部署Forefront单一网络适配器的注意事项

在Forefront的部署过程中有许多种拓扑结构，根据企业应用环境的不同应当采取不同的配置方式。Forefront管理员需要了解这几种拓批结构的差异与特点，并在合适的情况下选择合适的拓扑结构。在这篇文章中将为大家介绍Forefront单一网络适配器的部署。

如上图所示，是单一网络适配器环境的典型示意图。从这个示意图我们可以看到，企业边缘的设备主要有两个：安全网关与防火墙。也就是说，Forefront中的防火墙功能这里是被禁用掉的，而使用其它防火墙产品来代替。也许有读者会问，那不是浪费钱吗？确实，采取这种方式真的会浪费企业的资源。但是在实际工作中，在如下几种情形下仍然可能会使用这种方式的部署。

一是中间过渡的阶段。如企业刚开始组建网络的时候，并没有采用ForefrontTMG系统。而只使采用了其他品牌的，如华为的防火墙。后来出于安全提升或者其他方面的原因，企业IT管理人员决定采用Forefront系统来武装自己的网络。但是出于稳定过渡的考虑，企业可能并不会一下子就废掉原先的防火墙系统。而是先使用Forefront的安全网关的功能。等到使用稳定后，再启用Forefront的安全防火墙，并禁用掉最后的防火墙。这种过渡方式相对来说，比较平稳。对用户的不利影响也是最低的。所以单一网络适配器的拓扑结构，在转型升级的过程中用的机会比较多。

二是出于性能的考虑。在上面这种“单一网络适配器”的应用环境中，安全网关与防火墙两种服务是部署在两台不同的服务器上。其实这也是一种变向的服务器负载均衡。两台不同的服务器分别来完成不同的工作。者就可以提高他们的工作效率。某些企业，如金融机构，对于数据传输的性能要求比较高，同时又是“大款”，资金比较充裕。在这种情况下，他们也会考虑采用这种部署方式。

二、Forefront单一网络适配器方案的使用限制

虽然说单一网络适配器方案在企业中应用也不在少数。但是企业IT管理人员在选择用这个方案的时候，需要注意其在功能上会受到某些限制。也就是说，与其他解决方案相比，单一网络适配器方案只能够实现部分的功能。对于这一点各位读者也必须有所了解。因为这也是判断是否要采用单一网络适配器解决方案的标准之一。

限制一：不支持点对点的科学连接方式。

如果企业中有科学应用的话，那么使用这个单一网络适配器解决方案需要特别的注意。因为到2010版本为止，在单一网路适配器环境下，其还不能够支持点对点的科学连接方式。如管理员现在在出差，其希望通过点对点的科学连接到企业的边缘路由器，然后再连接到Forefront服务器进行维护与管理。这种方案是行不通的。因为单一网路适配器不支持点对点的科学连接。这主要是一种对管理方式的限制。对于普通用户来说，影响并不是很大。

限制二：对IP地址的限制。

Forefront服务器其实本质上就是一台主机，可能只是没有显示器而已。当这台服务器要与网络中的其他主机进行通信时，必须要有IP地址。这个IP地址就好像是人的身份证号码，与主机进行唯一的对应。在单一网路适配器解决方案中，对于IP地址的使用有所限制。通常情况下，必须为访问规则配置仅适用企业内部IP地址的源地址。有些企业可能合法的互联网地址比较多，还有结果剩着没用，就想给Forefront服务器也搞一个，以利于远程管理。因为有了合法的互联网IP地址，在进行远程管理的时候(通过互联网进行)，就不用使用科学或者NAT技术。不过可惜的是，在单一网路适配器解决方案中，这也是行不通的。因为根据要求，在这种解决方案下，必须为访问规则配置内部IP地址的源地址。即不能够使用公网地址。

除了这两个限制外，另外还需要注意两点。一是单一网络适配器解决方案下，可以启用部分的防火墙功能。但是需要注意此时防火墙策略不能够引用外部网络。二是单一网络适配器的拓扑结构并不支持SecureNAT或者与TMG客户端进行通讯。

如果企业需要上面这几个应用的话，那么需要注意，单一网络适配器解决方案可能并不适合你。企业IT技术人员可能需要考虑采用后端防火墙或者边缘放火墙的策略。

三、Forefront单一网络适配器方案的主要功能

谈了上面的限制之后，笔者再结合企业的实际情况，来谈谈单一网络适配器拓扑结构主要可以实现的功能。笔者在这里先提醒一下，在阅读这部分文字时，最好跟上面提到的“适用场合”与“适用限制”一起来看。如此的话，对于下面这部分内容会有更进一步的认识。也就是说，当企业如果需要用到这些功能，而又没有触犯以上限制的话，这个单一网络适配器拓扑结构是可用的。否则的话，就需要谨慎使用。

功能一：在使用Web缓存功能时可以考虑使用。

企业可能会在网站上部署FTP等应用。为了提高其效率，会采用Web缓存机制。也就是说，将用户经常需要访问的数据放置在服务期的缓存上。此时由于访问内存的速度要比访问硬盘的速度快的多，那么用户的访问效率也就会提升不少。在企业的实际工作中，这种经常用到的一种性能优化的方式。单一网络适配器拓扑结构可以致词后针对HTTP或者CERN代理的FTP服务器的Web缓存。有些读者或许不怎么理解CERN代理的工作方式。其实CERN代理与其它代理服务器相比，主要是一个权限上的区别。简单的说，通过CERN代理服务器将只能够查看或者下载文件。即只能够对FTP服务器进行查询和下载操作，而不能够进行任何的修改。如上传或者删除文件，或者创建文件与文件夹等等。而通过其它代理服务器则不受这一限制。总之，单一网路适配器拓扑结构可以支持针对HTTP和CERN代理的FTP服务器的缓存机制。

功能二：支持有限的Web服务器发布方案。

Web服务器的发布方式有很多种。不过单一网络适配器拓扑结构其只支持两种，分别是Web直接发布方案和基于HTTP通信的方案。如果企业采用的是这两种Web方案的其中一种，那么就可以放心使用。相反，如果采用其他Web发布方案的话，则就需要采用其他的拓扑结构，或者说调整Web的发布方案。

功能三：支持拨号客户端虚拟专用网络的访问。

在上面的限制条件中，笔者强调过，单一网络适配器拓扑结构并不支持点对点的科学访问。但并不是说其不支持所有的科学连接。其实在这种拓扑结构中，如果采用的是传统的拨号客户端虚拟专用网络的连接，其还是能够支持的。不过众所周知，这种拨号访问的方式，其性能没有其他方式那么好，而且在安全性上也没有很高的保证。故如果管理员要使用这种拨号客户端虚拟专用网络的访问，还需要慎重。

总之，使用Forefront单一网络适配器拓扑结构时，大部分是为了满足平稳转型的需要。其使用在功能上会受到比较多的限制。这也就限制了这种解决方案的适用范围。

【编辑推荐】