Forefront差异分析：工作组与域环境-工作组和域

Forefront配置部署在不同的环境中达到的效果也时有所不同的，为了大家能够更好的使用Forefront，本篇文章就工作组与域环境中的Forefront差异分析给大家总结一下这款企业级的安全产品性能。

Forefront差异一：Forefront可以在工作组或者域环境中部属

首先需要说明的一点是，Forefront可以部属在工作组环境中或者在域环境中。而且如果将其与Windows的域结合使用，往往能够起到1+1大于2的效果。这也就是说，两个环节相比起来，在工作组环境下配置与管理Forefront要稍微复杂一点。而且在工作组中由于技术的原，某些功能也会受到一定的限制。两者具体的差异笔者会在后续的内容中详细说到。在这里只是先给大家打一个预防针。所以一般情况下，笔者还是建议在域环境中部属Forefront。或者说，在部属之前需要先了解这两者的差异，然后再根据企业的实际情况，做出合理的选择。

Forefront差异二：网络拓扑设计时需要注意的内容

其实在工作组环境下与域环境下的差异不仅仅体现在操作维护层面，在网络拓扑的设计层面就已经需要注意这个内容了。这也就是说，管理员如果需要使用Forefront产品来保护企业内部安全的话，那么在规划的过程中，就需要确认在两种环境下其运行的差异。并根据这个差异的内容，来合理设计网络拓扑结构。

根据经验，笔者认为在网络拓扑设计时需要注意以下这些差异。

如果将Forefront防止在企业网络的边缘，可以起到屏蔽互联网中不良信息的作用。在这种情况下，其部属的方式往往有三种，分别为保护边缘配置、后端到后端配置与三向配置。保护边缘配置又叫做二向配置。简单的说，就是采用两个网络适配器，一个适配器连接到外部网络，另外一个适配器连接到外部网络。此时所有的通信流量都会经过Forefront服务器，从而对数据流进行过滤、扫描等保护行动。后端到后端配置与第一种方式即有相同的地方、也有不同的地方。这种配置方式是使用Forefront安全网关作为前端防火墙来保护企业边缘的安全，然后也是将一个适配器连接到外部网络，将一个适配器连接到外网网络。注意两个适配器从本质上说都是面向外部的。而在外围网络和内部网络之间，则配置后端防火墙。三向配置指的是采用三块网络适配器，分别连接到内部网络、外部网络和外围网络。这三种实现方式各有特点。不过由于篇幅的关系，笔者不再这里过多展开。笔者这里需要强调的是，在工作组环境下或者在域环境下，实现这些部署方式时的差异，并指出在网络拓扑结构设计时需要注意的内容。

总的来说，如果将Forefront部署在网络的边缘(即当作安全网关来使用)，在大的方面没有多少差异，即无论在工作组环境下还是在域环境下，Forefront都支持在边缘进行配置。不过在一些细节上还是存在着不小的差异。如在域工作环境下，建议在单独的林中(这个林具有与公司林的单向信任关系)部署这个产品，而不是在公司网络的内部林中。这可以提高企业内部林的安全性。而如果在工作组的环境中部署的话，则没有这种限制。

另外需要注意的是，有可能会两种工作模式同时使用。在上面谈到的后端到后端配置模式。一种比较典型的配置方案是同时部署两台Forefront服务器。一种一台安装在边缘，另外一台安装在后端。此时可以使用工作组模式来部署前端Forefront服务器，而以域工作模式来安装后端服务器。这主要是出于身份验证的角度来考虑的。具体的内容请参考后面身份验证的差异分析。

Forefront差异三：在功能上两种环境下也存在差异

在部署时，在设计网络拓扑时需要注意其不同工作环境下的差异。在具体部署与管理中，也需要注意，特别是在工作组环境下某些功能上存在着一些限制。

具体的来说，在工作组模式下对以下这些功能存在限制。一是在工作组环境下，Forefront不支持EMS复制。二是在工作组环境下，其不支持自动检测Web代理。三是在部署时，在工作组环境下需要多一些操作的步骤。四是在用户映射上存在限制。在Forefront中可以为VPN客户端配置用户映射。但是需要注意的是，将非微软操作系统用户映射到用户账户时，存在限制。即只有在域工作环境下配置Forefront安全网关时系统才支持用户映射。如果管理员需要使用EMS复制功能的话，那么就必须要在域环境下部署Forefront产品。

除了以上这些功能限制之外，在域环境下实现Forefront安全网关还能够带来其他的一些额外效益。如在域环境中，可以使用组策略来锁定与管理安全网关服务器。而在工作组环境下，则不可以。在工作组模式下，其只能够通过配置本地策略来锁定它。这是需要特别注意的地方。

如果虽然在域工作环境下，Forefront的功能能够得到最大的发挥，但是其也会有一个安全隐患。如在域环境中，只要具有域管理员权限的用户可以管理每个域成员。而Forefront安全网关服务器就是其中的一个域成员。如此的话，就将活动目录的安全与Forefront服务器的安全捆绑在一起。如果活动目录服务服务器遭受到攻击，则这个Forefront服务器也会受到攻击。相反，如果Forefront服务器受到攻击，那么活动目录服务器也就难以幸免。可见，对于活动目录服务器来说，其又多了一道安全隐患。为此在域环境下实现Forefront服务器，往往需要额外的安全机制来保障这两台服务器的安全。

Forefront差异四：身份验证上的差异

在上面网络拓扑结构设计中笔者在谈到“后端到后端”配置模式中，谈到可以设置两台Forefront服务器来满足后端到后端的配置要求。边缘服务器可以以工作组模式下进行模式，而后段服务器则可以通过域成员身份进行配置。那为什么要进行这个配置呢?主要的原因还在于身份验证上的差异。

如现在出于安全的考虑，Forefront安全网关服务器要求对内部客户端针对出战的访问(即访问外网)进行身份验证。注意，在不同的工作环境下，其采用的身份验证机制是不同的。如在域环境下，服务器采用的是ADDS身份验证方法。而对于工作组环境下说，其通过Web代理请求来进行RADIUS服务器身份验证。这是由于这个原因，所以才建议在连接内网的后端服务器上采用域成员身份进行部署。

如果Forefront服务器与微软防火墙结合使用，也需要注意两者的区别。通常情况下，如果跟防火墙结合使用，笔者建议采用域环境模式。因为防火墙客户端会请求自动包括用户凭据。此时要验证这个用户请求，则必须将Forefront安全网关服务器包含在一个域中。而如果在工作组环境下实现的话，则相对来说要麻烦一点。因为不能够直接实现，而需要通过镜像来完成。即需要通过使用镜像到Forefront安全网关服务器上的本地安全帐户管理器中存储的帐户的用户帐户来验证请求。虽然最终也可以实现目标，但是这需要一定的资源开销。从而在网络比较繁忙的时候，可能会加重网络的负担。

【编辑推荐】