其與Windows的域結(jié)合使用，往往能夠起到1+1大于2的效果。這也就是說，兩個(gè)環(huán)節(jié)相比起來，在工作組環(huán)境下配置與管理Forefront要稍微復(fù)雜一點(diǎn)。而且在工作組中由于技術(shù)的原，某些功能也會(huì)受到一定的限制。兩者具體的差異筆者會(huì)在后續(xù)的內(nèi)容中詳細(xì)說到。在這里只是先給大家打一個(gè)預(yù)防針。所以一般情況下，筆者還是建議在域環(huán)境中部屬Forefront。或者說，在部屬之前需要先了解這兩者的差異，然后再根據(jù)企業(yè)的實(shí)際情況，做出合理的選擇。

Forefront差異二：網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)時(shí)需要注意的內(nèi)容

其實(shí)在工作組環(huán)境下與域環(huán)境下的差異不僅僅體現(xiàn)在操作維護(hù)層面，在網(wǎng)絡(luò)拓?fù)涞脑O(shè)計(jì)層面就已經(jīng)需要注意這個(gè)內(nèi)容了。這也就是說，管理員如果需要使用Forefront產(chǎn)品來保護(hù)企業(yè)內(nèi)部安全的話，那么在規(guī)劃的過程中，就需要確認(rèn)在兩種環(huán)境下其運(yùn)行的差異。并根據(jù)這個(gè)差異的內(nèi)容，來合理設(shè)計(jì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。

根據(jù)經(jīng)驗(yàn)，筆者認(rèn)為在網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)時(shí)需要注意以下這些差異。

如果將Forefront防止在企業(yè)網(wǎng)絡(luò)的邊緣，可以起到屏蔽互聯(lián)網(wǎng)中不良信息的作用。在這種情況下，其部屬的方式往往有三種，分別為保護(hù)邊緣配置、后端到后端配置與三向配置。保護(hù)邊緣配置又叫做二向配置。簡(jiǎn)單的說，就是采用兩個(gè)網(wǎng)絡(luò)適配器，一個(gè)適配器連接到外部網(wǎng)絡(luò)，另外一個(gè)適配器連接到外部網(wǎng)絡(luò)。此時(shí)所有的通信流量都會(huì)經(jīng)過Forefront服務(wù)器，從而對(duì)數(shù)據(jù)流進(jìn)行過濾、掃描等保護(hù)行動(dòng)。后端到后端配置與第一種方式即有相同的地方、也有不同的地方。這種配置方式是使用Forefront安全網(wǎng)關(guān)作為前端防火墻來保護(hù)企業(yè)邊緣的安全，然后也是將一個(gè)適配器連接到外部網(wǎng)絡(luò)，將一個(gè)適配器連接到外網(wǎng)網(wǎng)絡(luò)。注意兩個(gè)適配器從本質(zhì)上說都是面向外部的。而在外圍網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，則配置后端防火墻。三向配置指的是采用三塊網(wǎng)絡(luò)適配器，分別連接到內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和外圍網(wǎng)絡(luò)。這三種實(shí)現(xiàn)方式各有特點(diǎn)。不過由于篇幅的關(guān)系，筆者不再這里過多展開。筆者這里需要強(qiáng)調(diào)的是，在工作組環(huán)境下或者在域環(huán)境下，實(shí)現(xiàn)這些部署方式時(shí)的差異，并指出在網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)時(shí)需要注意的內(nèi)容。

總的來說，如果將Forefront部署在網(wǎng)絡(luò)的邊緣(即當(dāng)作安全網(wǎng)關(guān)來使用)，在大的方面沒有多少差異，即無論在工作組環(huán)境下還是在域環(huán)境下，F(xiàn)orefront都支持在邊緣進(jìn)行配置。不過在一些細(xì)節(jié)上還是存在著不小的差異。如在域工作環(huán)境下，建議在單獨(dú)的林中(這個(gè)林具有與公司林的單向信任關(guān)系)部署這個(gè)產(chǎn)品，而不是在公司網(wǎng)絡(luò)的內(nèi)部林中。這可以提高企業(yè)內(nèi)部林的安全性。而如果在工作組的環(huán)境中部署的話，則沒有這種限制。

另外需要注意的是，有可能會(huì)兩種工作模式同時(shí)使用。在上面談到的后端到后端配置模式。一種比較典型的配置方案是同時(shí)部署兩臺(tái)Forefront服務(wù)器。一種一臺(tái)安裝在邊緣，另外一臺(tái)安裝在后端。此時(shí)可以使用工作組模式來部署前端Forefront服務(wù)器，而以域工作模式來安裝后端服務(wù)器。這主要是出于身份驗(yàn)證的角度來考慮的。具體的內(nèi)容請(qǐng)參考后面身份驗(yàn)證的差異分析。

Forefront差異三：在功能上兩種環(huán)境下也存在差異

在部署時(shí)，在設(shè)計(jì)網(wǎng)絡(luò)拓?fù)鋾r(shí)需要注意其不同工作環(huán)境下的差異。在具體部署與管理中，也需要注意，特別是在工作組環(huán)境下某些功能上存在著一些限制。

具體的來說，在工作組模式下對(duì)以下這些功能存在限制。一是在工作組環(huán)境下，F(xiàn)orefront不支持EMS復(fù)制。二是在工作組環(huán)境下，其不支持自動(dòng)檢測(cè)Web代理。三是在部署時(shí)，在工作組環(huán)境下需要多一些操作的步驟。四是在用戶映射上存在限制。在Forefront中可以為VPN客戶端配置用戶映射。但是需要注意的是，將非微軟操作系統(tǒng)用戶映射到用戶賬戶時(shí)，存在限制。即只有在域工作環(huán)境下配置Forefront安全網(wǎng)關(guān)時(shí)系統(tǒng)才支持用戶映射。如果管理員需要使用EMS復(fù)制功能的話，那么就必須要在域環(huán)境下部署Forefront產(chǎn)品。

除了以上這些功能限制之外，在域環(huán)境下實(shí)現(xiàn)Forefront安全網(wǎng)關(guān)還能夠帶來其他的一些額外效益。如在域環(huán)境中，可以使用組策略來鎖定與管理安全網(wǎng)關(guān)服務(wù)器。而在工作組環(huán)境下，則不可以。在工作組模式下，其只能夠通過配置本地策略來鎖定它。這是需要特別注意的地方。

如果雖然在域工作環(huán)境下，F(xiàn)orefront的功能能夠得到最大的發(fā)揮，但是其也會(huì)有一個(gè)安全隱患。如在域環(huán)境中，只要具有域管理員權(quán)限的用戶可以管理每個(gè)域成員。而Forefront安全網(wǎng)關(guān)服務(wù)器就是其中的一個(gè)域成員。如此的話，就將活動(dòng)目錄的安全與Forefront服務(wù)器的安全捆綁在一起。如果活動(dòng)目錄服務(wù)服務(wù)器遭受到攻擊，則這個(gè)Forefront服務(wù)器也會(huì)受到攻擊。相反，如果Forefront服務(wù)器受到攻擊，那么活動(dòng)目錄服務(wù)器也就難以幸免?？梢?，對(duì)于活動(dòng)目錄服務(wù)器來說，其又多了一道安全隱患。為此在域環(huán)境下實(shí)現(xiàn)Forefront服務(wù)器，往往需要額外的安全機(jī)制來保障這兩臺(tái)服務(wù)器的安全。

Forefront差異四：身份驗(yàn)證上的差異

在上面網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)計(jì)中筆者在談到“后端到后端”配置模式中，談到可以設(shè)置兩臺(tái)Forefront服務(wù)器來滿足后端到后端的配置要求。邊緣服務(wù)器可以以工作組模式下進(jìn)行模式，而后段服務(wù)器則可以通過域成員身份進(jìn)行配置。那為什么要進(jìn)行這個(gè)配置呢?主要的原因還在于身份驗(yàn)證上的差異。

如現(xiàn)在出于安全的考慮，F(xiàn)orefront安全網(wǎng)關(guān)服務(wù)器要求對(duì)內(nèi)部客戶端針對(duì)出戰(zhàn)的訪問(即訪問外網(wǎng))進(jìn)行身份驗(yàn)證。注意，在不同的工作環(huán)境下，其采用的身份驗(yàn)證機(jī)制是不同的。如在域環(huán)境下，服務(wù)器采用的是ADDS身份驗(yàn)證方法。而對(duì)于工作組環(huán)境下說，其通過Web代理請(qǐng)求來進(jìn)行RADIUS服務(wù)器身份驗(yàn)證。這是由于這個(gè)原因，所以才建議在連接內(nèi)網(wǎng)的后端服務(wù)器上采用域成員身份進(jìn)行部署。

如果Forefront服務(wù)器與微軟防火墻結(jié)合使用，也需要注意兩者的區(qū)別。通常情況下，如果跟防火墻結(jié)合使用，筆者建議采用域環(huán)境模式。因?yàn)榉阑饓蛻舳藭?huì)請(qǐng)求自動(dòng)包括用戶憑據(jù)。此時(shí)要驗(yàn)證這個(gè)用戶請(qǐng)求，則必須將Forefront安全網(wǎng)關(guān)服務(wù)器包含在一個(gè)域中。而如果在工作組環(huán)境下實(shí)現(xiàn)的話，則相對(duì)來說要麻煩一點(diǎn)。因?yàn)椴荒軌蛑苯訉?shí)現(xiàn)，而需要通過鏡像來完成。即需要通過使用鏡像到Forefront安全網(wǎng)關(guān)服務(wù)器上的本地安全帳戶管理器中存儲(chǔ)的帳戶的用戶帳戶來驗(yàn)證請(qǐng)求。雖然最終也可以實(shí)現(xiàn)目標(biāo)，但是這需要一定的資源開銷。從而在網(wǎng)絡(luò)比較繁忙的時(shí)候，可能會(huì)加重網(wǎng)絡(luò)的負(fù)擔(dān)。

【編輯推薦】

1. Forefront性能優(yōu)化四步走
2. 讓ForeFront TMG來做企業(yè)網(wǎng)絡(luò)的守門人
3. Forefront Security應(yīng)用程序使用技巧
4. 淺談Forefront Security的管理策略和事件
5. ForeFront讓郵箱服務(wù)器遠(yuǎn)離侵襲三建議