服务器以及防火墙配置说明

服务器初始安装：

Dell Poweredge R300（146Gx2容量两台用作web服务器，300Gx2容量一台用作数据库服务器）

配置磁盘阵列：重启服务器，根据屏幕提示按Ctrl+C进入SAS管理界面，将两块硬盘配置成Raid 1（镜像卷，会清除硬盘数据，总容量分别为146G、146G、300G）

SASGIR—RAID Properties—Create R1 Volume—将两块硬盘raid disk设成“yes”—按C 创建raid组—F3创建…完毕

系统安装：打开光驱，放入系统引导盘（dell Systems Management Tools and Documentation）,重启服务器之后自动进入到引导界面（选择从Optical Driver启动）

之后按照安装向导填写相关信息，（系统盘划分：30~40G），根据提示插入系统盘（Windows Server 2003）等待完成系统安装。

防火墙设置：

设备：Netscreen SSG5

物理端口设置：

外网端口（Untrust）：端口E0/0

内网端口（Trust）：E0/2、E0/3 – 10.1.1.0网段bgroup1

E0/4~6 – 192.168.1.0网段bgroup0

首先将Starnetdb、Starnetweb1和Starnetweb2的本地连接网卡连接到防火墙E0/4、E0/5、E0/6端口，将Starnetweb1、Starnetweb2的管理地址网卡连接到防火墙E0/2、E0/3端口

然后通过浏览器访问防火墙Web’管理界面，在Network—Interface—List 进入端口列表界面

编辑bpgroup0：

Bgroup0为内网接口，，所以Zone Name选择“trust”

IP地址选择Static IP，填入地址192.168.1.1并且勾选可管理，管理地址相同

Management Services为可选的连接方式，一般需要勾选Web UI、SSL、Telnet

接着在上方选择“Bind Port”，将端口E0/4、E0/5、E0/6添加到bgroup0中

Bgroup1相同操作，地址为10.1.1.1，端口添加E0/2、E0/3

外网端口E0/0：Zone Name选择“Untrust”，IP填写ISP提供的地址（此例为192.168.100.251），接口模式选择路由模式（Route）

路由设置：

Network—Routing—Destination 进入路由设置界面，防火墙根据端口设置的情况预设了几条路由

点击New新建一条路由，IP填写0.0.0.0子网掩码为0，下一跳（next hop）选择Gateway，Interface选择外网端口e0/0，Gateway地址填写E0/0外网地址的网关（此例为192.168.100.251

的网关192.168.100.254）

此条路由为默认路由，是让内网所有地址能顺利访问外网的条件之一

为了让内网地址能访问外网，还需要设置相应策略, Policy—Policies进入策略列表

在上方From 选择“Trust”To 选择“Untrust”点击New新建一条策略，确保Source Address、Destination Address、Service都是选择“Any”勾选“Logging（启用对这条策略的日志）”，点击“OK”生效，这条策略表示允许从内网向外网发起的所有通讯。

地址以及端口映射：

首先需要定义在系统内没有预置的服务端口：

远程桌面端口（3389 3390 3391）、自定义的FTP端口（24）、MS SQL Server服务端口（1433）Policy—Policy Elements—Services—Custom—New定义新服务

以远程桌面端口3389为例：

Service Name：remote desktop1（自定义，以方便区分为准）

端口号：选择“TCP”协议,源端口0~65535，目的端口固定为3389

按以上操作定义好其他服务端口

端口映射（VIP）&IP映射（MIP）

VIP

在Interface列表中选择编辑E0/0端口（192.168.100.251），选择上方标签“VIP”进入端口映射界面

VIP功能：将外网某一地址的端口映射到内网某一地址的端口上，可以做到地址复用，节省IP地址资源。

例如要将E0/0地址192.168.100.251的3390端口映射到Starnetweb1的管理地址（10.1.1.10）的3390端口上，首先选择“Same as the interface IP address”—“Add”，然后“New VIP Service”添加映射端口。

按以上操作设置好其他服务的映射，之后进入Policy—Policies策略配置界面

选择从外网到内网的方向（From Untrust To Trust），新建策略：

需要注意的事目的地址要选择之前设置的VIP（E0/0），表示允许内网的相关服务能够正常被外网访问

MIP

MIP功能：将公网地址与内网地址做一对一的映射

如果有多个公网地址资源，可以使用MIP映射地址，比如将外网地址192.168.100.249映射到NLB群集地址192.168.1.11

在端口E0/0配置界面选择标签“MIP”，“New”新建映射

Host IP为需要映射到的目的地址192.168.1.11

建立好MIP映射后到策略界面新建相关策略

From Untrust To Trust –New

目的地址选择MIP（192.168.100.249）

MIP与VIP的设置可根据实际情况选择应用，实际目的和效果都是将内网的服务发布到防火墙以外。