在部署安全产品的时候,管理人员往往需要考虑如何在安全与性能之间取得均衡。任何一款安全产品,总会降低现有网络的性能。因为毕竟中间多了一个处理环节。现在的问题是,这个后果是否在用户可以忍受的范围之内?如果明显降低现有应用的性能,那么管理人员就必须对其进行优化。Forefront系统也不例外。在这篇文章中笔者就谈谈性能优化的基本思路及可行的措施。笔者将此总结为四步走。
第一步:性能优化规划
没有目标的话,大部分事情都干不好。性能优化尤其如此。因为性能优化本来就是一个虚无缥缈的内容。如果没有既定目标的话,就很难办。笔者认为,对于Forefront安全系统来说,性能优化的第一步是制定可以接受的性能基线。
如现在有一家企业,他们要部署Forefront系统来保障企业内部网络的安全。在部署之前,最好先对企业的当前网络状况进行一个评估。如这家企业可能上了ERP系统,那么就可以先对这ERP系统的性能进行评估。如用户登录系统的速度、生成一张复杂报表(如安全库存报表)所需要的时间等等。然后在这个基础之上,对上Forefront系统之后的性能指标进行预测。如果部署了Forefront之后系统的性能明显下降,那么就要根据这些指标来对部署后的系统进行性能的优化。
总之,在性能优化中,要根据企业的实际情况来制订一条可以被用户所接受的性能基线(至少是大部分用户都可以认同)。如果不这么做,没有定义系统所需功能的性能参数,那么在后续优化的时候,就好像大海捞针,很难找到下手的地方。打一个形象的比喻。这就好像是病人的抽血检验单。单据上一般都有三列内容:指标的名称、指标的标准值、指标的实际值。将实际值与理论值进行对比,医生就可以判断哪个指标有问题。然后再抽丝剥茧的去分析造成这个指标不正常的原因,并找出对应的措施。性能优化跟这个抽血检验是相同的道理。没有一个基线,管理员就很很难确定性能需要优化的区域。为此笔者强烈建议,在性能优化的时候,第一步就是要制定可以接受的性能基线。
第二步:对比数据分析性能薄弱环节
基线定义完之后,接下去就需要搜集企业实际的性能数据。然后将实际收集到的内容与基线进行对比,找出企业性能的薄弱环节。或者说,对照最佳性能对收集到的性能数据进行评估。在这个步骤中,笔者要强调以下两个问题。
一是要将服务器端与客户端分开评估。在收集实际性能数据的时候,大家会发现部署了Forefront系统之后,其对于服务器与客户端的性能影响是不同的。一个比较特例的情况就是系统部署之后,服务器的性能下降了,但是客户端的性能反而上升了。这里面的原因很复杂。总之一个基本的原则,就是客户端与服务器端需要分开评估。只有如此最后得到的结果才会比较切合实际。
二是要抓住重点、抓住主要矛盾。笔者认为,相对来说部署Forefront系统这后,对于服务器的影响是最大的。特别是客户端数量一多,每次进行更新(假设从WSUS服务器进行更新),服务器的性能就会明显下降。
第三步:性能优化实施
以上两个步骤完成之后(薄弱环节与性能评估数据都有了),接下去就可以开药方,进行具体的治疗了。在这一步中,笔者认为可以采取如下措施。
一是增加服务器或者客户端的资源。如可以升级服务器的CPU或者内存,来提高计算机的数据处理能力。或者说,将原来的存储系统进行升级,由单块硬盘升级为磁盘阵列。当然,具体的措施还是需要根据第二步的评估结果来。如由于是磁盘的I/O问题所导致的性能下降,就可能需要通过磁盘阵列来解决。
二是对内存资源进行规划。如Forefront服务器可能跟其他应用服务部署在同一台主机上。此时不同的服务可能会争夺资源。如当客户端进行升级更新的时候,WSUS服务就会占用比较多的内存。从而就会影响到同一台主机上的其他服务的正常运行。由于客户端更新作业并不是经常发生。为此增加内存虽然可以解决问题,但是投资比较大。在这种情况下,比较合理的做法是对内存资源进行限制。如设置最多运行Forefront服务可以使用的内存,即设置各种服务内存资源使用的上限,以最大程度上保障不同服务的独立性,防止因为某种服务占用了比较多的资源而给其他服务造成不利的影响。
三是调整网络系统的相关设置。有时候企业网络的性能可能根源不在于Forefront系统。或者说,Forefront系统其只是一个导火线,将原来就存在的网络性能问题暴露出来了。在这种情下,管理人员就需要深入进行分析。比如有一次笔者给客户部署Forefront系统的时候,就遇到过这种问题。他们上了Forefront之后,视频会议系统就特别的卡。在这之前,视频会议虽然不怎么流畅,但是还可以接受。还好笔者还有思科网络方面的基础。经过分析之后,发现主要是企业网络流量的问题。当用户通过电炉、BT等工具下载软件或者电影的时候,视频就明显会有一卡一卡的现象。为此笔者就对网络参数进行了调整,对流量采取了优先级管理。多媒体信息具有优先通过的权利。通过这个调整之后,问题就解决了。这个案例给魏的提示是,性能优化是一个比较综合的问题。当Forefront在这里扮演的是“导火线”角色时,问题就会变得复杂,因为原因比较难找。在这种情况下,往往需要对网络系统进行相关的调整。
第四步:性能优化追踪
以上内容完成之后,接下去要做的工作,就是对最后的成果进行评估。也就是说,优化完成一段时间后,如一个星期或者一个月以后,再对企业网络性能的数据进行收集。然后将这个数据与网络性能基线、上次收集到的数据进行对比。就如此治疗一段时间后再抽血检查,以判断治疗是否起到了预期的效果。
最后笔者给一个小小的建议。如果看了这篇文章对性能优化还是云里雾里的话,那么笔者建议就去找一张化验单。看看化验单中的内容,在性能优化方面会给我们不少的启示。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
Forefront中实现Web缓存安全性能两不误
在实际工作中,Forefront在企业网络中可以充当网关的作用。那么如何在Forefront中实现Web缓存安全与性能两不误呢?
-
ForeFront日志文件管理五大技巧
无论是在故障排除还是在性能优化过程中,日志文件都能给管理员提供很大的帮助。对于ForeFront系统来说,日志管理有其特殊性。本文介绍了ForeFront日志文件管理的五大技巧。
-
网络安全 巧用FOREFRONT为ERP助力
ERP软件数据集中的特点提高了企业运行效率,然而ERP软件不是万能的,在实际使用中总会带来很多的安全和控制问题……
-
从成熟走向创新直击微软最新安全方案
在2006年微软就逐步把主要的安全产品整合集成在一个产品系列-Forefront中。本文解读了新一代Forefront的开发理念和最终目标,展望了Forefront未来将带来的革新。