在部署安全產(chǎn)品的時候，管理人員往往需要考慮如何在安全與性能之間取得均衡。任何一款安全產(chǎn)品，總會降低現(xiàn)有網(wǎng)絡的性能。因為畢竟中間多了一個處理環(huán)節(jié)?，F(xiàn)在的問題是，這個后果是否在用戶可以忍受的范圍之內(nèi)?如果明顯降低現(xiàn)有應用的性能，那么管理人員就必須對其進行優(yōu)化。Forefront系統(tǒng)也不例外。在這篇文章中筆者就談談性能優(yōu)化的基本思路及可行的措施。筆者將此總結(jié)為四步走。

第一步：性能優(yōu)化規(guī)劃

沒有目標的話，大部分事情都干不好。性能優(yōu)化尤其如此。因為性能優(yōu)化本來就是一個虛無縹緲的內(nèi)容。如果沒有既定目標的話，就很難辦。筆者認為，對于Forefront安全系統(tǒng)來說，性能優(yōu)化的第一步是制定可以接受的性能基線。

如現(xiàn)在有一家企業(yè)，他們要部署Forefront系統(tǒng)來保障企業(yè)內(nèi)部網(wǎng)絡的安全。在部署之前，最好先對企業(yè)的當前網(wǎng)絡狀況進行一個評估。如這家企業(yè)可能上了ERP系統(tǒng)，那么就可以先對這ERP系統(tǒng)的性能進行評估。如用戶登錄系統(tǒng)的速度、生成一張復雜報表（如安全庫存報表）所需要的時間等等。然后在這個基礎之上，對上Forefront系統(tǒng)之后的性能指標進行預測。如果部署了Forefront之后系統(tǒng)的性能明顯下降，那么就要根據(jù)這些指標來對部署后的系統(tǒng)進行性能的優(yōu)化。

總之，在性能優(yōu)化中，要根據(jù)企業(yè)的實際情況來制訂一條可以被用戶所接受的性能基線（至少是大部分用戶都可以認同）。如果不這么做，沒有定義系統(tǒng)所需功能的性能參數(shù)，那么在后續(xù)優(yōu)化的時候，就好像大海撈針，很難找到下手的地方。打一個形象的比喻。這就好像是病人的抽血檢驗單。單據(jù)上一般都有三列內(nèi)容：指標的名稱、指標的標準值、指標的實際值。將實際值與理論值進行對比，醫(yī)生就可以判斷哪個指標有問題。然后再抽絲剝繭的去分析造成這個指標不正常的原因，并找出對應的措施。性能優(yōu)化跟這個抽血檢驗是相同的道理。沒有一個基線，管理員就很很難確定性能需要優(yōu)化的區(qū)域。為此筆者強烈建議，在性能優(yōu)化的時候，第一步就是要制定可以接受的性能基線。

第二步：對比數(shù)據(jù)分析性能薄弱環(huán)節(jié)

基線定義完之后，接下去就需要搜集企業(yè)實際的性能數(shù)據(jù)。然后將實際收集到的內(nèi)容與基線進行對比，找出企業(yè)性能的薄弱環(huán)節(jié)?；蛘哒f，對照最佳性能對收集到的性能數(shù)據(jù)進行評估。在這個步驟中，筆者要強調(diào)以下兩個問題。

一是要將服務器端與客戶端分開評估。在收集實際性能數(shù)據(jù)的時候，大家會發(fā)現(xiàn)部署了Forefront系統(tǒng)之后，其對于服務器與客戶端的性能影響是不同的。一個比較特例的情況就是系統(tǒng)部署之后，服務器的性能下降了，但是客戶端的性能反而上升了。這里面的原因很復雜?？傊粋€基本的原則，就是客戶端與服務器端需要分開評估。只有如此最后得到的結(jié)果才會比較切合實際。

二是要抓住重點、抓住主要矛盾。筆者認為，相對來說部署Forefront系統(tǒng)這后，對于服務器的影響是最大的。特別是客戶端數(shù)量一多，每次進行更新（假設從WSUS服務器進行更新），服務器的性能就會明顯下降。

第三步：性能優(yōu)化實施

以上兩個步驟完成之后（薄弱環(huán)節(jié)與性能評估數(shù)據(jù)都有了），接下去就可以開藥方，進行具體的治療了。在這一步中，筆者認為可以采取如下措施。

一是增加服務器或者客戶端的資源。如可以升級服務器的CPU或者內(nèi)存，來提高計算機的數(shù)據(jù)處理能力?；蛘哒f，將原來的存儲系統(tǒng)進行升級，由單塊硬盤升級為磁盤陣列。當然，具體的措施還是需要根據(jù)第二步的評估結(jié)果來。如由于是磁盤的I/O問題所導致的性能下降，就可能需要通過磁盤陣列來解決。

二是對內(nèi)存資源進行規(guī)劃。如Forefront服務器可能跟其他應用服務部署在同一臺主機上。此時不同的服務可能會爭奪資源。如當客戶端進行升級更新的時候，WSUS服務就會占用比較多的內(nèi)存。從而就會影響到同一臺主機上的其他服務的正常運行。由于客戶端更新作業(yè)并不是經(jīng)常發(fā)生。為此增加內(nèi)存雖然可以解決問題，但是投資比較大。在這種情況下，比較合理的做法是對內(nèi)存資源進行限制。如設置最多運行Forefront服務可以使用的內(nèi)存，即設置各種服務內(nèi)存資源使用的上限，以最大程度上保障不同服務的獨立性，防止因為某種服務占用了比較多的資源而給其他服務造成不利的影響。

三是調(diào)整網(wǎng)絡系統(tǒng)的相關設置。有時候企業(yè)網(wǎng)絡的性能可能根源不在于Forefront系統(tǒng)?；蛘哒f，F(xiàn)orefront系統(tǒng)其只是一個導火線，將原來就存在的網(wǎng)絡性能問題暴露出來了。在這種情下，管理人員就需要深入進行分析。比如有一次筆者給客戶部署Forefront系統(tǒng)的時候，就遇到過這種問題。他們上了Forefront之后，視頻會議系統(tǒng)就特別的卡。在這之前，視頻會議雖然不怎么流暢，但是還可以接受。還好筆者還有思科網(wǎng)絡方面的基礎。經(jīng)過分析之后，發(fā)現(xiàn)主要是企業(yè)網(wǎng)絡流量的問題。當用戶通過電爐、BT等工具下載軟件或者電影的時候，視頻就明顯會有一卡一卡的現(xiàn)象。為此筆者就對網(wǎng)絡參數(shù)進行了調(diào)整，對流量采取了優(yōu)先級管理。多媒體信息具有優(yōu)先通過的權利。通過這個調(diào)整之后，問題就解決了。這個案例給魏的提示是，性能優(yōu)化是一個比較綜合的問題。當Forefront在這里扮演的是“導火線”角色時，問題就會變得復雜，因為原因比較難找。在這種情況下，往往需要對網(wǎng)絡系統(tǒng)進行相關的調(diào)整。

第四步：性能優(yōu)化追蹤

以上內(nèi)容完成之后，接下去要做的工作，就是對最后的成果進行評估。也就是說，優(yōu)化完成一段時間后，如一個星期或者一個月以后，再對企業(yè)網(wǎng)絡性能的數(shù)據(jù)進行收集。然后將這個數(shù)據(jù)與網(wǎng)絡性能基線、上次收集到的數(shù)據(jù)進行對比。就如此治療一段時間后再抽血檢查，以判斷治療是否起到了預期的效果。

最后筆者給一個小小的建議。如果看了這篇文章對性能優(yōu)化還是云里霧里的話，那么筆者建議就去找一張化驗單?？纯椿瀱沃械膬?nèi)容，在性能優(yōu)化方面會給我們不少的啟示。

【編輯推薦】

1. 專題：微軟Forefront企業(yè)安全解決方案
2. Forefront安全解決方案如何滿足銀行信息安全需求