服务器 频道

陷阱还是馅饼?TMG升级经验总结(图)

  【IT168 专稿】从去年年底开始,我开始负责公司的ISA2006服务器升级项目,目标是把ISA2006升级到最新版的TMG2010 SP1。经过三个多月的努力,终于基本达到了预期目标。任务完成之余,回顾项目经历,有一些经验和大家分享一下,供有意升级ISA2006的朋友们参考。

  一、TMG升级评估

  现有的ISA2006是否需要升级到TMG?工程师只要想升级ISA2006,一定会被领导问这个问题。要回答这个问题,首先要评估升级后的收益。俗话说,无利不起早嘛。相比ISA2006,TMG2010的新增功能大致有下列内容:

  1、企业级的安全整合和管理

  2、架构变更与提升

  3、Web非法软件扫描与过滤

  4、路由架构改进

  5、网络入侵保护系统

  6、邮件安全传输与过滤

  7、人性化管理与集成操作

  这些功能乍一看都不错,但究竟能用到哪些,这就要结合自己的实际环境好好分析分析了。我们升级TMG主要是基于哪些考虑呢?首先,TMG的架构变更对我们很有吸引力。ISA2006使用X86架构,X86架构管理高性能服务器时有些力不从心。我们ISA2006服务器的硬件很好,4颗4核CPU的刀片服务器,16G内存,但ISA2006只使用了3G内存,让人感觉硬件资源浪费得很严重。ISAf2006升级到TMG之后,TMG2010使用X64架构,管理硬件资源要好上很多。至少内存使用达到8G以上了,感觉硬件利用率提升了不少,小赚了一笔。

  其次,TMG提供的ISP冗余功能我们也很感兴趣。ISP冗余支持TMG服务器使用两条ISP链路,而且可以在两条ISP链路上选择故障转移模式或负载平衡模式。我们公司的业务对互联网有很强的依赖性,虽然我们选择的电信运营商可靠性不错,很少掉链子,但毕竟不能把鸡蛋都放到一个篮子里啊。所以对使用单ISP接入方案我们还是有些小小的忐忑不安,现在有了ISP冗余,那就可以选择两家可靠的电信运营商来设计一套高可用的ISP接入环境,这下就可以踏踏实实地把心放到肚子里了。

  我们升级还有一个技术之外的原因,那就是我们的领导是微软的骨灰级粉丝,对微软产品的最新版本有非常浓厚的兴趣。一般来说,只要微软服务器出了SP1,基本上领导就要督促我们考虑升级问题了。这些年我们总是第一时间体验微软的服务器产品,积极升级,积极测试,积极排错,给微软产品改进做出了相当大的贡献啊。

  看到这儿,有些朋友可能就要问了:“不对啊,TMG还有很多改进功能啊,怎么没听到你提啊,是不是你这家伙偷懒啊”?其实还真不是我偷懒,有些功能不错,但并不适合我们的环境。比如,网络入侵检测保护是个不错的功能,可是这个功能需要专门的许可证,是收费的,现在这年头,一提到钱就容易伤感情…..所以还是算了吧。再举个例子,Web非法软件扫描中包括了一个URL筛选功能,其实就是微软做的一个上网行为管理系统。这个功能看起来也不错,系统可以根据用户的访问地址,自动判断出用户是访问一个正常的商业站点,还是访问一个娱乐站点,甚至是访问非法的色情,赌博站点。如果用户访问的目标地址异常,例如在上班时间访问playboy的网站,URL筛选可以自动限制用户的访问行为。这个功能看起来不错,可是我们测试了一下,发现这套系统对国内互联网公司的识别准确率实在是差点意思。在URL筛选中输入我们公司的网址,结果把我们这个金融公司识别成了房地产公司,这也就算了。我们再用www.163.net测试一下,居然把这个老牌的邮件运营商识别成了色情公司(目前这个问题已经被修正),我们想了又想,实在是不敢启用这个功能。万一哪天这个功能导致用户无法访问正常的业务系统,我们就麻烦了。算了,不求有功,但求无过,还是别折腾了。大家一定要相信一点,稳定是压倒一切的!

  说了这么多,其实就一个意思,ISA2006是否需要升级并没有标准答案,应该根据自己的使用环境,因地制宜地进行决策。如果目前使用的产品可以满足需求,新产品的功能又基本使用不上,那我的建议是可以考虑不升级,毕竟升级是有风险的,没有明显的收益就没必要去做了。如果目前的产品无法满足需求,而且我们又拥有升级所需要的资源(往往升级后对硬件资源的需求会提高),那就不妨积极地体验一下最新版本带来的新功能。

0
相关文章