在选择安全工具的过程中，性能与安全是都需要关注的。不过根据笔者的经验，性能不仅仅跟产品自身有关，而且还跟产品的部署息息相关。如果部署的方式不当的话，则性能会大打折扣。如对于Forefront来说，拓扑结构直接关系到其运行的速度。Forefront支持单服务器拓扑、双服务器拓扑、三服务器拓扑等等。每种不同的拓扑结构在所支持的范围与性能上都是不同的。有经验的Forefront工程师会根据企业网络的规模等等因素来合理推荐拓扑结构。笔者在这篇文章中就Forefront支持的几种拓扑结构做一些对比分析，以帮助读者在有需要的时候做出合理的选择。

　　一、单服务器拓扑适用于小规模的网络

　　如上图所示，单服务器拓扑就是指Forefront服务器的各个组件均安装在单台服务器上的部署形式。对于Forefront来说，单服务器拓扑是其受支持的最小一种拓扑。通常情况下，单服务器拓扑主要用在小规模的网络中。如果客户端数量不多的话，这种拓扑结构的性能是最优的。但是到客户端数量达到一定的值之后，就可能会发生排队、争抢资源的现象，从而影响到整体网络的性能。

　　虽然从数量上说，单服务器拓扑最多可以支持3000台客户端。但是这只是一个理论数据。笔者以前做过一个试验，如果客户端数量超过500台的话，就能够明显感觉到效率的低下。故笔者建议，如果企业的客户端比较多，或者处理的数据流量比较大的话，最好还是采取双服务器拓扑或者三服务器拓扑结构。

　　如果企业出于资金的限制，一定要采用单服务器拓扑结构的话，那么最好在服务器的配置上有所改善。如采取4GB以上的内存;或者将数据文件、操作系统、日志文件分开放置;又或者采用性能较佳的磁盘阵列等等。这些措施都有利于提高服务器的性能。

　　二、将Forefront服务器分开成为双服务器拓扑

　　在单服务器拓扑中，Forefront服务器需要完成日常管理、信息收集、报表生成、策略分发等多项任务。当客户端的数量比较多，这些任务都集中在单个服务器上，显然压力比较大。在这些任务中，又属分发作业所占用的资源比较多，如需要比较大的带宽和CPU、内存等资源。为此在双服务器拓扑结构中，就将分发作业单独的放置在一台分发服务器来完成。

　　在实际工作中，Forefront系统工程师可以监控服务器的性能。如果发现“分发”作业占据了比较多的资源使用率，甚至已经影响到了整台服务器的性能。那么就可以考虑将服务器分开，让一台独立的服务器来负责Forefront的分发作业。注意在双服务器拓扑中，并没有将数据库从服务器中脱离出来。这主要是因为对于中小企业来说，Forefront数据记录并不是很大。数据库并不是性能的瓶颈。所以在双服务器拓扑架构中并没有将数据库独立。

　　当然如果工程师在后续的性能检测中，发现数据库成为了性能的瓶颈，如报表呈现速度比较慢或者数据转换服务的作业时间延长到不能够接受的地步，则就需要考虑将数据库也从服务器中独立出来。此时需要采用的就是三服务器拓扑结构。

　　三、服务器拓扑结构

　　如上图所示，三服务器拓扑结构与双服务器拓扑结构最大的区别就是将数据库服务器从ForeFront服务器中独立出来。这里需要注意，一般情况下Forefront服务器有两种数据库，分别为收集数据库服务器和报表数据库服务器。这里独立出来的只是报表数据库服务器。收集数据库一般还是放置在Forefront服务器中，这有利于提高数据存储的性能。

　　在采取三服务器拓扑结构的时候，笔者有如下两个建议。

　　一是在采用三服务器拓扑结构的时候，一定需要先确认当前ForeFront的性能到底是否是数据库所造成的。因为即使客户端数量比较多，在刚开始使用ForeFront的时候，数据量并不会很大。也就是说，报表数据库并不会成为性能的瓶颈。如果盲目的将报表数据库服务器独立出来，很有可能起不到应有的效果。在评估是否需要将数据库服务器独立出来的时候，主要要看两个指标。如需要看报表生成的速度与数据转发服务作业的时间。如果这两项指标都不怎么理想的话，则可以考虑将数据库服务器独立出来。如果这两个指标都比较好的话，那么采取这种操作并不能够最终解决问题。因为管理员并没有找到问题的症结。

　　二是如果真的需要采用三服务器拓扑结构的话，由于三台服务器所负责的任务不同，对于他们的配置的要求也有所不同。从性能的角度考虑，对于报表数据库服务器来说，最好要求能够事先磁盘阵列。如此的话，即能够提高数据读取的性能，也能够提高其安全性(通常磁盘阵列都有数据校验的功能)。而对于分发服务器来说，在安装的时候最好将操作系统、数据文件、日志文件放置在不同的分区中。这些措施虽然不起眼，但是可以很明显的提高ForeFront的运行性能。

　　以上三种拓扑结构基本上能够满足企业的需求了。如果企业有特殊要求的话，如客户端数量超级的庞大，达到5000台以上的时候，那么可以采用更加复杂的拓扑结构，如将ForeFront的四项作业(管理、收集、分发、报表)等等都部署在不同的服务器上。不过需要用到这种拓扑结构的企业并不是很多，至少笔者到现在还没有碰到过。对于普通企业来说，三服务器拓扑结构已足以。只要服务器的配置与部署比较合理的话，三服务器拓扑结构支持三、四千个客户端不成问题。最后需要提醒的一点，除了单服务器拓扑结构之外，其它的拓扑结构都需要预先实现WSUS的组织结构。或者换句话说，只要将管理、收集、分发、报表四个服务的某项服务抽出来独立放置在一台服务器中，就必须要有WSUS结构的支持。