虽然在部署ForeFront各个组件的时候,如安全网关,域并不是必要的条件。但是为了安全与性能方面的考虑,笔者还是建议将Forefront加入到微软的域或者工作组中去。虽然在前提部署的时候,需要多花一点时间与精力。但是对于后续的维护、安全等等都是非常有利的。在这里笔者就以Forefront安全网关为例,谈谈集成的相关注意事项。
一、将安全网关加入到域或者工作组之前必须要了解的内容
如果将Forefront安全网关加入到域或者工作组中,某些功能会受到影响。如某项功能可能会不能使用或者功能有所加强。在继续后面的操作之前,工程师必须对这方面有详细的了解。否则的话,在后续配置与管理的时候很容易碰壁。具体的来说,以下这些内容要在心中刻下烙印。
一是如果将Forefront安全网关加入到工作组中,则一些功能会受到限制。如在微软工作组环境中,不支持EMS复制(这对于超大型的网络有比较大的影响);而且在工作组环境中并不支持自动检测Web代理。在部署Forefront安全网关的时候,还需要在Forefront所在的计算机上安装服务器证书,否则的话,就无法加入到工作组中。
二是在域环境中,需要使用组策略来锁定安全网关服务器。注意不加入域环境的情况下,只需要通过本地策略来锁定即可。但是在域环境中,为了安全性考虑,本地策略锁定功能将会失效。
三是如果在Forefront安全网关上配置VPN客户端映射的时候,也有限制。如需要将非Windows操作系统的用户映射到域用户帐户。也就是说,如果有一台客户端是Linux操作系统。此时就需要将Linux操作系统的帐户(在登陆VPN的时候需要用到的帐户)映射到域用户帐户中去。
四是需要注意安全方面的考虑。在域环境中,活动目录、防火墙、Forefront安全网关等等都是一体的。如果某个设备遭到了破坏,那么其它设备也在所难免。这主要是因为主要取得了一台服务器的管理员权限,那么也就具有了其他服务器的管理员权限。为此在部署中,往往需要进行合理的规划,设计一个比较好的安全措施。
笔者最后强调一次,域环境并不是Forefront安全网关的必要条件。在实际工作中,往往是出于管理的方便以及安全性方面的考虑,才会将他们集成在一起。作为企业Forefront管理员来说,需要根据自己企业的实际情况来对待。笔者的建议是,企业必须先要有一个安全的、稳定的域环境,然后再考虑是否将Forefront安全网关加入其中。如域环境刚刚组建完成,还不怎么稳定的时候,那么最好不要急着将Forefront加入到域环境中去。
二、Forefront安全网关集成的核心是身份验证的配置
笔者在给用户做这方面的集成工作中,遇到的问题比较多的是“身份验证配置”相关的内容。也就是说,如何让Forefront安全网关服务器与域或者工作组中的帐户能够相互识别。其实这也不是大问题,主要是在配置的时候没有考虑全面。具体的说,在配制身份验证相关内容的时候,需要在多个地方都进行相关的配置。
一是在Radius服务器上进行设置。如果企业有专门的RADIUS服务器用来进行身份验证的话,那么需要在这台服务器上进行设置。如企业有内部Web服务器的入站请求或者有VPN需求的话,在工作组环境中就需要在Radius服务器上进行设置,让这个服务器用于身份的验证。而如果是在域环境中的话,则只需要满足一个条件,即将Forefront安全网关服务器与这些相关的服务同属于一个域中即可。一般的情况下,笔者建议将相关的服务器,都放置在一个独立的域中。不仅可以提高安全性,性能方面也会有所改善。
二是如果在部署了安全网关的同时,也实现了防火墙。那么在配置身份验证机制的时候,需要注意防火墙客户端会请求自动包括用户的相关凭据。此时Forefront安全网关就需要验证这个请求是否合法。如果是在工作组环境中,稍微麻烦一点。通常情况下是是使用镜像到Forefront安全网关服务器上本地安全帐户管理器中存储的帐户的用户帐户来验证。不过需要注意的是,在使用这个方法来验证的话,在性能上可能会受到一定的负面影响。因为如此进行验证的话,会消耗比较多的资源。而如果是在域环境中,则配置相对简单多了。只需要将防火墙与安全网关部署在同一个域中即可。
总结一下,如果是在域环境中,身份验证一般不是大问题,只需要将相关的服务器放置在同一个域中就可以了。但是如果是在工作组环境中,则需要根据不同的情况,分别在防火墙或者Radius服务器上进行配置。笔者在日常工作中,比较喜欢将Forefront加入到域中,而不喜欢使用工作组。这个也是其中的原因之一。
三、将Forefront安全网关加入到域中的典型配置
要将Forefront安全网关与微软的域环境集成,有不少的方法。笔者举一个典型的配置方法。如笔者在给一个客户配置的时候,采用了两个Forefront安全网关服务器。其中一个服务器部署在企业网络的边缘,另一台服务器安装在后端。注意两台服务器并不是负载均衡,而是需要用来分别完成不同的工作。如前端(边缘)安全网关服务器是以工作组模式来安装,而后端服务器则以域成员身份来安装。这种配置方式可以将工作组的限制减少到最低。如可以以域成员身份安装后端服务器来完成身份验证工作,而不要在工作组模式下完成。笔者前面分析后,如果在工作组模式下来进行身份验证的话,在配置的时候比较麻烦。而使用域成员身份来完成这项工作,就相对简单许多,只需要将他们加入到同一个域中即可。这个方案另外带来的一个好处就是能够使用组策略来强化内部计算机的安全,也提供另一个统一的平台便于管理。
除了这种配置方式外,据笔者了解,还可以为Forefront安全网关加一个单独的网络适配器。在有Web应用的环境中,其可以起到缓存的作用,提高访问的性能。不过这个方案笔者到没有用过。具体效果如何,还需要各位读者去考证。另外一个常见的配置是使用单独一个Forefront安全网关,将其放置在边缘。同时一个网络适配器连接内网,另外一个网络适配器连接外网。这个方案虽然硬件成本省下许多,但是在配置上,特别是身份验证上,会遇到不少的麻烦。故笔者并不推荐这么做。
