Forefront TMG日志记录功能

访问日志是边界安全设置不可或缺的一个重要组成部分。准确、可靠地记录防火墙允许或拒绝的访问请求对于系统安全事件审计、故障排除和使用情况报告来讲极为重要。在许多组织中，日志记录是调整安全策略的重要依据，也是弥补安全漏洞所依赖的分析手段。本文将介绍Forefront TMG 2010日志基础架构在原有基础上所进行的一些改善。

本地数据库日志记录

默认情况下，需要将TMG配置为登录到与TMG一起安装的本地SQL 2008 Express数据库。相对于之前利用MSDE(MS SQL Server Desktop Engine)的ISA早期版本，这是一项重大改进。作为MS SQL的桌面引擎，MSDE目前尚未被企业大规模采用。有过复杂ISA防火墙基础架构管理经验的用户对MSDE的局限性应该有所了解。一旦有较大负载，MSDE数据库将很快成为一个瓶颈。当防火墙无法写入日志数据库时，防火墙服务将关闭并拒绝所有流量。MSDE另外还有一些额外的限制，包括工作负载管理(Workload Governor)及2GB的数据库文件大小限制。相比之下，SQL 2008 Express数据库则将文件大小限制提升至4GB，并且不再进行工作负载管理，因而性能更为强大。当然，它也有自身的一些局限性，但仅限于一个单一的CPU插座和1GB的内存。

远程数据库日志记录

TMG还可以配置为登录到远程SQL服务器，这也提供了一种突破本地SQL Server 2008 Express数据库安装限制的替代方案。这种选择有优势也有劣势。一个明显的优势就是可以利用SQL的核心版本，即标准版或企业版。这两种SQL版本均没有可用内存数量的限制，并且SQL企业版也没有对CPU的限制(但SQL标准只限于使用4个CPU)。当然，用户需要有一个独立的系统和一个SQL许可，但对于大多数组织这些都不是限制因素。使用远程SQL服务器也有一些缺点，由于TMG报告工具依赖安装在本地的SQL报告服务(SQL Reporting Services )进行操作，因此TMG的本地报告工具将不再起作用。用户可以选用一些一些优秀的第三方报告工具作为替代品，也可自行开发自定义报告。但是必须注意，TMG防火墙和远程SQL服务器之间的网络连接可能会成为一个瓶颈。为了达到最佳性能，务必确保有足够、稳定的网络带宽。