|
|
知识路径: > 网络安全 > ISA Server应用配置 >
|
|
相关知识点:2个
|
|
|
|
|
在确定了哪种容量情况可以满足需要之后,下一个任务就是加以优化以便获得最佳性能。对于企业级ISA Server,这意味着设计充足的硬件资源,使系统的CPU能力作为可能的资源瓶颈。对于单台入门级ISA Server计算机而言,可能的瓶颈是Internet带宽而非选择的处理器。
|
|
|
|
(1)优化硬件以实现最高的CPU使用率。ISA Server容量取决于CPU、内存、网络和磁盘硬件资源。每种资源都有容量限制,只要所有资源的使用都不超过其上限,系统在整体上就能正常运行,从而可以达到其性能目标。如果达到了其中的某一限度,性能就会显著下降,从而产生瓶颈。每个瓶颈在系统整体性能中都有其症状,可以帮助检测容量不足的资源。在发现性能瓶颈之后,可以通过增加其容量不足的资源的容量来消除瓶颈。从成本的角度看,设计一个受CPU资源约束的系统是最高效的,因为它是升级成本最高的资源。其他资源短缺问题的解决成本则相对较低:添加另一个磁盘,添加另一个网络适配器,或增加内存等。
|
|
|
|
(2)确定CPU和系统体系结构容量。与大多数为大量客户端请求提供服务的服务器应用程序一样,CPU速度的提高、处理器缓存的增加和系统体系结构的改进都会提高ISA Server的性能。
|
|
|
|
(3)确定内存容量。ISA Server内存用于存储网络套接字(主要来自于非分页池)、内部数据结构和未决的请求对象。对于Web代理缓存的情况,内存还用于磁盘缓存目录结构和内存缓存。由于ISA Server要处理大量需要系统非分页内存的并发连接,因此内存限制因素是非分页池的大小,而这是由总的内存大小决定的。
|
|
|
|
(4)确定网络容量。网络连接上存在的每个网络设备都有其容量限制。这些设备包括客户端和服务器网络适配器、路由器、交换机,以及将它们相互连接起来的集线器。足够的网络容量意味着这些网络设备的任何一个都不会处于满负荷状态。监视网络活动对于确保所有网络设备的实际负荷低于它们的最高容量是必不可少的。
|
|
|
|
(5)确定磁盘存储容量。ISA Server将磁盘存储用于对防火墙活动进行日志记录和Web缓存。如果两者都被禁用,或如果没有流量,ISA Server将不执行任何磁盘I/O活动。在典型的ISA Server设置中,日志记录功能处于启用状态,并被配置为使用Microsoft SQL Server 2005 Desktop Engine(MSDE)日志记录。对于大多数部署,单个磁盘足以满足最高的日志记录速度。
|
|
|
|
(6)应用程序和Web筛选器。ISA Server使用应用程序筛选器来执行应用层安全检查。应用程序筛选器是注册到特定协议端口的动态链接库。只要有数据包发送到此协议端口,它就会被传递给应用程序筛选器,筛选器将按照应用程序逻辑对其进行检查并根据策略来确定如何进行处理。如果没有为协议指定应用程序筛选器,数据将进行TCP状态筛选。在此级别,ISA Server只检查TCP/IP标头信息。
|
|
|
|
(7)日志记录。ISA Server提供了两种主要的方法来对防火墙活动进行日志记录:
|
|
|
|
.MSDE日志记录。此方法是用于防火墙和Web活动的默认日志记录方法。ISA Server将日志记录直接写入MSDE数据库,允许对所记录的数据进行联机高级查询。
|
|
|
|
.文件日志记录。通过此方法,ISA Server按顺序将日志记录写入文本文件。
|
|
|
|
比较两种方法可以看出,MSDE具有更多功能,但它也使用更多系统资源。具体来说,如果从MSDE日志记录切换到文件日志记录,可以预测处理器使用率总体上会提高10%~20%。
|
|
|
