服务器以及防墙配置说明.docVIP

服务器初始安装： Dell Poweredge R300（146Gx2容量两台用作web服务器，300Gx2容量一台用作数据库服务器） 配置磁盘阵列：重启服务器，根据屏幕提示按Ctrl+C进入SAS管理界面，将两块硬盘配置成Raid 1（镜像卷，会清除硬盘数据，总容量分别为146G、146G、300G） SASGIR—RAID Properties—Create R1 Volume—将两块硬盘raid disk设成“yes”—按C创建raid组—F3创建…完毕 系统安装：打开光驱，放入系统引导盘（ dell Systems Management Tools and Documentation）,重启服务器之后自动进入到引导界面（选择从Optical Driver启动） 之后按照安装向导填写相关信息，（系统盘划分：30~40G），根据提示插入系统盘（Windows Server 2003）等待完成系统安装。 防火墙设置： 设备： Netscreen SSG5 物理端口设置： 外网端口（Untrust）：端口E0/0 内网端口（Trust）： E0/2、E0/3 – 网段 bgroup1 E0/4~6 – 网段 bgroup0 首先将Starnetdb、Starnetweb1和Starnetweb2的本地连接网卡连接到防火墙E0/4、E0/5、E0/6端口，将Starnetweb1、Starnetweb2的管理地址网卡连接到防火墙E0/2、E0/3端口 然后通过浏览器访问防火墙Web’管理界面，在Network—Interface—List 进入端口列表界面 编辑bpgroup0： Bgroup0为内网接口，，所以Zone Name选择“trust” IP地址选择Static IP，填入地址并且勾选可管理，管理地址相同 Management Services为可选的连接方式，一般需要勾选Web UI、SSL、Telnet 接着在上方选择“Bind Port”，将端口E0/4、E0/5、E0/6添加到bgroup0中 Bgroup1相同操作，地址为，端口添加E0/2、E0/3 外网端口E0/0： Zone Name选择“Untrust”，IP填写ISP提供的地址（此例为51），接口模式选择路由模式（Route） 路由设置： Network—Routing—Destination 进入路由设置界面，防火墙根据端口设置的情况预设了几条路由 点击New新建一条路由，IP填写子网掩码为0，下一跳（next hop）选择Gateway，Interface选择外网端口e0/0，Gateway地址填写E0/0外网地址的网关（此例为51的网关54） 此条路由为默认路由，是让内网所有地址能顺利访问外网的条件之一 为了让内网地址能访问外网，还需要设置相应策略, Policy—Policies进入策略列表 在上方From 选择“Trust” To 选择“Untrust” 点击New新建一条策略，确保Source Address、Destination Address、Service都是选择“Any”勾选“Logging（启用对这条策略的日志）”，点击“OK”生效，这条策略表示允许从内网向外网发起的所有通讯。 地址以及端口映射： 首先需要定义在系统内没有预置的服务端口： 远程桌面端口（3389 3390 3391）、自定义的FTP端口（24）、MS SQL Server服务端口（1433） Policy—Policy Elements—Services—Custom—New定义新服务 以远程桌面端口3389为例： Service Name：remote desktop1（自定义，以方便区分为准） 端口号：选择“TCP”协议,源端口0~65535，目的端口固定为3389 按以上操作定义好其他服务端口 端口映射（VIP）IP映射（MIP） VIP 在Interface列表中选择编辑E0/0端口（51），选择上方标签“VIP”进入端口映射界面 VIP功能：将外网某一地址的端口映射到内网某一地址的端口上，可以做到地址复用，节省IP地址资源。 例如要将E0/0地址51的3390端口映射到Starnetweb1的管理地址（0）的3390端口上，首先选择“Same as the interface IP address”—“Add”，然后“New VIP Service”添加映射端口。 按以上操作设置好其他服务的映射，之后进入Policy—Policies策略配置界面 选择从外网到内网的方向（From Untrust To Trust），新建策略： 需要注意的事目的地址要选择之前设置的VIP（E0/0），表示允许内网的相关服务能够正