在Forefront的部署過程中有許多種拓?fù)浣Y(jié)構(gòu)，根據(jù)企業(yè)應(yīng)用環(huán)境的不同應(yīng)當(dāng)采取不同的配置方式。Forefront管理員需要了解這幾種拓批結(jié)構(gòu)的差異與特點(diǎn)，并在合適的情況下選擇合適的拓?fù)浣Y(jié)構(gòu)。在這篇文章中將為大家介紹Forefront單一網(wǎng)絡(luò)適配器的部署。

如上圖所示，是單一網(wǎng)絡(luò)適配器環(huán)境的典型示意圖。從這個示意圖我們可以看到，企業(yè)邊緣的設(shè)備主要有兩個：安全網(wǎng)關(guān)與防火墻。也就是說，F(xiàn)orefront中的防火墻功能這里是被禁用掉的，而使用其它防火墻產(chǎn)品來代替。也許有讀者會問，那不是浪費(fèi)錢嗎？確實(shí)，采取這種方式真的會浪費(fèi)企業(yè)的資源。但是在實(shí)際工作中，在如下幾種情形下仍然可能會使用這種方式的部署。

一是中間過渡的階段。如企業(yè)剛開始組建網(wǎng)絡(luò)的時候，并沒有采用ForefrontTMG系統(tǒng)。而只使采用了其他品牌的，如華為的防火墻。后來出于安全提升或者其他方面的原因，企業(yè)IT管理人員決定采用Forefront系統(tǒng)來武裝自己的網(wǎng)絡(luò)。但是出于穩(wěn)定過渡的考慮，企業(yè)可能并不會一下子就廢掉原先的防火墻系統(tǒng)。而是先使用Forefront的安全網(wǎng)關(guān)的功能。等到使用穩(wěn)定后，再啟用Forefront的安全防火墻，并禁用掉最后的防火墻。這種過渡方式相對來說，比較平穩(wěn)。對用戶的不利影響也是最低的。所以單一網(wǎng)絡(luò)適配器的拓?fù)浣Y(jié)構(gòu)，在轉(zhuǎn)型升級的過程中用的機(jī)會比較多。

二是出于性能的考慮。在上面這種“單一網(wǎng)絡(luò)適配器”的應(yīng)用環(huán)境中，安全網(wǎng)關(guān)與防火墻兩種服務(wù)是部署在兩臺不同的服務(wù)器上。其實(shí)這也是一種變向的服務(wù)器負(fù)載均衡。兩臺不同的服務(wù)器分別來完成不同的工作。者就可以提高他們的工作效率。某些企業(yè)，如金融機(jī)構(gòu)，對于數(shù)據(jù)傳輸?shù)男阅芤蟊容^高，同時又是“大款”，資金比較充裕。在這種情況下，他們也會考慮采用這種部署方式。

二、Forefront單一網(wǎng)絡(luò)適配器方案的使用限制

雖然說單一網(wǎng)絡(luò)適配器方案在企業(yè)中應(yīng)用也不在少數(shù)。但是企業(yè)IT管理人員在選擇用這個方案的時候，需要注意其在功能上會受到某些限制。也就是說，與其他解決方案相比，單一網(wǎng)絡(luò)適配器方案只能夠?qū)崿F(xiàn)部分的功能。對于這一點(diǎn)各位讀者也必須有所了解。因?yàn)檫@也是判斷是否要采用單一網(wǎng)絡(luò)適配器解決方案的標(biāo)準(zhǔn)之一。

限制一：不支持點(diǎn)對點(diǎn)的VPN連接方式。

如果企業(yè)中有VPN應(yīng)用的話，那么使用這個單一網(wǎng)絡(luò)適配器解決方案需要特別的注意。因?yàn)榈?010版本為止，在單一網(wǎng)路適配器環(huán)境下，其還不能夠支持點(diǎn)對點(diǎn)的VPN連接方式。如管理員現(xiàn)在在出差，其希望通過點(diǎn)對點(diǎn)的VPN連接到企業(yè)的邊緣路由器，然后再連接到Forefront服務(wù)器進(jìn)行維護(hù)與管理。這種方案是行不通的。因?yàn)閱我痪W(wǎng)路適配器不支持點(diǎn)對點(diǎn)的VPN連接。這主要是一種對管理方式的限制。對于普通用戶來說，影響并不是很大。

限制二：對IP地址的限制。

Forefront服務(wù)器其實(shí)本質(zhì)上就是一臺主機(jī)，可能只是沒有顯示器而已。當(dāng)這臺服務(wù)器要與網(wǎng)絡(luò)中的其他主機(jī)進(jìn)行通信時，必須要有IP地址。這個IP地址就好像是人的身份證號碼，與主機(jī)進(jìn)行唯一的對應(yīng)。在單一網(wǎng)路適配器解決方案中，對于IP地址的使用有所限制。通常情況下，必須為訪問規(guī)則配置僅適用企業(yè)內(nèi)部IP地址的源地址。有些企業(yè)可能合法的互聯(lián)網(wǎng)地址比較多，還有結(jié)果剩著沒用，就想給Forefront服務(wù)器也搞一個，以利于遠(yuǎn)程管理。因?yàn)橛辛撕戏ǖ幕ヂ?lián)網(wǎng)IP地址，在進(jìn)行遠(yuǎn)程管理的時候(通過互聯(lián)網(wǎng)進(jìn)行)，就不用使用VPN或者NAT技術(shù)。不過可惜的是，在單一網(wǎng)路適配器解決方案中，這也是行不通的。因?yàn)楦鶕?jù)要求，在這種解決方案下，必須為訪問規(guī)則配置內(nèi)部IP地址的源地址。即不能夠使用公網(wǎng)地址。

除了這兩個限制外，另外還需要注意兩點(diǎn)。一是單一網(wǎng)絡(luò)適配器解決方案下，可以啟用部分的防火墻功能。但是需要注意此時防火墻策略不能夠引用外部網(wǎng)絡(luò)。二是單一網(wǎng)絡(luò)適配器的拓?fù)浣Y(jié)構(gòu)并不支持SecureNAT或者與TMG客戶端進(jìn)行通訊。

如果企業(yè)需要上面這幾個應(yīng)用的話，那么需要注意，單一網(wǎng)絡(luò)適配器解決方案可能并不適合你。企業(yè)IT技術(shù)人員可能需要考慮采用后端防火墻或者邊緣放火墻的策略。

三、Forefront單一網(wǎng)絡(luò)適配器方案的主要功能

談了上面的限制之后，筆者再結(jié)合企業(yè)的實(shí)際情況，來談?wù)剢我痪W(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)主要可以實(shí)現(xiàn)的功能。筆者在這里先提醒一下，在閱讀這部分文字時，最好跟上面提到的“適用場合”與“適用限制”一起來看。如此的話，對于下面這部分內(nèi)容會有更進(jìn)一步的認(rèn)識。也就是說，當(dāng)企業(yè)如果需要用到這些功能，而又沒有觸犯以上限制的話，這個單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)是可用的。否則的話，就需要謹(jǐn)慎使用。

功能一：在使用Web緩存功能時可以考慮使用。

企業(yè)可能會在網(wǎng)站上部署FTP等應(yīng)用。為了提高其效率，會采用Web緩存機(jī)制。也就是說，將用戶經(jīng)常需要訪問的數(shù)據(jù)放置在服務(wù)期的緩存上。此時由于訪問內(nèi)存的速度要比訪問硬盤的速度快的多，那么用戶的訪問效率也就會提升不少。在企業(yè)的實(shí)際工作中，這種經(jīng)常用到的一種性能優(yōu)化的方式。單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)可以致詞后針對HTTP或者CERN代理的FTP服務(wù)器的Web緩存。有些讀者或許不怎么理解CERN代理的工作方式。其實(shí)CERN代理與其它代理服務(wù)器相比，主要是一個權(quán)限上的區(qū)別。簡單的說，通過CERN代理服務(wù)器將只能夠查看或者下載文件。即只能夠?qū)TP服務(wù)器進(jìn)行查詢和下載操作，而不能夠進(jìn)行任何的修改。如上傳或者刪除文件，或者創(chuàng)建文件與文件夾等等。而通過其它代理服務(wù)器則不受這一限制?？傊?，單一網(wǎng)路適配器拓?fù)浣Y(jié)構(gòu)可以支持針對HTTP和CERN代理的FTP服務(wù)器的緩存機(jī)制。

功能二：支持有限的Web服務(wù)器發(fā)布方案。

Web服務(wù)器的發(fā)布方式有很多種。不過單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)其只支持兩種，分別是Web直接發(fā)布方案和基于HTTP通信的方案。如果企業(yè)采用的是這兩種Web方案的其中一種，那么就可以放心使用。相反，如果采用其他Web發(fā)布方案的話，則就需要采用其他的拓?fù)浣Y(jié)構(gòu)，或者說調(diào)整Web的發(fā)布方案。

功能三：支持撥號客戶端虛擬專用網(wǎng)絡(luò)的訪問。

在上面的限制條件中，筆者強(qiáng)調(diào)過，單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)并不支持點(diǎn)對點(diǎn)的VPN訪問。但并不是說其不支持所有的VPN連接。其實(shí)在這種拓?fù)浣Y(jié)構(gòu)中，如果采用的是傳統(tǒng)的撥號客戶端虛擬專用網(wǎng)絡(luò)的連接，其還是能夠支持的。不過眾所周知，這種撥號訪問的方式，其性能沒有其他方式那么好，而且在安全性上也沒有很高的保證。故如果管理員要使用這種撥號客戶端虛擬專用網(wǎng)絡(luò)的訪問，還需要慎重。

總之，使用Forefront單一網(wǎng)絡(luò)適配器拓?fù)浣Y(jié)構(gòu)時，大部分是為了滿足平穩(wěn)轉(zhuǎn)型的需要。其使用在功能上會受到比較多的限制。這也就限制了這種解決方案的適用范圍。

【編輯推薦】

1. Forefront性能優(yōu)化四步走
2. 讓ForeFront TMG來做企業(yè)網(wǎng)絡(luò)的守門人
3. Forefront Security應(yīng)用程序使用技巧
4. 淺談Forefront Security的管理策略和事件
5. ForeFront讓郵箱服務(wù)器遠(yuǎn)離侵襲三建議