Tối ưu hóa hiệu suất trên Forefront TMG – Phần 1

Quản trị mạng – Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số hệ số ảnh hưởng đến sự ổn định và hiệu suất của tường lửa TMG. Tường lửa Forefront Threat Management Gateway (TMG) 2010 là một cổng bảo mật tích hợp có khả năng cung cấp các dịch vụ bảo mật lớp ứng dụng và lớp mạng nâng cao. Nó có thể thực hiện thanh tra giao thức ở mức thấp, thanh tra lưu lượng lớn ứng dụng, xác thực người dùng, cho phép điều khiển dựa trên danh tiếng và thanh tra...
Nội dung trích xuất từ tài liệu:
Tối ưu hóa hiệu suất trên Forefront TMG – Phần 1 Tối ưu hóa hiệu suất trên Forefront TMG – Phần 1Quản trị mạng – Trong phần này chúng tôi sẽ giới thiệu cho các bạn một số hệsố ảnh hưởng đến sự ổn định và hiệu suất của tường lửa TMG.Tường lửa Forefront Threat Management Gateway (TMG) 2010 l à một cổngbảo mật tích hợp có khả năng cung cấp các dịch vụ bảo mật lớp ứng dụng v àlớp mạng nâng cao. Nó có thể thực hiện thanh tra giao thức ở mức thấp, thanhtra lưu lượng lớn ứng dụng, xác thực ng ười dùng, cho phép điều khiển dựa trêndanh tiếng và thanh tra truyền thông HTTPS. Các tính năng nâng cao n ày tiêutốn rất nhiều tài nguyên và có thể cản trở thông l ượng và làm chậm nếu hệthống được cấu hình không đúng hoặc được kích thước không thích hợp.Trong bài này, chúng tôi sẽ giới thiệu cho các bạn một số vấn đề chung có thểdẫn đến tình trạng nghèo hiệu suất và bên cạnh đó là một số cách cải thiện vàtối ưu giải pháp.Cấu hình phần cứngTrước khi bắt đầu bất cứ thảo luận nào về tường lửa TMG và hiệu suất, mộtđiều quan trọng cần l ưu ý đó là phần cứng nằm bên dưới đối với nhiệm vụ hỗtrợ của TMG trong vai tr ò mà nó được triển khai. Cách tốt nhất l à chúng ta nênsử dụng phần cứng lớp máy chủ chất l ượng cao hoặc thiết bị bảo mật chuyêndụng. Để có kết quả tốt nhất, phần cứng cần phải đ ược kích thước đúng cáchcho môi trường của nó và có lượng tải thích hợp. Tính năng thanh tra lớp ứngdụng và lớp mạng nâng cao của TMG có thể lạm dụng đáng kể t ài nguyên phụthuộc vào hệ thống, vì vậy để có được sức mạnh xử lý thỏa đáng, bộ nhớ, dunglượng ổ đĩa và mạng chính là điều quan trọng mang tính nền tảng đối với sự ổnđịnh và hiệu suất cao của giải pháp.Việc xác định được dung lượng phần cứng yêu cầu là bao nhiêu cho m ột thựcthi cụ thể là hết sức khó khăn, nguyên nhân là m ỗi một triển khai mang tínhduy nhất và có nhiều hệ số phụ thuộc. Để hỗ trợ việc xác định các yêu cầu vềphần cứng, Microsoft đã giới thiệu công cụ Forefront TMG Capacity PlanningTool. Công cụ này cho phép bạn có thể nhập vào các chi tiết cụ thể về môitrường của mình còn lại nó sẽ cung cấp lời khuyên về các chi tiết kỹ thuật phầncứng bằng cách dựa trên số lượng người dùng mong đợi và băng thông mà bạncó cũng như các tính năng bảo vệ sẽ được sử dụng. Cần có một kế hoạch d ưthừa đối với CPU và bộ nhớ để bảo đảm có được hiệu suất tốt nhất, đây cũng l àbiện pháp dự phòng trong các trường hợp cần mở rộng sau này.Các dịch vụ cơ sở hạ tầngTường lửa TMG dựa phần lớn vào việc hỗ trợ các dịch vụ cơ sở hạ tầng đểthực hiện các nhiệm vụ của nó. Hiệu suất tổng thể của giải pháp phụ thuộc v àocách các dịch vụ chẳng hạn như Active Directory và DNS hoạt động tốt nhưthế nào. Nếu tồn tại các vấn đề với Active Directory hay DNS sẽ không cócách nào điều khiển TMG để khắc phục được vấn đề hiệu suất. Tuy có nhiềuthứ có thể đi sai lệnh đối với Active Directory hoặc DNS nh ưng chúng tôi sẽkhông cung cấp một danh sách toàn diện những vấn đề mà chỉ nêu một số vấnđề chung có thể làm giảm đáng kể hiệu suất của TMG đó là:Kết nối mạng – Hiệu suất có thể bị ảnh h ưởng khá tiêu cực nếu tường lửaTMG không có kết nối mạng tin cậy với Active Directory hoặc DNS. TMGcần phải được kết nối tốt với các dịch vụ này; lý tưởng khi chúng được đặttrong cùng vị trí vật lý và có kết nối tốc độ gigabit. Cần bảo đảm tất cả cácthiết bị trung gian như router, switch,… đều làm việc tốt và không có xuất hiệndấu hiệu lỗi.Cấu hình site Active Directory – Đôi khi hiệu suất nghèo cũng có thể do t ườnglửa TMG thực hiện xác thực các domain controller định vị trong các v ùng địalý khác nhau. Điều này bị gây ra bởi cách cấu hình các site Active Directorykhông đúng. Do đó cần bảo đảm rằng các Active Directory IP subnet phảiđược định nghĩa đúng và site Active Directory được cấu hình có chứa cácdomain controller nằm cùng với tường lửa TMG.Nối mạngỞ mức thấp nhất, TMG là một tường lửa định tuyến có tác dụng phân phối dữliệu từ một giao diện n ày tới giao diện khác nếu chính sách cho phép. Nh ư vậycấu hình mạng đóng vai trò quan trọng trong vấn đề hiệu suất của hệ thống.Đây là một số thiết lập cấu hình chính và các khuyến nghị tối ưu thông lượngcũng như hiệu suất mạng:Tốc độ cổng và chế độ song công – Lỗi tốc độ cổng hoặc thiết lập song công(duplex) sẽ làm giảm hiệu suất mạng một cách khủng khiếp. Để hoạt độngđúng, các thiết lập này phải giống như tại các kết nối. Điều đó có nghĩa rằngnếu bạn thực hiện cấu hình thủ công các thiết lập trên giao diện mạng củatường lửa TMG thì bạn cũng phải thực hiện thiết lập nh ư vậy trên switch mànó được kết nối đến. Nếu switch mà nó kết nối đến là một switch tự do, bạncũng phải đặt các thiết lập của giao diện mạng t ường lửa TMG ở chế độ auto -negotiate (t ự đồng điều đình). Bạn không thể cấu hình một phía này thủ côngvà phía kia để tự động. Dù bất cứ tình huống nào cũng không nên sử dụng hubtrong môi trường sản xuất.Cấu hình DNS/ Thứ tự liên kết giao diện mạng – Đây l ...