對(duì)服務(wù)器工作負(fù)載進(jìn)行虛擬化已經(jīng)成為越來越普遍的方法，能夠幫助更有效地利用計(jì)算機(jī)硬件以及輔助設(shè)備。虛擬化為數(shù)據(jù)中心管理員提供了很多好處，雖然需要適當(dāng)?shù)馗淖儎?chuàng)建和管理部署設(shè)備的方式。服務(wù)器應(yīng)用程序虛擬化是更為艱巨的任務(wù)，因?yàn)樵诙鄠€(gè)服務(wù)器工作負(fù)載間適當(dāng)分配硬件存在復(fù)雜性。要將不能共存于同一臺(tái)機(jī)器的應(yīng)用程序在相同主機(jī)的多個(gè)子分區(qū)(Child partition)間進(jìn)行結(jié)合，確實(shí)存在規(guī)格和安全方面挑戰(zhàn)。同時(shí)，網(wǎng)絡(luò)虛擬化和母分區(qū)(Parent partition)失效時(shí)導(dǎo)致多個(gè)同步服務(wù)器失效的問題也帶來安全和可用性問題。

　　本文將圍繞部署Microsoft ISA Server和硬件虛擬化的Microsoft forefront TMG提供具體的指導(dǎo)方案，同時(shí)，強(qiáng)烈推薦你們認(rèn)真閱讀“相關(guān)參考資料”中提供的資料。

　　支持虛擬環(huán)境

　　Microsoft ISA Server 和Forefront TMG只能在下列程序下得到硬件虛擬化的支持：

　　·Microsoft Support Lifecycle

　　·Microsoft ISA Server 系統(tǒng)要求

　　·Forefront TMG系統(tǒng)要求

　　·Microsoft Server Virtualization Validation Program (SVVP)

　　·Microsoft軟件在非Microsoft硬件虛擬化軟件上運(yùn)行的支持政策

　　例如，如果硬件虛擬化平臺(tái)被列為“通過SVVP驗(yàn)證”(不是“評(píng)估中”)，Microsoft ISA Server 和Forefront TMG將支持在該平臺(tái)上進(jìn)行生產(chǎn)用途，Microsoft Product Support Lifecycle、非Microsoft硬件虛擬化政策和相應(yīng)產(chǎn)品版本的系統(tǒng)要求中有使用限制。

　　對(duì)于沒有列為“通過SVVP驗(yàn)證”的硬件虛擬化平臺(tái)，Microsoft ISA Server和Forefront TMG只能根據(jù)其他Microsoft支持政策得到支持，限制情況如下：

　　·Desktop virtualization，如Microsoft Virtual PC或者類似第三方產(chǎn)品：僅支持示范和教育用途

　　·Server Virtualization，如Microsoft Virtual Server 或者類似的第三方產(chǎn)品，支持生產(chǎn)用途，但不推薦

　　重要提示：

　　正如MSKB 897615中所指出的，微軟支持工程師在繼續(xù)檢查問題前，可能會(huì)要求客戶在真正硬件或者SVVP列表硬件虛擬化平臺(tái)上重現(xiàn)報(bào)道的問題，如果問題不能在硬件上或者相同級(jí)別的SVVP列表服務(wù)器虛擬化產(chǎn)品上重現(xiàn)，那么問題可能會(huì)被轉(zhuǎn)移給第三方廠商產(chǎn)品支持。

　　部署規(guī)劃

　　任何外圍保護(hù)部署的主要部署標(biāo)準(zhǔn)都是安全、穩(wěn)定和性能，確定這三者的優(yōu)先順序都需要深入分析企業(yè)的LOB(業(yè)務(wù)線，line-of-business)應(yīng)用需求，一般需求和網(wǎng)絡(luò)安全需求以及所有法律規(guī)章等才能得出結(jié)論。雖然很難解決所有可能出現(xiàn)的問題，不過本文將概述最常見部署的關(guān)鍵問題。

　　這是個(gè)不變的事實(shí)，由于在虛擬機(jī)之間的資源共享，在專用硬件上運(yùn)行的服務(wù)器應(yīng)用程序?qū)?huì)比在類似虛擬環(huán)境(相同數(shù)量相同等級(jí)的CPU，相同的內(nèi)存等)運(yùn)行的相同應(yīng)用程序效果更好。例如，流量處理負(fù)載可能會(huì)將基于硬件的ISA占到80%的CPU，可能會(huì)為同樣配置的虛擬ISA服務(wù)器產(chǎn)生一個(gè)拒絕服務(wù)(DoS)，或者由于子分區(qū)工作量總量和其他子分區(qū)造成的資源停滯而使虛擬母分區(qū)工作量過度。

　　這對(duì)于那些負(fù)責(zé)虛擬化服務(wù)器應(yīng)用程序的工程師而言，在很多情況下，為特定應(yīng)用程序的資源分配可能需要擴(kuò)展為虛擬機(jī)資源賬戶共享，而具體需要進(jìn)行怎樣的擴(kuò)展只能通過對(duì)規(guī)劃好的虛擬部署進(jìn)行測(cè)試才能確定。

　　同樣的，還應(yīng)該對(duì)數(shù)據(jù)中心管理過程進(jìn)行重新檢測(cè)和重新定義，以解決因人為、軟件或者硬件原因?qū)е碌哪阜謪^(qū)內(nèi)多個(gè)子分區(qū)的損失問題。這種情況不僅會(huì)對(duì)重要的業(yè)務(wù)運(yùn)作帶來影響，還是一個(gè)潛在的安全問題，如果ISA Server 或者Forefront TMG代表某一個(gè)目前不可使用的子分區(qū)。

　　定義流量剖析

　　雖然為虛擬部署和硬件配置定義流量剖析并沒有什么不同，不過定義流量剖析(traffic profile)是很重要的過程，因?yàn)橐粋€(gè)子分區(qū)的資源需求可能會(huì)對(duì)在虛擬主機(jī)上運(yùn)行的其他分區(qū)的資源需求造成影響，特別是母分區(qū)。

　　只有完全明確了流量剖析對(duì)部署計(jì)劃的影響，才能確定、評(píng)估并滿足ISA Server 和Forefront的性能需求和安全需求。 MSKB 832017 已經(jīng)為大部分基于windows系統(tǒng)的應(yīng)用程序以及微軟公司創(chuàng)建的應(yīng)用程序(包括ISA Server本身)定義了流量剖析，但是它并沒有為非微軟產(chǎn)品定義流量剖析。 在很多情況下可以做某些假設(shè)，郵件服務(wù)器使用的是公共郵件協(xié)議，如 SMTP、POP3、 IMAP 或者甚至 HTTP(s)(如果能夠提供網(wǎng)絡(luò)郵件服務(wù))。如果你想要使用 ISA Server 或者Forefront TMG來控制自定義應(yīng)用程序流量，你可能需要向產(chǎn)品供應(yīng)商尋求幫助。 在某些情況下，你可能需要對(duì)應(yīng)用程序進(jìn)行測(cè)試，使用網(wǎng)絡(luò)分析工具來分析流量。

　　流量剖析確定后，下一步就是確定每種應(yīng)用程序或者服務(wù)的流量負(fù)載。這個(gè)步驟也很關(guān)鍵，它能夠精確預(yù)測(cè)其對(duì)ISA Server或者Forefront TMG性能以及整個(gè)網(wǎng)絡(luò)容量的影響。你將需要對(duì)現(xiàn)有網(wǎng)絡(luò)部署進(jìn)行某種流量分析，從而熟悉現(xiàn)有流量負(fù)載并預(yù)測(cè)隨著公司發(fā)展流量需求將如何變化等問題。

　　最佳方案：

　　1. 在可能的位置，讓運(yùn)行ISA Server或者Forefront TMG的子分區(qū)的流量通過。這樣能夠幫助你控制網(wǎng)絡(luò)間的流量并檢測(cè)來自本地主機(jī)和遠(yuǎn)程主機(jī)的攻擊以及虛擬的和物理的攻擊。

　　2. 避免使用 “allow all”規(guī)則。 如果應(yīng)用程序供應(yīng)商不能為你明確定義流量剖析，可以試試你喜歡的網(wǎng)絡(luò)捕捉工具，有時(shí)候也能派上用場。

　　3. 將RPC和DCOM限定到特定端口。 在默認(rèn)情況下，當(dāng)相關(guān)服務(wù)器應(yīng)用程序啟動(dòng)并請(qǐng)求連接和套接時(shí)，RPC和DCOM通常會(huì)暫時(shí)使用任何有效的端口。通過限制RPC和DCOM可用的端口范圍，你同樣可以限制可接受的流量剖析。

　　定義安全范圍

　　這個(gè)步驟涉及很多方面，還有一些基本要求，你必須讓所有安全、網(wǎng)絡(luò)、應(yīng)用程序等相關(guān)管理人員共同參與決議，這樣就能更加全面地分析技術(shù)需求等問題，另外還應(yīng)該考慮合規(guī)和審計(jì)問題。

　　應(yīng)用程序安全

　　應(yīng)該要避免混淆單個(gè)母分區(qū)內(nèi)不同安全層面的虛擬應(yīng)用程序或者服務(wù)器，特別是當(dāng)這些應(yīng)用程序或者服務(wù)器中涉及網(wǎng)絡(luò)外圍時(shí)。當(dāng)相鄰子分區(qū)或者母分區(qū)作為游戲服務(wù)器的主機(jī)時(shí)，應(yīng)該避免讓Exchange復(fù)雜化，這也是ISA和TMG能夠?yàn)橹鳈C(jī)間提供保護(hù)的另一位置。因?yàn)槲挥趩为?dú)母分區(qū)的子分區(qū)通常位于單獨(dú)網(wǎng)絡(luò)， 你可以使用ISA或者TMG來隔離這些應(yīng)用程序(如果部署在專有硬件上)以實(shí)現(xiàn)更高的整體安全性。

　　最佳方案：

　　1. 在母分區(qū)安裝Windows Server 2008 Core。這樣就將攻擊面和修復(fù)需求限制到最低限度，由于Windows 2008 Core并不支持那些依賴于 Windows UI機(jī)制的應(yīng)用程序，這能夠幫助避免在母分區(qū)安裝不重要應(yīng)用程序。

　　2. 特定母分區(qū)上的每個(gè)子分區(qū)應(yīng)該獲得同等安全保護(hù)。例如， 用戶從互聯(lián)網(wǎng)訪問的Exchange和SharePoint 子分區(qū)應(yīng)該盡量滿足相同的安全和訪問要求， 如果你將 Exchange和SharePoint 服務(wù)器以及游戲服務(wù)器作為子分區(qū)部署在相同的母分區(qū)上，就無法實(shí)現(xiàn)這一點(diǎn)。

　　3. 母分區(qū)必須及時(shí)進(jìn)行漏洞修復(fù)。母分區(qū)上的漏洞可能會(huì)影響所有與其相關(guān)的區(qū)域。

　　4. 每個(gè)子分區(qū)必須及時(shí)進(jìn)行漏洞修復(fù)。雖然未修復(fù)漏洞的子分區(qū)不會(huì)造成像母分區(qū)那么大的影響，但是如果受到漏洞攻擊的子分區(qū)訪問母分區(qū)，就有可能對(duì)母分區(qū)帶來類似攻擊，并對(duì)所有客戶端造成威脅。

　　5. 不要將母分區(qū)作為工作站使用。 母分區(qū)安裝和運(yùn)行的應(yīng)用程序越少，母分區(qū)面臨的攻擊威脅越小。 另外，如果你在母分區(qū)安裝Windows Server 2008 Core，能夠幫助控制威脅。

　　6. 限制對(duì)母分區(qū)的訪問管理。 管理母分區(qū)訪問權(quán)的賬號(hào)擁有控制所有子分區(qū)的權(quán)限，下文中將詳細(xì)探討這個(gè)問題。

　　7. 使用基于TPM的母分區(qū)以及BitLocker。 對(duì)母分區(qū)訪問控制力越強(qiáng)，子分區(qū)就能得到越好的保護(hù)。

　　網(wǎng)絡(luò)安全

　　在虛擬環(huán)境大家最關(guān)注的問題就是如何管理子分區(qū)、母分區(qū)和物理網(wǎng)絡(luò)的通信流量。如果某客戶端有訪問任何物理網(wǎng)絡(luò)的直接權(quán)利，將會(huì)給相鄰子分區(qū)和母分區(qū)帶來很大的安全威脅，只有強(qiáng)行讓客戶端通過流量控制(如ISA Server 或者Forefront TMG)才能避免類似威脅。 在網(wǎng)絡(luò)中施加類似流量控制是網(wǎng)絡(luò)規(guī)劃中很重要的部分，而管理控制則更為重要。

　　對(duì)ISA 或者TMG服務(wù)器流量的路由并不能簡單地通過將錯(cuò)誤流量從通信路徑中移除而保證網(wǎng)絡(luò)的安全性，雖然這與數(shù)據(jù)中心的錯(cuò)誤路徑網(wǎng)絡(luò)電纜沒什么區(qū)別，你必須考慮的是，在虛擬網(wǎng)絡(luò)中對(duì)于錯(cuò)誤路由的流量并沒有明顯的指示， 而能夠很明顯地看出網(wǎng)絡(luò)電纜插入錯(cuò)誤的物理路徑配線架或者交換機(jī)。 從這一點(diǎn)來看，區(qū)分錯(cuò)誤流量路徑等相關(guān)問題其實(shí)是非常復(fù)雜和耗費(fèi)時(shí)間的，避免這種狀況發(fā)生的最佳做法就是定義并執(zhí)行非常明確的數(shù)據(jù)中心轉(zhuǎn)換控制政策和系統(tǒng)監(jiān)控/報(bào)告系統(tǒng)。

　　最佳做法：

　　1. 避免在沒有額外保護(hù)的情況下將母分區(qū)連接至互聯(lián)網(wǎng)。 雖然相比于windows之前版本，Windows Server 2008 過濾平臺(tái)(Filtering Platform)為我們提供了更加強(qiáng)大的主機(jī)防火墻，網(wǎng)絡(luò)安全最佳做法表明，應(yīng)該對(duì)網(wǎng)絡(luò)安全進(jìn)行分層，具體做法就是：在母分區(qū)連接與互聯(lián)網(wǎng)之間使用外部 layer-3過濾設(shè)備。位于獨(dú)立物理主機(jī)上的ISA Server或者Forefront TMG能夠很好地幫助實(shí)現(xiàn)這一目的。

　　2. 避免將母分區(qū)連接到任何虛擬網(wǎng)絡(luò)，除非是非常有必要的情況下。 因?yàn)槟阜謪^(qū)是保持子分區(qū)正常運(yùn)行的關(guān)鍵，而母分區(qū)可能至少使用一個(gè)物理網(wǎng)絡(luò)，向母分區(qū)提供的子分區(qū)接入點(diǎn)越少越好。例如， 母分區(qū)是無法看到Hyper-V “Local”虛擬網(wǎng)絡(luò)的，因此可以把該網(wǎng)絡(luò)作為只能由連接的子分區(qū)使用的隔離邊界網(wǎng)絡(luò)。

　　3. 避免在多個(gè)客戶端間共享相同的互聯(lián)網(wǎng)虛擬交換機(jī)連接。 如果你的游戲服務(wù)器子分區(qū)與ISA / TMG子分區(qū)共享互聯(lián)網(wǎng)連接，就很難確保網(wǎng)絡(luò)流量的安全性， 最好就是任何需要互聯(lián)網(wǎng)訪問的子分區(qū)必須通過 ISA / TMG子分區(qū)來訪問網(wǎng)絡(luò)。

　　4. 避免在同一個(gè)母分區(qū)整合周邊網(wǎng)絡(luò)和設(shè)備 在任何部署中，對(duì)周邊網(wǎng)絡(luò)的使用都是為了在不同信任級(jí)別間的網(wǎng)絡(luò)創(chuàng)建安全分界。如果將所有這些機(jī)器和網(wǎng)絡(luò)放在相同的母分區(qū) ，就很可能無意中通過一個(gè)或者多個(gè)母分區(qū)虛擬網(wǎng)絡(luò)連接或者將服務(wù)器分配給錯(cuò)誤的虛擬網(wǎng)絡(luò)等情況下，在這些安全分界中搭建連接。

　　5. 避免為了簡化虛擬網(wǎng)絡(luò)設(shè)計(jì)而破壞了周邊網(wǎng)絡(luò)設(shè)計(jì)。 創(chuàng)建周邊網(wǎng)絡(luò)設(shè)計(jì)的目的是為了滿足多種資源的需求，如果硬件中的設(shè)計(jì)受到破壞虛擬網(wǎng)絡(luò)的設(shè)計(jì)必然也將被破壞。

　　母分區(qū)

　　不管虛擬部署放置在邊緣還是中心位置，母分區(qū)都是最重要最關(guān)鍵的機(jī)器，如果母分區(qū)被破壞或者失效，所有子分區(qū)都將受到威脅。

　　最佳做法：

　　1. 使用通過Windows Hardware Quality Labs 認(rèn)證的硬件：

　　· Windows Server 2008. 如果你期望擁有服務(wù)器級(jí)別的功能和可靠性，是不可能通過使用家用電腦級(jí)別的系統(tǒng)硬件或者驅(qū)動(dòng)來實(shí)現(xiàn)的。 在選擇硬件設(shè)備和相關(guān)驅(qū)動(dòng)程序時(shí)必須對(duì)服務(wù)器工作量進(jìn)行測(cè)試，以確保所選硬件能夠保證虛擬部署經(jīng)得起重荷。 雖然為windows vista編寫的驅(qū)動(dòng)程序能夠“適用于” Windows Server 2008，不過很難保證這些驅(qū)動(dòng)能夠承受服務(wù)器應(yīng)用程序或虛擬帶來的重荷。

　　· Hyper-V. 通過選擇合適的硬件(硬件可以滿足專門針對(duì)Microsoft Hypervisor的WHQL測(cè)試的要求)，可以保證虛擬部署的順利進(jìn)行。很多硬件供應(yīng)商都會(huì)與所有服務(wù)器虛擬供應(yīng)商緊密合作以確保他們的產(chǎn)品能夠適用于一個(gè)或更多服務(wù)器虛擬化平臺(tái)。

　　2. 保持系統(tǒng)驅(qū)動(dòng)程序的正常運(yùn)作。 服務(wù)器網(wǎng)絡(luò)出現(xiàn)問題最常見的原因都是因?yàn)橄到y(tǒng)驅(qū)動(dòng)本身，大多數(shù)是因?yàn)榫W(wǎng)絡(luò)驅(qū)動(dòng)。當(dāng)這些驅(qū)動(dòng)與虛擬化解決方案中的其他高性能驅(qū)動(dòng)結(jié)合使用時(shí)，系統(tǒng)驅(qū)動(dòng)的性能和可靠性顯得尤為重要。 然而事實(shí)卻總非如此，尤其是在測(cè)試環(huán)境中，你應(yīng)該考慮將生產(chǎn)部署限制給簽名驅(qū)動(dòng)程序。

　　3. 在母分區(qū)使用 Windows Server 2008 Core 。 這樣能夠?qū)⑷魏蜽indows Server 部署面臨的攻擊率降到最低，同時(shí)會(huì)限制用戶對(duì)安裝狀況的影響。

　　4. 禁用母分區(qū)的任何對(duì)外的NIC。 在創(chuàng)建供子分區(qū)使用的“外部”虛擬交換機(jī)后，應(yīng)該禁用母分區(qū)的相關(guān)虛擬NIC，以防止互聯(lián)網(wǎng)訪問母分區(qū)。

　　5. 如果不能禁用母分區(qū)的“外部”虛擬交換機(jī)，解除所有L3+協(xié)議并為那些NIC啟用WFP。 通過解除協(xié)議并在WFP設(shè)置強(qiáng)限制性政策，不能使用協(xié)議(攻擊點(diǎn))通信的主機(jī)就不會(huì)受到網(wǎng)絡(luò)攻擊，因?yàn)橄嚓P(guān)協(xié)議已經(jīng)被解除和過濾，換句話說，“我聽不到你，你別想吵到我”。

　　6. 如果上述步驟還不能保護(hù)母分區(qū)，可以使用外部 layer-2+ 防火墻。沒有理由讓母分區(qū)受到互聯(lián)網(wǎng)攻擊，如果正在考慮采取這種部署，應(yīng)該重新評(píng)估整個(gè)計(jì)劃。

　　7. 使用專用的OOB(Out-of-Band)網(wǎng)絡(luò)連接來管理母分區(qū)的連接。

　　· 專用連接：提供與任何虛擬網(wǎng)絡(luò)不相關(guān)的網(wǎng)絡(luò)連接，即使虛擬網(wǎng)絡(luò)機(jī)制出錯(cuò)，母分區(qū)也能繼續(xù)正常運(yùn)作。

　　· OOB連接： 通過將母分區(qū)管理從客戶端網(wǎng)絡(luò)隔離出來，可以讓母分區(qū)免受來自互聯(lián)網(wǎng)的應(yīng)用程序攻擊。

　　8. 在Windows Server 2008上使用支持TPM的硬件和Bitlocker來控制對(duì)母分區(qū)的訪問，以保護(hù)子分區(qū)磁盤和定義文件免受未經(jīng)授權(quán)的訪問。服務(wù)器盜竊事故是任何部署都必須考慮的問題， 而在單個(gè)服務(wù)器能夠獲取多個(gè)服務(wù)器信息更是讓黑客們垂涎三尺。通過將所有客戶端放在 Bitlocker保護(hù)磁盤，能夠有效抵御那些黑客的攻擊。

　　母分區(qū)和客戶端連接

　　必須根據(jù)整個(gè)環(huán)境的安全需求來平衡虛擬網(wǎng)絡(luò)的需求。例如，每個(gè)分區(qū)連接(與一個(gè)NIC相連)的單個(gè)虛擬網(wǎng)絡(luò)與通過虛擬交換機(jī)由多個(gè)分區(qū)共享的物理連接相比，前者能夠提供更好的主機(jī)脫離(off-host)網(wǎng)絡(luò)性能。如果子分區(qū)占用相對(duì)較少的網(wǎng)絡(luò)資源，可以考慮讓其與其他子分區(qū)共享虛擬網(wǎng)絡(luò)。

　　ISA/TMG子分區(qū)性能考慮

　　在確定ISA / TMG虛擬機(jī)資源前需要先對(duì)性能進(jìn)行評(píng)估。要實(shí)現(xiàn)這一目的，必須參考ISA Server Performance Best Practices性能監(jiān)測(cè)建議(針對(duì)你的ISA版本的建議)或者TMG性能監(jiān)測(cè)參考建議收集一段時(shí)間內(nèi)(至少兩周)的性能數(shù)據(jù)，以便獲取所使用的機(jī)器資源的統(tǒng)計(jì)模型。這樣一來，你就知道支持虛擬ISA / TMG服務(wù)器所需要的最小機(jī)器資源量了。

　　確定ISA / TMG虛擬機(jī)需求后，下一步就是建立測(cè)試環(huán)境，以便在測(cè)試環(huán)境中部署和測(cè)試生產(chǎn)環(huán)境中將使用的工作量以及流量負(fù)載組合。只有通過預(yù)先測(cè)試才能確定如何在子分區(qū)間的最佳資源分配方式。

　　CPU和RAM

　　任何在特定配置的硬件上運(yùn)行某種級(jí)別功能的服務(wù)器工作量，性能上都比不上共享多種工作量的機(jī)器資源(在相同配置的硬件上運(yùn)行)。不管工作量合并在單一的操作系統(tǒng)還是工作量在多個(gè)虛擬機(jī)間共享，這個(gè)理論都成立。事實(shí)上，當(dāng)工作量與單個(gè)操作系統(tǒng)結(jié)合時(shí)，管理多個(gè)工作量的資源需求會(huì)相應(yīng)增加。出于這個(gè)原因，你最好熟悉一下你所部署的虛擬技術(shù)的性能最佳做法建議。雖然每個(gè)供應(yīng)商所提供的虛擬化功能都是類似的(從虛擬類型來看，包括桌面、服務(wù)器和數(shù)據(jù)中心)，不過這些不同供應(yīng)商的虛擬功能對(duì)于指定的服務(wù)器工作量或者工作量組合將會(huì)產(chǎn)生不同的結(jié)果。

　　最佳做法：

　　1. 避免在相同母分區(qū)結(jié)合高資源子分區(qū)。ISA / TMG可能會(huì)耗費(fèi)很多資源，這將取決于可能使用的流量性質(zhì)和第三方插件。如果有多個(gè)高耗能服務(wù)器工作量爭奪相同的資源，所有工作量的性能都會(huì)降低，也可能出現(xiàn)拒絕服務(wù)。

　　2. 盡量多地向ISA / TMG提供CPU和內(nèi)存。因?yàn)镮SA/TMG必須與其他子分區(qū)共享資源，向ISA/TMG提供越多的內(nèi)存和CPU，在虛擬機(jī)中ISA/TMG的性能也將越好。

　　注意：在ISA服務(wù)器中，不管是ISA服務(wù)器本身，抑或是第三方插件，都不會(huì)從4個(gè)以上的CPU或者大于4GB的內(nèi)存中受益，TMG并沒有這種限制。

　　3. 使用虛擬化技術(shù)(能夠承受最大的工作量任務(wù))。如果你的流量性質(zhì)要求每秒1Gb或以上的網(wǎng)絡(luò)性能，那么使用提供最高每秒100Mb性能的硬件虛擬化產(chǎn)品可能會(huì)導(dǎo)致服務(wù)器超負(fù)荷或者性能表現(xiàn)不佳。