最近給一個(gè)客戶做網(wǎng)絡(luò)搭建項(xiàng)目,要是實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)部辦公安全,實(shí)現(xiàn)文件服務(wù)器,域控、用戶監(jiān)控、郵件服務(wù)器等(真的是獅子大開口啊).但是,卻只提供給我一臺(tái)普通的服務(wù)器.在我一番擺事實(shí),將道理的說服下,老板最終掏出個(gè)精美的打火機(jī)說聲:NO,現(xiàn)在資金短缺,資金周轉(zhuǎn)困難,沒多余的錢買這些東西~~

暈,看吧,竟被稱為這些東西~~~~ 怪不得，去客戶那維護(hù)系統(tǒng)，被稱為修電腦的~~！（呵呵，牢騷下......)

沒辦法,我只有在山路上跑寶馬了.在經(jīng)過一番前人的指導(dǎo)和我努力實(shí)驗(yàn)下，終于,終于讓我成功了.

這個(gè)方案我采用的是ISA 防火墻+VMware虛擬機(jī)+這臺(tái)雙網(wǎng)卡的破服務(wù)器.. ISA的作用自然是提高安全了.然后添加對(duì)用戶行為的管理。

我將內(nèi)部局域網(wǎng)全部圈入ISA的內(nèi)部網(wǎng)卡內(nèi).添加了個(gè)DMZ區(qū)域?yàn)閂Mware虛擬機(jī)上的服務(wù)器使用.

說干就干,把ISA架上,（具體架設(shè)過程趕緊去看ISA中文站的內(nèi)容吧）然后修改模式為"向外圍網(wǎng)絡(luò)"，也就是加個(gè)DMZ了.將DMZ到外部網(wǎng)絡(luò)的方式改為NAT模式,將內(nèi)部到DMZ改為路由模式. 為什么要這么干呢？因?yàn)镈MZ區(qū)的IP是內(nèi)網(wǎng)的，向外提供服務(wù)的話需要NAT下。內(nèi)部到DMZ去就無所謂了，只要路由下就可以了。(這步在ISA中文站內(nèi)也有詳解：http://www./info/info.php?sessid=&infoid=158）

在此要著重介紹了:這臺(tái)破服務(wù)器不是只有兩個(gè)網(wǎng)卡嗎?一個(gè)外網(wǎng)的，一個(gè)內(nèi)網(wǎng)的,那,虛擬機(jī)連接的網(wǎng)卡呢?

其實(shí),就你安裝一塊網(wǎng)卡,也不能接在真實(shí)的網(wǎng)絡(luò)中.想想，裝上去該怎么連虛擬機(jī)呢？所以,我們只需要用windows虛擬出一塊網(wǎng)卡來,(正好，加個(gè)麻將搓成一桌）

IP分配如下:(DNS在此忽略不寫了，以下名字也是網(wǎng)卡對(duì)應(yīng)的名字）

內(nèi)網(wǎng): 192.168.2.1 mask 255.255.255.0

外網(wǎng): 192.168.1.2 mask :255.255.255.0 gateway:192.168.1.1

DMZ（虛擬網(wǎng)卡）: 192.168.3.1 mask 255.255.255.0
網(wǎng)絡(luò)結(jié)構(gòu)圖如圖：


說明下了:虛擬機(jī)安裝后,不是會(huì)出來兩個(gè)名字很長(一個(gè)是為1的，一個(gè)為 8)的網(wǎng)卡嗎?這兩東東就不要配了.保持默認(rèn)就可以了.

如圖：


注意哦：需要配的是那塊我們虛擬出來的網(wǎng)卡，也就是名字叫DMZ的。將虛擬機(jī)加上的協(xié)議鉤上,然后在屬性中添入"隱藏虛擬網(wǎng)卡"的代號(hào)0.（0就是虛擬機(jī)中隱藏了的網(wǎng)卡代號(hào)）



在配置好后,虛擬機(jī)內(nèi)的操作系統(tǒng)的IP地址的默認(rèn)網(wǎng)關(guān)就要指向DMZ的IP地址:192.168.3.1了.

(注:虛擬機(jī)的操作系統(tǒng)就不寫了.)

配好后,現(xiàn)在就是ISA的規(guī)則配置了,(具體的操作步驟,ISA中文站寫的太詳細(xì)了，趕緊去看吧)

web服務(wù)器的,添加"web服務(wù)器發(fā)布規(guī)則"將服務(wù)器地址寫為虛擬機(jī)web服務(wù)器的IP地址.偵聽的IP地址為外部。

FTP服務(wù)器同上.

域控服務(wù)器(與web服務(wù)器在一個(gè)系統(tǒng))需要開設(shè)身份驗(yàn)證的端口給內(nèi)部用戶.

文件服務(wù)器：開設(shè)TCP/UDP445端口給內(nèi)部.

ISA地址配置好后,將虛擬機(jī)的文件clone一份,然后將這臺(tái)服務(wù)器的系統(tǒng)ghost一份,打開ntbackup設(shè)置備份域控的系統(tǒng)文件.然后將整個(gè)備份刻錄成光盤.