作为安全网关服务器，除了要能切实屏蔽有害信息之外，最重要的一点就是能够提供持续的、不间断的服务。设想一下，一但部署在企业网络边缘的安全网关出现故障，那么给企业的网络通信就会带来致命的影响。ForeFront TMG是ForeFront系列中的一个面向安全网关的产品。其他功能暂且不说，至少在高可用性ForeFront安全网关做的很不错。

　　一、高可用性的基本要求

　　作为安全网关，高可用性跟其安全性同样的重要。高可用性的一个基本的要求，就是确保ForeFront安全网关能够持续的运行。简单的说，就是当某个安全网关出现问题的时候，有冗余的安全网关能够马上启用。在ForeFront安全网关规划与部署的过程中，在这方面考虑了许多。笔者在后面的内容中，就将结合自己的项目经历，谈谈提高其可用性的一些建议。

　　二、利用ForeFront安全网关阵列提高可用性

　　通过网关阵列是提高可用性的一个比较便捷的方法。阵列中的所有服务器的ForeFront安全网关都采用相同的配置，从而确保在一个或者多个阵列成员发生故障时ForeFront安全网关仍然能够提供不间断的服务。

　　在配置ForeFront安全网关阵列时，笔者认为需要注意如下的内容。

　　一是需要注意选择合适的安全网关阵列类型。不同的企业需求不同，选择的磁盘阵列的类型也不同。ForeFront安全网关阵列也是如此。网络管理员需要了解企业自身的需求，然后根据其特点来选择合适的安全网关阵列的类型。对于ForeFront安全网关阵列来说，其主要有“独立阵列”和“EMS管理阵列”两种类型。其中独立阵列最多可以包含50个成员(大部分情况下不需要用到这么多)。而EMS管理阵列则最多可以包含200个ForeFront安全网关阵列。其中每个网关阵列可以包含50个成员。ForeFront安全网关、独立阵列、EMS管理的阵列之间的关系，可以用如下的图形来表示：

　　如上图所示，多个安全网关(最多可包含50个成员)组成一个独立阵列，而多个独立阵列(最多可包含200个独立阵列)组成一个EMS管理阵列。由于成员的数量不同，其应用的范围也是不同的。通常情况下，只有规模比较小或者用户数量少的地方采用单个安全网关。虽然其成本比较低，但是在性能上与可用性上都会打折扣。而对于可用性要求比较高的企业，笔者建议采用独立阵列。如那些在企业内部部署了FTP服务器或者OA服务器的，需要持续的给用户提供服务，那么最好能够部署一个独立阵列，以确保外部用户能够持续的访问。具体成员的数量，可以根据用户的并发访问来确定。大部分情况下，通常在单一逻辑位置或者中等通讯负载的情况下，独立阵列类型就已经够用了。而如果需要部署在多个位置或者需要处理高通讯负载(如电信、移动等等运营商)，那么就可能需要采用EMS管理阵列。

　　三、利用ForeFront安全网关阵列提供高性能

　　对于磁盘阵列来说，除了可以提高存储设备的数据安全(提供了数据校验机制)之外，还可以增强磁盘的I/O能力、提高数据存储的性能。对于ForeFront安全网关阵列来说也是如此。ForeFront阵列不但可以提供冗余的安全网关，提高可用性，而且还可以起到服务器负载均衡的作用。

　　跟服务器负载均衡类似，ForeFront安全网关阵列负责平衡也在于平衡阵列成员之间的网络通讯，以便在所有可用成员中优化通讯。注意，这里指的是可用成员。也就是说在一个ForeFront安全网关阵列中如果有某个成员出现故障无法正常提供服务，则系统会自动将其屏蔽掉。这个特性很重要，因为这是高可用性的一个要求。

　　如果不用阵列的话，安全网关就是一对多的服务。当用户数量一多，在安全网关服务器上就会排队。而采用了ForeFront阵列的话，就好象是多对多的服务，能够减少排队的时间。这个原理就好象是买火车票。在春运的时候，由于买票的人比较多，往往会加开售票的窗口，以减少买票的排队时间。安全网关阵列也是通过这个道理来减少数据的排队等待时间。

　　在配置ForeFront负载均衡的使用，笔者认为管理员需要注意以下几个问题。

　　一是需要知道，负载均衡需要经过合理的配置才能够提到应有的效果。如果只是简单的将ForeFront安全网关串联，是不能够起到负载平衡的效果。通常情况下，管理员需要先了解企业信息流量的特点，如最大的并发数量是多少、高峰期是什么时候等等。了解这些信息之后，才能够对ForeFront负载均衡作出合理的规划与配置。

　　二是选择合适的管理方式。到目前为止，ForeFront安全网关负载均衡主要提供了两种管理工具，分别为Windows操作系统提供的NLB(网络负载均衡)管理工具和ForeFront系统集成的NLB管理工具。虽然他们两个都是微软的产品，名字也相似，但是在功能上有很大的区别。笔者现在使用的是集成的NLB管理工具。因为利用集成的工具，可以在ForeFront安全网关管理控制台中直接配置、维护网络负载均衡、管理各个节点等等。而如果使用微软操作系统自带的NLB的话，操作起来就会麻烦不少。如需要使用两个不同的控制台等等。特别值得提醒的是，如果采用集成的NLB工具的话，可以实现防火墙的自动配置。而如果采用Windows操作系统自带的NLB工具，则还需要手工对防火墙进行设置。这么操作的话，非常的不方便，也容易出现问题。

　　在一个安全的Windows网络环境中，ForeFront安全网关是一个必不可少的组件。而由于在ForeFront安全网关中实现了阵列，这对与提高ForeFront安全网关的可用性与性能方面都有很大的帮助。笔者接触的几家企业中，用的最多的是独立阵列。相对来说，其性价比还是蛮高的，企业比较容易接受。

　　不过这个产品有一个比较大的缺陷，就是跨平台性能比较差一点。到目前的版本为止，其只能够运行在微软的操作系统上。这也许是微软垄断的一个策略。这或多或少限制了企业网络管理员的灵活性。为此笔者也接到过不少用户的投诉。