Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Se voc gostaria de ler a primeira parte desta srie de artigos visite Otimizando o
desempenho no Forefront Threat Management Gateway (Parte 2).
Introduo
O Forefront Threat Management Gateway (TMG) 2010 firewall um gateway de
segurana de ponta integrado que fornece servios avanados de rede e de aplicativos de
proteo da camada. Ele executa baixo nvel inspeo de protocolo, aplicao profunda
inspeo de trfego camada, autentica os usurios, fornece baseada em reputao de
controle de acesso, e inspeciona comunicao HTTPS. Esses recursos avanados
consumir uma grande quantidade de recursos que podem potencialmente impedir
rendimento e apresentar atraso se o sistema est configurado incorretamente ou
dimensionada de forma inadequada. Neste artigo vamos discutir alguns problemas
comuns que podem levar a um desempenho ruim e falar sobre formas de melhorar e
otimizar a soluo.
Configurao de Hardware
Antes de iniciar qualquer discusso sobre o firewall TMG e desempenho, importante
que o hardware subjacente at a tarefa de apoiar TMG no papel em que ele ser
implantado. Recomenda-se que de alta qualidade de hardware do servidor de classe ou
de um aparelho de segurana dedicado ser usado. Para melhores resultados, essencial
que este hardware ser dimensionado correctamente para o seu ambiente e carga
esperada. Rede avanada TMG e capacidades de aplicao de camada de inspeo
impor demandas de recursos significativos do sistema, assim que ter poder de
processamento adequado, memria, disco e capacidade da rede de fundamental
importncia para a estabilidade eo desempenho geral da soluo.
Determinar quanto a capacidade de hardware necessrio para uma aplicao particular
um desafio, porque cada implementao nica e tem muitos fatores dependentes.
Para auxiliar na determinao de requisitos de hardware, a Microsoft disponibilizou o
Forefront TMG Ferramenta de Planejamento de Capacidade. Esta ferramenta permitelhe detalhes de entrada especficos sobre o seu ambiente e que vai oferecer conselhos
sobre especificaes de hardware com base no nmero esperado de usurios e largura
de banda que voc tem, bem como recursos de proteo que sero habilitadas. Planeje a
ser generoso com os recursos da CPU e memria para garantir o melhor desempenho,
acomodar picos imprevistos em uso, e para permitir espao para crescimento futuro.
Servios de infra-estrutura
anncio
O firewall TMG depende fortemente de suporte a servios de infra-estrutura para
realizar muitas de suas tarefas. O desempenho global da soluo depende de como os
servios, bem como o Active Directory e DNS esto realizando. Se houver problemas
com AD ou DNS, nenhuma quantidade de afinao no firewall TMG vai super-los. H
muitas coisas que podem dar errado com AD ou DNS. Fornecer uma lista abrangente
dos estaria fora do escopo deste artigo, mas aqui esto alguns problemas comuns que
consistentemente resultar em mau desempenho TMG:
A conectividade de rede - O desempenho ser impactado negativamente se o firewall
TMG no tem conectividade de rede confivel para AD ou DNS. TMG deve ser bem
ligado a esses servios, idealmente, eles esto localizados no mesmo local fsico e tem
conectividade gigabit. Certifique-se que quaisquer dispositivos intermedirios
(roteadores, switches, etc) so um bom desempenho e no mostram sinais de erros.
Configurao de site do Active Directory - Em vrias ocasies notei que firewalls de
baixo desempenho TMG foram autenticar contra controladores de domnio localizados
em diferentes localizaes geogrficas (em uma ocasio, em outro co ntinente!), Quando
havia os controladores de domnio localizados no mesmo centro de dados como TMG.
Isto causado pela configuradas incorretamente sites do Active Directory. Certifique-se
que sub-redes IP do Active Directory so adequadamente definidos e que um site do
Active Directory configurado que inclui controladores de domnio que so locais para
o firewall TMG.
Networking
Nos nveis mais baixos, o TMG firewall um firewall de roteamento que oferece
pacotes a partir de uma interface para outra, se a poltica permite. lgico que a
configurao de rede desempenha um papel importante no desempenho geral do
sistema. Aqui esto algumas configuraes importantes e recomendaes para otimizar
o throughput da rede e desempenho:
Porto velocidade e duplex - A velocidade da porta ou o desfasamento entre
configuraes duplex resultar no desempenho da rede extremamente pobre. Para o
funcionamento adequado, essas configuraes devem ser idnticas em cada conexo.
Isso significa que se voc optar por configurar manualmente as configuraes da
interface de rede do firewall TMG, voc tambm deve fazer essas configuraes
idnticas no switch ao qual ele est conectado. Se o interruptor estiver ligado a uma
switch no gerenciado, voc deve deixar o conjunto de firewall TMG de interface de
rede para negociao automtica. Voc no pode configurar manualmente um lado e
deixar o outro lado definido para negociao automtica. Nunca em nenhuma
circunstncia voc deve usar um hub em um ambiente de produo! Hubs so relquias
dos anos 80, quando NetBEUI ainda prevalecia. Mesmo um detector no gerenciado
ser muito melhor do que um cubo.
DNS Ordem Interface de Configurao de Rede / Encadernao - Este um dos erros
de configurao mais comuns e podem resultar na autenticao confivel e performance
baixa resoluo nome. Ao todo, mas os casos mais raros, os servidores DNS deve ser
configurado na interface de rede interna apenas. Alm disso, essencial que a interface
de rede interna em multi- homed firewalls ser configurado em primeiro lugar na lista
ordenada de interfaces de rede. Para mais informaes, consulte o meu artigo de reviso
de configurao DNS.
Segmentos de rede isolados - uma idia excelente para ter interfaces do firewall TMG
de rede localizados em segmentos de rede isolados, sempre que possvel. Fazendo isso
melhora a segurana e desempenho. Ele reduz o risco de camada dois ataques (por
exemplo, envenenamento de cache ARP) e faz descoberta de rede mais difcil. Se o
Network Load Balancing (NLB) habilitado isso se torna ainda mais importante. Por
padro, o NLB informaes de pulsao transmisses que ser visto por todos os hosts
no segmento. Tendo os firewalls configurados TMG em um segmento isolado limita as
emisses apenas para os hosts que necessitam dele.
Por outro lado, quando configurado como um cliente Web Proxy apenas 6 conexes TCP foram
obrigados a exibir a mesma pgina da web.
Se voc gostaria de ler a primeira parte desta srie de artigos visite Otimizando o
desempenho no Forefront Threat Management Gateway (Parte 1).
Introduo
O Forefront Threat Management Gateway (TMG) 2010 firewall um gateway de
segurana de ponta integrado que fornece servios avanados de rede e de aplicativos de
proteo da camada. Capaz de realizar de baixo nvel a inspeo de protocolo, aplicao
Evite usar negam regras que incluem 'todo o trfego de sada "e usar um nome do
domnio definido para o destino. Quando uma regra de acesso configurado dessa
maneira, o firewall TMG ser forado a realizar uma pesquisa de DNS inversa para
cada um dos pedidos que recebe, a fim de determinar se o endereo IP de destino est
includo no conjunto de Nome de Domnio. Isto ir degradar severamente o
desempenho e provavelmente sobrecarregar o servidor DNS.
Autenticao
anncio
Impondo usurio e grupo a autenticao baseada em trfego web proxy uma excelente
ideia. O processo de autenticao de usurios pode ser caro em termos de uso de
recursos do sistema, no entanto. Por padro, o firewall TMG usar NTLM para
autenticar usurios. Com NTLM, o firewall TMG estabelece um canal seguro para um
nico controlador de domnio no site do Active Directory ao qual ele pertence. Cada
pedido para que o firewall TMG deve autenticar sero processados atravs deste canal
nico e seguro. Em um cenrio onde o firewall TMG extremamente ocupado, esta
nica conexo pode rapidamente se tornar um gargalo, resultando em srios atrasos
recuperar pginas da web e solicitaes de autenticao para usurios autenticados
anteriormente.
Usando a autenticao Kerberos resolve este problema. Com Kerberos, o processo de
autenticao tratada pelo cliente, em vez de o firewall TMG. Quando o cliente faz um
pedido para que a autenticao necessria, o cliente entrar em contato com um
controlador de domnio e obter um tquete Kerberos para apresentar ao TMG firewall
para obter acesso (detalhes completos sobre a autenticao Kerberos pode ser
encontrada aqui). Autenticao Kerberos est d isponvel apenas para clientes Web
Proxy, e os clientes devem estar usando o Internet Explorer 7 ou posterior. Se o
navegador est configurado para usar Web Proxy Auto Discovery (WPAD) ou o script
de configurao automtica, o firewall TMG deve ser configurado para fornecer o
FQDN do servidor proxy no script de configurao automtica, como descrito aqui. Se
o navegador est configurado manualmente, o servidor proxy deve ser especificado
usando um FQDN, no um endereo IP.
Log
Por padro, o TMG registra todas as solicitaes para uma instncia local do SQL
Express que instalado com o software de firewall TMG. A infra-estrutura de registro
muito mais robusto no TMG do que nas verses anteriores do produto, fazendo com que
o log de desempenho menos de um problema que tem sido no passado. [Veja o meu
artigo Logging Melhorias no Forefront Threat Management Gateway (TMG) 2010 para
mais detalhes.] H, no entanto, algumas das melhores prticas a seguir para garantir um
desempenho ptimo registo.
Os arquivos de banco de dados de registro deve estar localizado em uma partio
separada, de preferncia em uma partio diferente da partio do sistema. De
preferncia, esta partio deve estar em um padro disk.By fsico separado, TMG
armazena os arquivos de log do banco de dados na partio do sistema. Para realocar os
arquivos de log do banco de dados para outra partio, abra o console de gerenciamento
do TMG e destacar os Logs e Relatrios n na rvore de navegao, clique em
Configurar o Firewall do registro no painel Tarefas. Clique no boto Opes ... boto ao
lado de banco de dados SQL Server Express (no servidor local), em seguida, selecione
Esta pasta (digite o caminho completo): e digite a nova unidade e caminho para
armazenar os arquivos de banco de dados de log. Para matrizes empresariais esta pasta
deve existir em todos os members.Once matriz completa, repita o processo clicando em
Configurar Logging Web Proxy.
A Figura 1
Se o firewall TMG extremamente ocupado, pode ser necessrio para mudar para o log
de arquivos de texto. Uma desvantagem de usar o log de arquivos de texto que ver os
dados de registro histrico na gesto TMG console no est mais disponvel. No
entanto, em termos de desempenho esta a melhor opo como o log de arquivos de
texto consome a menor quantidade de recursos do sistema. Para configurar o log de
arquivos de texto, siga os passos acima e selecione a opo Arquivo. Clicando no boto
Opes ... permitir que voc especifique onde os arquivos de log esto armazenados.
A Figura 2
cache
O firewall TMG tem a capacidade de armazenar em cache de objetos web
frequentemente solicitados e armazen- los na memria e no disco. As solicitaes
subseqentes para esses objetos so, ento, recuperado do cache e entregue ao cliente
em velocidades LAN, sem a necessidade de uma viagem ao servidor de origem para
recuperar o contedo. O cache certamente menos eficaz que era de cinco a dez anos
atrs, quando mais contedo web era esttica, mas o cache permitindo ainda pode
render de 10 a 20 por cento rcios de cache hit na maioria dos ambientes atuais. Tendo
at 20 por cento do seu trfego web sendo servidos do cache uma maneira rpida e
fcil de reduzir a utilizao da WAN e melhorar o desempenho para os usurios finais.
Para habilitar o cache, selecione o n Web Access Policy na rvore de navegao, e
clique em Configurar o cache da Web no painel Tarefas. Selecione a guia Cache Drives,
destacar um membro da matriz, em seguida, clique em Configurar .... Realce um disco
rgido para armazenar o cache, digite um valor no tamanho mximo do cache (MG): e
clique em Set.
A Figura 3
HTTP Compression
HTTP suporte de compresso no TMG permite que o firewall para solicitar e entregar o
contedo da web em um formato compactado com o gzip. Ativando compresso HTTP
consome CPU adicional, mas pode melhorar significativamente a taxa de transferncia
de rede quando o firewall TMG conectado a um link WAN lento.
Para habilitar a compactao HTTP, realce o n Web Access Policy na rvore de
navegao, e clique em Configurar a compactao HTTP no painel Tarefas. Na guia
Geral marque a opo Habilitar a compresso HTTP, selecione a solicitao
comprimido guia Dados e adicionar uma rede da qual a solicitar comprimido contedo
HTTP.
A Figura 4
resumo
Existem inmeros fatores que afetam a estabilidade eo desempenho geral do firewall
TMG. Neste artigo analisamos os efeitos da configurao de diretiva de firewall e de
autenticao no desempenho do sistema. Optimizao da poltica de firewall, colocando
regras simples antes de regras complexas e configurando clientes para utilizar
autenticao Kerberos trar melhorias significativas no desempenho. Ao fazer
alteraes nas opes de log padro e habilitar o cache de contedo e compresso HTTP
(quando aplicvel), podemos garantir que o firewall TMG estar realizando em seu
pico.