利用Forefront管理用户的Web访问

互联网是一把双刃剑。其即能够提高企业员工的办事效率，同时也会给企业的内部网络带来安全隐患。而且企业管理者也担心企业员工不干正事，上班时间打网游等等。在现实工作中，员工与企业安全管理人员经常会猫抓老鼠的游戏。为了提高企业内部网络的安全，限制用户访问为经授权的网站，笔者这里推荐的工具是 Forefront。Forefront可以对相关流量进行检查与过滤。即能够起到防止木马、病毒等侵扰企业内部网络，也可能限制用户的互联网访问。在这片文章中，笔者就谈谈相关的内容。

一、控制内部用户访问Web服务的方法

在实际工作中，网络安全管理人员出于种种原因，往往需要限制内部用户访问互联网上的网站。如规定在上班时间不能够访问财经类网站等等。要实现这个需求的话，就可以使用Forefront来实现。

到目前为止，Forefront主要提供了四种安全机制。

第一是全部禁止。即企业内部用户在某个时间段内都不能够访问互联网。这个措施可能有点极端，一般企业都不会采取这种一刀切的方式。所以其应用的没有像下面三种方式这么普遍。

第二是根据Web目标来禁止。如有可能不希望用户访问QQ、淘宝等娱乐网站。此时就可以通过URL地址来限制对特定网站的访问。另外这种方式还可以通过URL类别或者类别集来拒绝其他员工访问相关的网站。在实际工作中，这是使用的比较频繁的一种方式。

第三是根据计算机的IP地址来进行限制。注意这里的IP地址指的是企业内部的主机，而不是外部Web服务器的IP地址。如笔者现在的公司，一般不允许仓库、生产等部门员工访问互联网。这些用户其只能够访问企业内部的网络。此时就可以将这些部门的IP地址限制为一段的范围内，然后对这个范围内的 IP地址进行限制，拒绝他们访问互联网络。

第四是根据类型来进行限制。在实际工作中有时候管理比较人性化。如员工只要不在上班时间听歌、看电影就行。此时就需要根据内容来进行过滤。如可以根据MIME类型或者扩展名来限制或者允许用户访问哪些类型的文件。最常见的三就是限制对MP3或者WAV等文件的访问。另外，有时候企业可能会有视频会议等应用。这些应用对带宽有比较高的要求。而用户访问MP3或者WAV文件又会占用比较多的带宽，容易与视频应用产生冲突。在这种情况下，限制用户对 MP3或者WAV文件的访问，是一个不错的选择。

二、在安全性与性能之间获得均衡

通过以上这种手段过滤之后，往往会对用户正常访问产生一种负面的影响。因为相关的数据需要经过Forefront服务器筛选与过滤。也就是说这多了一个中间的环节。为此安全人员就有必要在系统安全性与访问性能之间进行均衡。笔者的建议是，如果有必要，可以采用Web缓存来提高用户的访问速度。

在Forefront安全网关中提供了一个可以改进的Web请求的性能并缩短对其响应时间的缓存机制。如果各位读者对数据库有所了解的话，就知道在数据库中为了提高用户的访问速度，会将一些用户经常访问的数据放到缓存中。此时用到的就是数据库的缓存机制。Forefront提供了缓存机制跟数据库的缓存机制类似，在它的缓存中也保存着内部或者远程用户需要经常访问到的内容。最常见的就是，会将用户的密码与用户名保存在缓存中。如此的话，当下次用户登录的时候，就不用再去与硬盘中的信息进行核对，而直接利用缓存中的信息进行匹配。这么操作，就可以大幅度的提高用户登录时的效率。通常情况下，如果使用Web缓存机制的话，能够给企业带来如下的收益。

一是可以降低建立Inernet连接所需要的带宽，以减少已发布的Web服务器上的负载。如现在企业将某个Web服务器放置在互联网上(如让 ISP进行托管)。此时用户访问这个Web服务器的话，就需要占用Inernet的带宽。在这种情况下，如果在企业的Forefront服务器上实现 Web缓存机制，那么用户访问Web服务器时，有些常规的内容就不需要到Web服务器上去获取，而直接从Forefront服务器的缓存中得到。如此的话，就可以降低建立Internet连接所需要的带宽。特别是对于ADSL拨号上网的用户，能够带来很好的体验。

二是可以更快的访问所请求的内容。因为数据是从Forefront缓存中获得，不需要连接到Internet服务器上去获取数据。所以从用户的角度讲，其能够更快的得到其所需要的信息。在实际工作中，我们往往会根据Web服务器的内容来设置缓存的大小。如对于信息的及时性要求不高，或者说Web 服务器上的内容不怎么更新(如是企业员工的联系信息)，此时我们往往会设置比较大的缓存空间。最好能够将相关的信息都缓存在Forefront服务器上。如此的话，对于那些常规信息，就都可以从Forefront服务器中取得，而不需要再去访问Web服务器。从而在保证安全的前提下，给用户提供比较好的性能。

在实际工作中，要实现缓存的话，需要注意以下内容：

一是选择缓存的地方。在日常工作中，通常可以将数据缓存在内容或者硬盘中。一般对于数据库来说，其缓存指的是内存中的区域。而对于 Forefront的Web缓存机制来说，还包括硬盘。这主要是因为后者所包含的数据要比数据库中多的多。大部分情况下，内存不能够满足用户在缓存方面的需求。所以专门提供了硬盘中某块区域来存放缓存数据。不过由于硬盘的工作原理与内存不同，在具体的配置与使用上，两者还是有很大的区别。总的来说，在同等条件下，硬盘作为缓存区域，其在性能上不如内存。而且在使用过程中，也受到比较多的限制。一般来说，用户访问内存的速度要比访问硬盘的速度快的多。为此 Forefront服务器的Web缓存机制，往往将最常用的数据同时保存到内存与硬盘中，但是其往往是先访问内存中的数据。

二是需要注意，如果是在硬盘上实现缓存机制的话，其所使用的文件系统与大小往往受到比较严格的限制。如一般情况下，单个硬盘上的缓存文件其最大只能够为64GB，不能过超过这个大小。其次出于安全考虑，所采用的文件系统最好也是NTFS文件系统。这个文件系统能够比FAT32等文件系统提供更高的安全性与更快的访问速度。

三是对硬盘性能的要求。众所周知，硬盘的访问速度不如内存。为此在实际工作中，将硬盘当作缓存区域只是一个不得已的选择。一般情况下，将硬盘作为缓存区域，往往考虑的不是性能问题，而是容量，或者说是一种相对的性能。如上面的案例中，某个Web服务器是部署在互联网上。当用户从内部访问时，可以将数据缓存到Forefront服务器的硬盘上(此时内存中不能够容纳这么多内容)。此时虽然性能没有内存缓存这么理想，但是至以比起直接访问互联网，性能有很大的改善。不过此时最好选择的仍然是性能比较高的硬盘，以提高缓存速度。

总之，Forefront不仅可以用来保障企业内部网络的安全，限制用户的非法访问。同时，如果对性能有要求的话，还可以通过Web缓存机制来提高用户访问的性能。

未经允许不得转载：DOIT » 利用Forefront管理用户的Web访问