最近给一个客户做网络搭建项目,要是实现网络内部办公安全,实现文件服务器,域控、用户监控、邮件服务器等(真的是狮子大开口啊).但是,却只提供给我一台普通的服务器.在我一番摆事实,将道理的说服下,老板最终掏出个精美的打火机说声:NO,现在资金短缺,资金周转困难,没多余的钱买这些东西~~
晕,看吧,竟被称为这些东西~~~~ 怪不得,去客户那维护系统,被称为修电脑的~~!(呵呵,牢骚下......)
没办法,我只有在山路上跑宝马了.在经过一番前人的指导和我努力实验下,终于,终于让我成功了.
这个方案我采用的是ISA 防火墙+VMware虚拟机+这台双网卡的破服务器.. ISA的作用自然是提高安全了.然后添加对用户行为的管理。
我将内部局域网全部圈入ISA的内部网卡内.添加了个DMZ区域为VMware虚拟机上的服务器使用.
说干就干,把ISA架上,(具体架设过程赶紧去看ISA中文站的内容吧)然后修改模式为"向外围网络",也就是加个DMZ了.将DMZ到外部网络的方式改为NAT模式,将内部到DMZ改为路由模式. 为什么要这么干呢?因为DMZ区的IP是内网的,向外提供服务的话需要NAT下。内部到DMZ去就无所谓了,只要路由下就可以了。(这步在ISA中文站内也有详解:[url]http://www.isacn.org/info/info.php?sessid=&infoid=158[/url])
在此要着重介绍了:这台破服务器不是只有两个网卡吗?一个外网的,一个内网的,那,虚拟机连接的网卡呢?
其实,就你安装一块网卡,也不能接在真实的网络中.想想,装上去该怎么连虚拟机呢?所以,我们只需要用windows虚拟出一块网卡来,(正好,加个麻将搓成一桌)
IP分配如下:(DNS在此忽略不写了,以下名字也是网卡对应的名字)
内网: 192.168.2.1 mask 255.255.255.0
外网: 192.168.1.2 mask :255.255.255.0 gateway:192.168.1.1
DMZ(虚拟网卡): 192.168.3.1 mask 255.255.255.0
网络结构图如图:
说明下了:虚拟机安装后,不是会出来两个名字很长(一个是为1的,一个为 8)的网卡吗?这两东东就不要配了.保持默认就可以了.
如图:
注意哦:需要配的是那块我们虚拟出来的网卡,也就是名字叫DMZ的。将虚拟机加上的协议钩上,然后在属性中添入"隐藏虚拟网卡"的代号0.(0就是虚拟机中隐藏了的网卡代号)
如图:
在配置好后,虚拟机内的操作系统的IP地址的默认网关就要指向DMZ的IP地址:192.168.3.1了.
(注:虚拟机的操作系统就不写了.)
配好后,现在就是ISA的规则配置了,(具体的操作步骤,ISA中文站写的太详细了,赶紧去看吧)
web服务器的,添加"web服务器发布规则"将服务器地址写为虚拟机web服务器的IP地址.侦听的IP地址为外部。
FTP服务器同上.
域控服务器(与web服务器在一个系统)需要开设身份验证的端口给内部用户.
文件服务器:开设TCP/UDP445端口给内部.
ISA地址配置好后,将虚拟机的文件clone一份,然后将这台服务器的系统ghost一份,打开ntbackup设置备份域控的系统文件.然后将整个备份刻录成光盘.
题外话:别指望中小企业有多台DNS服务器或域控,我们能做的也就只有这样了!!
写的比较乱,图片少.可能大多数朋友骂我共享个知识也没点专业精神.在此抱歉了......有空详写.(也花了不少时间,鼓励下吧~~~~)
本文转自 wuqingying 51CTO博客,原文链接:http://blog.51cto.com/carywu/15110,如需转载请自行联系原作者
