本文详细介绍了如何利用Forefront安全网关的缓存机制,平衡Web服务的安全性和性能。通过正向和反向缓存的合理规划,可以显著提高Web服务的访问速度,同时减轻Web服务器的负担。本文提供了关于缓存配置的建议,包括内存与磁盘使用、文件系统选择、物理磁盘规划以及阵列应用,旨在帮助用户实现安全与性能两不误的目标。
在实际工作中,Forefront在企业网络中可以充当网关的作用。如下图所示,Web服务器部署在企业内部。然后通过ForefrontTMG网关来连接互连网。如此的话,就可以提高内部Web服务器的安全。
不过这么部署的话,也带来一个问题。如上图所示,Web服务器中的内容需要先通过Forefront安全网关然后再到达客户端那边,中间多了一个环节,需要进行数据的过滤。这无疑会影响到客户端访问Web服务器的性能。
一、Forefront对此的解决方法
是否真的安全与性能不能够兼顾呢?其实不然。Forefront安全网关实现了一个可改进的Web请求的性能病缩短对其响应时间的缓存机制。这句话可能读起来比较拗口。简单的说,就是在Forefront安全网关中可以实现一种缓存机制,将Web服务器中的内容缓存到Forefront安全网关中。如此的话,当外部用户需要通过互联网来访问Web服务器的时候,如果Forefront缓存中有其所需要的内容,那么Forefront安全网网关就会直接将内容传送给用户,而不需要再去Web服务器中读取。
如上图所示,在Forefront安全网关的Web缓存中保存着用户经常请求的内容。当用户请求缓存中的内容的时候,Forefront安全网关直接从缓存中提供内容,而不再去Web服务器中获取数据。这种Web缓存机制在客户端数量比较多的时候非常有效。如可以明显提高用户访问的速度,因为直接从缓存中为请求提供服务,不需要访问已经发布的Web服务器。同时还可以降低连接互联网所需要的带宽,减少Web服务器的负荷等等。
在这篇文章中,笔者就针对Forefront安全网关的这个特性作一番讲解。希望能够帮助大家做到安全与性能两不误。
二、Forefront安全网关缓存所面对的用户?
那么哪些用户可以从Forefront安全网关中受益呢?其实无论是内部用户,还是外部用户,都可以从中受益。这主要是因为Forefront安全网关提供了两种缓存类型,分别为正向缓存与反向缓存。其中正向缓存主要是为内部用户所服务的。也就是说内部用户访问Web的时候可能会从正向缓存中读取相关的内容。而反向缓存择是为外部用户缩服务的。Forefront会将反向缓存中的内容提供给外部远程用户。默认情况下,当启用了正向缓存时,自动会启用反向缓存。
笔者建议:
大部分情况下可能正向缓存并不需要。如上图所示,如果Web服务器部署在企业内部。此时企业内部的网络相对来说是安全的,而且Web服务器本身就有缓存机制。在这种情况下,对于内部用户再通过Forefront安全网关的正向缓存来提供服务的话,就有点“画蛇添足”的味道。所以大部分情况下,可以禁用掉正向缓存。而只启用反向缓存。也就是说,Forefront安全网关中的缓存机制只为远程用户服务。
三、合理规划Forefront安全网关的缓存
如上图所示,远程用户在访问Web服务器的时候,其实访问的是Forefront安全网关中的反向缓存中的内容。在这种情况下,Forefront缓存规划跟用户的访问速度就息息相关了。在用户数量比较多的情况下,需要对Forefront安全网关的缓存进行合理规划,以进一步提高用户访问的性能。
通常情况下,Forefront安全网关会将缓存内容存在在内存和磁盘中。众所周知,用户访问内存的速度要比访问磁盘中的数据酷快几百倍,为此Forefront安全网关会将最常用的内存同时存储到内存与磁盘中。从理论的角度讲,缓存的内容全部存储到内存中是最好的。但是实际情况是无法满足的。因为内存的容量比较小,而且也不可能将全部内存空间用来存储这些缓存数据。默认情况下,只有10%的内存会用于缓存对象。当磁盘上的缓存文件的存储空间满了的话,系统会将旧的内容从缓存中删除。具体的机制笔者认为管理员不需要了解的很透彻。
对这个缓存的规划,笔者提出以下建议。
第一,由于内存的访问速度比磁盘的访问速度快许多。为此到用户数量比较多的时候,在Forefront安全网关中最好使用尽可能大的内存。如此的话,就可以将尽可能多的数据存放到内存中。这里需要提醒的一点是,虽然可以通过配置来调整内存中缓存空间的大小,如将10%提高到50%。但是笔者并不建议这么做。因为Web缓存只是Forefront安全网关的其中一项功能。如果内存中缓存空间占用过大,就会给其它应用带来负面影响。我们现在要创造的是一种和谐的“社会”,所以不能够牺牲其他应用来成就Web服务。
第二,如果缓存的数据确实需要存储到磁盘上,那么有什么方式可以提高本地磁盘上的数据的检索速度呢?笔者认为,管理员最好采用本地驱动器作为缓存的存储位置,而不需要使用网络驱动器。因为用户访问网络驱动器的速度要比访问本地驱动器慢许多。
第三,文件系统的选择。虽然Forefront安全网关缓存机制对于文件系统没有特别的规定,如Fat32与NTFS文件系统都可以使用。但是笔者建议,最好还是使用NTFS文件系统。这主要是因为NTFS文件系统能够提供更高的性能与安全性。
第三,规划物理磁盘的缓存位置时需要考虑到不同应用之间的争用问题。因为磁盘的I/O是受到一定限制的。如果将缓存文件与操作系统或者Forefront系统部署在同一个磁盘上,那么在运行的时候,这些系统都需要从磁盘中读取数据。此时就可能会发生I/O征用的情况。为此笔者建议,最好将存储缓存文件的磁盘与安装有操作系统或者Forefront系统的磁盘分开,以避免I/O争用影响请求的性能。
第四,如果在大型的部署中,管理员还可以通过阵列来实现缓存机制,进一步提高性能。在阵列中Forefront安全宦官使用缓存阵列路由协议为阵列中的所有服务器提供单个逻辑缓存。不过需要用到这么复杂的设计并不是很多。笔者在这里也就不过多展开。
总之,Forefront安全网关的Web缓存机制,只要部署得到,可以明显提高Web服务的性能,实现安全与性能两不误。
来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/22903963/viewspace-661633/,如需转载,请注明出处,否则将追究法律责任。
转载于:http://blog.itpub.net/22903963/viewspace-661633/
扫一扫
493
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
