在企業(yè)安全管理過程中，Forefront可以部署在企業(yè)網(wǎng)絡(luò)的邊緣當(dāng)作安全網(wǎng)關(guān)使用，避免企業(yè)網(wǎng)絡(luò)受到外網(wǎng)侵害，但是這種情況一旦網(wǎng)關(guān)出現(xiàn)問題，企業(yè)網(wǎng)絡(luò)就會造成癱瘓。筆者這里建議企業(yè)網(wǎng)絡(luò)安全人員，可以通過冗余功能，來提高Forefront的可用性。

一、啟用安全網(wǎng)關(guān)冗余功能提高Forefront可用性的前提條件

服務(wù)器冗余現(xiàn)在應(yīng)用的已經(jīng)非常的廣泛。在數(shù)據(jù)庫、Web服務(wù)器等等都已經(jīng)有成功的案例。現(xiàn)在在Forefront安全網(wǎng)關(guān)中也引入了相關(guān)的安全機制。不過筆者這里需要強調(diào)的一點是，在這里實現(xiàn)安全網(wǎng)關(guān)的冗余，對企業(yè)的網(wǎng)絡(luò)環(huán)境有比較嚴(yán)格的限制。必須滿足一定條件，才能夠在企業(yè)網(wǎng)絡(luò)的邊緣實現(xiàn)冗余功能。具體的來說，以下幾個條件必須滿足。

一是所有連接到Forefront TMG的內(nèi)部和外圍網(wǎng)絡(luò)都必須與默認的外部網(wǎng)絡(luò)具有網(wǎng)絡(luò)地址轉(zhuǎn)換關(guān)系。網(wǎng)絡(luò)地址轉(zhuǎn)換在實際工作中還是很有作用的。如國內(nèi)的企業(yè)，一般只能夠獲得1到3個公網(wǎng)IP地址。而企業(yè)內(nèi)部的主機數(shù)量多達幾十臺，甚至上百臺。在這種情況下，顯然公網(wǎng)IP地址不夠用。此時為了與互聯(lián)網(wǎng)上的主機進行通信，就要使用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)功能，將企業(yè)內(nèi)部的IP地址轉(zhuǎn)換為外部合法的IP地址。這個限制條件有一點絕對，它要求所有內(nèi)部的主機都要與默認的外部網(wǎng)絡(luò)具有網(wǎng)絡(luò)地址轉(zhuǎn)換關(guān)系。當(dāng)不滿足這個條件的時候，將無法享受啟用冗余功能。

二是對DHCP服務(wù)的限制。DHCP是自動IP地址分配的服務(wù)。在企業(yè)中應(yīng)用的也比較廣泛。但是如果要使用Forefront安全網(wǎng)關(guān)的冗余功能，則對這個服務(wù)有所限制。如現(xiàn)在企業(yè)可能在Windowsserver2008操作系統(tǒng)上部署了Forefront。此時如果要啟用冗余功能的話，需要注意，2008服務(wù)器操作系統(tǒng)并不支持DHCP分配的鏈路中使用多個默認網(wǎng)關(guān)。這也就是說，如果企業(yè)的的ISP服務(wù)商只支持由DHCP分配的地址(也就是說沒有固定IP地址)，則必須將這個兩個默認網(wǎng)關(guān)手動添加到Forefront安全網(wǎng)關(guān)的路由表中。這段話到底在將什么內(nèi)容呢？請各位讀者回顧一下自己企業(yè)的網(wǎng)絡(luò)配置。有很多企業(yè)可能都是通過電信等類似的ISP服務(wù)提供商來接入互聯(lián)網(wǎng)，如ADSL撥號。他們提供的服務(wù)，一般可以分為固定IP地址服務(wù)與自動IP地址服務(wù)。固定IP地址服務(wù)指的是每次撥號到互聯(lián)網(wǎng)中采用的都是相同的IP地址。這也就是說，這個公網(wǎng)的IP地址就給你們企業(yè)用了。而自動IP地址則不同。企業(yè)每次登錄到互聯(lián)網(wǎng)之前，ISP服務(wù)商都會提供一個空閑公網(wǎng)的IP地址。注意，在這種模式下，企業(yè)可能每次得到的IP地址都是不同的。企業(yè)如果采用的是第二種方式，那么就必須將這兩個默認網(wǎng)關(guān)手工添加到ForefrontTMG上的路由表中。

除了以上這兩個限制之外，還需要注意，如果大家選擇將兩個ISP連接中的一個或者兩個連接與某個網(wǎng)絡(luò)適配器進行關(guān)聯(lián)，則這些連接必須與默認的外部網(wǎng)絡(luò)適配器進行關(guān)聯(lián)。而不能夠講ISP連接與其他任何的外部網(wǎng)絡(luò)關(guān)聯(lián)。

二、故障轉(zhuǎn)移的同時是否啟用負載均衡

其實冗余功能，簡單的說，就是使用兩臺Forenfront安全網(wǎng)關(guān)服務(wù)器。當(dāng)某一臺服務(wù)器出現(xiàn)故障的時候，就會自動啟用另外一臺。通過這種方式，實現(xiàn)不簡單的互聯(lián)網(wǎng)訪問。在這個過程中，企業(yè)網(wǎng)絡(luò)安全管理人員還需要回答一個問題?，F(xiàn)在企業(yè)有兩臺ForefrontTMG服務(wù)器。平時的時候，是兩臺都同時使用，實現(xiàn)負載均衡呢？還是平時只適用一臺，另外一臺備用。只有在主服務(wù)器出現(xiàn)故障的時候，備用服務(wù)器才會接手。這兩種不同的工作模式，就構(gòu)成了Forefront安全網(wǎng)關(guān)冗余的兩種方式。

***種模式：僅故障轉(zhuǎn)移

在這種工作模式下，兩個服務(wù)器有主次之分。正常情況下，通信流量都是通過主服務(wù)器進行轉(zhuǎn)發(fā)的。只有在主服務(wù)器出現(xiàn)故障的情況下，才會使用備用服務(wù)器。也就是說，網(wǎng)絡(luò)安全管理人員需要將一個連接定義為所有通信的主連接。然后讓另外一個連接充當(dāng)備用連接。如果主連接由于某種原因變?yōu)椴豢捎?如斷電當(dāng)機等等)，則通訊將路由到備用連接，從而實現(xiàn)Internet服務(wù)的不簡單運行。

采用這種工作模式的話，那個備用的服務(wù)器配置可以不需要很高。因為其大部分時間都是用不到的。當(dāng)主服務(wù)器出現(xiàn)故障時，才將工作交給備用服務(wù)器。當(dāng)主服務(wù)器修復(fù)完成后，又會將工作交回給主服務(wù)器。故這種方案可以節(jié)省企業(yè)的投資成本。

不過在這種方案中，網(wǎng)絡(luò)安全管理人員要確保這個備用服務(wù)器的可用性。由于安全管理人員長時間沒有關(guān)注備用服務(wù)器。結(jié)果當(dāng)主服務(wù)器出現(xiàn)故障后，才發(fā)現(xiàn)備用服務(wù)器已經(jīng)停止工作了很長時間。此時就無法起到冗余的功能。在實際工作中，這是用戶經(jīng)常犯的錯誤。

第二種模式：在故障轉(zhuǎn)移的同時實現(xiàn)負載均衡

在這種情況下，兩臺服務(wù)器往往就沒有主次之分。因為他們是同時工作的。也就是說，企業(yè)的出站流量，系統(tǒng)會自動根據(jù)兩臺服務(wù)器的繁忙程度，在他們之間進行分配。當(dāng)服務(wù)器A比較空時，就會通過服務(wù)器A來轉(zhuǎn)發(fā)。相反，當(dāng)服務(wù)器B比較空時，就會通過服務(wù)器B來轉(zhuǎn)發(fā)。這就是負載均衡的思想。在實際工作中，兩臺服務(wù)器的配置往往也有所差別。此時網(wǎng)絡(luò)安全管理人員就需要根據(jù)兩臺服務(wù)器具體的運行情況，來設(shè)置各自的負荷能力。如可以將60%的通信流量交由性能相對較好的服務(wù)器A來完成，剩余的則由服務(wù)器B來完成。在部署過程中，管理人員可以根據(jù)實際情況設(shè)置具體的比率。不過一般情況下，兩個比例不要設(shè)置的太過于懸殊。如一臺服務(wù)器10%，另一臺服務(wù)器90%。這么懸殊的比例，很難達到負載均衡的目的。

在負載均衡的同時，實現(xiàn)了故障轉(zhuǎn)移的功能。也就是說，當(dāng)一臺服務(wù)器變得不可用時，系統(tǒng)會自動偵測到這種情況。然后將數(shù)據(jù)都轉(zhuǎn)發(fā)給另外一臺可用的服務(wù)器。當(dāng)然，這個轉(zhuǎn)換的過程對于用戶來說，是透明的。用戶可能不會感覺到某一臺服務(wù)器已經(jīng)出現(xiàn)故障。

當(dāng)企業(yè)的內(nèi)部客戶端數(shù)量比較多，或者并發(fā)訪問強度比較高時，企業(yè)網(wǎng)絡(luò)邊緣的安全網(wǎng)關(guān)有可能會成為企業(yè)的性能瓶頸。在這種情況下，采用這種工作模式是一舉兩得的。即能夠提高服務(wù)器的性能，又能夠提高服務(wù)器的可用性。

不過在這種配置下，一般要求兩臺服務(wù)器具有相同或者相近的配置。否則的話，負載均衡的效果會受到限制。這對企業(yè)來說，往往意味著需要投入更多的資本。故網(wǎng)絡(luò)安全管理人員需要結(jié)合企業(yè)的實際情況，來綜合考慮，看看這筆投資合不合算。當(dāng)然如果企業(yè)的資金比較充裕，筆者還是建議采用第二種工作模式。即在實現(xiàn)冗余的同時，也實現(xiàn)負載均衡。

總之，對那些可用性要求比較高的企業(yè)，如采用了SaaS服務(wù)的企業(yè)，其用ForefrontTMG冗余是必要的。雖然相比起來，需要增加一臺服務(wù)器，但是相比可用性來說，這個投資是能夠得到回報的。在部署過程中，網(wǎng)絡(luò)安全管理人員需要注意實現(xiàn)冗余提高Forefront可用性的一些限制條件。同時需要考慮，采用哪一種工作模式。

【編輯推薦】

1. Forefront性能優(yōu)化四步走
2. 讓ForeFront TMG來做企業(yè)網(wǎng)絡(luò)的守門人
3. Forefront Security應(yīng)用程序使用技巧
4. 淺談Forefront Security的管理策略和事件
5. ForeFront讓郵箱服務(wù)器遠離侵襲三建議