华硕服务器第四届IT硬件平台搭建大赛- 通用模板

1、华硕服务器第四届IT硬件平台搭建大赛A市政府网络安全与网站防护解决方案王春海石家庄市学府路47号河北经贸大学1 概述根据CNCERT/CC（国家互联网应急中心）的2月份发布的统计报告，2009年1月1日至31日，我国大陆地区被篡改网站的数量为3792个，较2008年12月的1693个增长了124%，其中代号为“xsax”和“By_Tuncayov”的攻击者对大陆网站进行了大量的篡改。我国香港被篡改网站数量为36个，较上月增长了18个，我国台湾地区被篡改网站数量为16个，较上月减小了8个。如果上面的数据，表达不了网站被攻击的严重性，那么， CNCERT/CC的2008年7月份的统计报告很说明问题

2、，大约平均每5个政府网站，就有一个网站被黑！而且，近年来，网站被篡改的数目仍然以每年23倍的速度在不断递增。根据这些材料可以知道，网站被篡改、被攻击的数量是非常大的，并且递增的数目也是比较快的。A市政府网站，在近期被黑客篡改页面的情况多有发生，即影响了政府形象，也给广大市民带来不便。怎样对政府网站进行安全防护，是市政府信息中心所面临的首要任务。同时，政府现在有300多台计算机上网，虽然有网通、电信宽带接入互联网，但由于各种问题，终端上网速度很多，每天网络中断两、三次，只能重新启动交换机、路由器才能重新上网，但过几个小时，问题会再次出现，单位网络办公的环境也需要改造。信息中心要求，在不改变现有网

3、站的维护方式的前提下，对网站进行安全防护，防止网站再次被黑；在不改变现有上网设置的情况下，改变整个网络的上网环境、避免再次出现整个网络瘫痪。经过实地考察，并与信息中心沟通，决定采购两台华硕服务器、一套ISA Server防火墙软件与Windows Server 2003，对现在网络、网站进行改造。其中一台服务器采用华硕TS300-E5，配置2GB内存、单块SATA硬盘、4个集成Broadcom BCM5721 PCI-E千兆网卡；另一台服务器采用华硕TS700-E4，配置16GB内存、1个4核Intel处理器、6块SAS硬盘（其中5块硬盘做RAID5、1块硬盘备用）、集成双千兆网卡、双电源。2

4、 政府网络现状与用户需求A市信息中心是正科级全额拨款事业单位，挂靠A市政府办公室，负责全市信息化建设的规划、指导和组织工作，主要承担全市电子政务的建设和管理工作。目前，A市信息中心的内网上接市委、市政府，下联市直80多个部门、10多个乡镇、经济技术开发区。为方便市领导上互联网的需要，信息中心还向网通、电信各申请了20M互联网带宽，通过双WAN口路由器，实现网通、电信双线路负载平衡。为了方便网上办公和网上审批工作，每个部门都建立了自己的局域网，全市办公内网的微机保有量约2000台以上，A市的信息化应用水平在石家庄市各县市区中一直名列前茅。目前，A市政府信息化应用水平较高，有办公自动化系统、政府网

5、站、市委网站、各个乡镇、市直机关网站、互联审批、审计系统，这些系统分别运行在机房的多台服务器上。这些服务器，有的是一些品牌机服务器，有些是组装的服务器，配置比较低、没有提供数据的冗余与备份功能，从长远角度来看，存在安全隐患。从今年开始，政府网站被黑客篡改首页多次，并且修改的次数越来越多、间隔越来越短。每次黑客修改网页后，只能通过备份恢复，有的黑客向网页中嵌入广告代码，信息中心人员只能一个一个网页检查、然后删除这些广告代码，给政府网站对外宣传带来了负面影响，也给信息中心人员的管理人员带来了压力。同时，随着近几年来，网上办公的兴起，政府楼内接入网络的计算机越来越多，另外，随着职工使用计算机水平的提

6、高，管理难度越来越大。这直接表现为许多人在上班时间聊天、下载电影、玩游戏，占用了网络带宽，导致上网越来越慢。在每天上网高峰的时期（上午10点半左右、下午3点左右），网络缓慢的几近打不开网页，只能通过重新启动交换机、双WAN口路由器的方式，恢复网络连接。另外，当每次大规模的病毒爆发时，例如以前的“熊猫烧香”病毒、冲击波病毒、ARP病毒，都会导致整个网络瘫痪。市政府信息中心对外面临政府网站被黑客攻击、修改页面，对内面临整个单位局域网网络速度缓慢、整个单位办公用计算机经常感染木马、病毒需要重新安装系统等诸多压力，可以说，整个网络安全状态已经到了不得不改的情况。政府信息中心的需求主要包括以下几个方面：

7、保护政府网站不被黑客入侵。解决局域网上网速度慢的问题。解决整个网络经常感染木马、病毒的问题。减轻信息中心人员负担。3 方案设计在方案设计之前，需要详细的了解现有网络的状况。经过信息中心人员进行介绍，并经过实际考察，画出A市政府现有网络的拓扑图，如图1所示。图1 A市政府网络拓扑A市政府各有20M光纤分别接电信、网通（现联通）访问Internet，这两条光纤通过“光纤收发器”转成RJ45网线，接在一个双WAN口的路由器上，用做代理服务器。该双WAN口路由器LAN口接到三层交换机上，三层交换机划分了多个VLAN，每个楼层属于一个VLAN，并且在每个楼层都有一个普通的交换机。政府网站与OA服务器在同

8、一台服务器上，直接接到三层交换机上。在双WAN口路由器上映射了一个外网地址的TCP的80端口到政府网站与OA服务器的IP地址（），Internet上的用户通过政府网站域名 访问，政府内的人员都是直接使用IP地址访问政府网站，信息中心工作人员是使用来访问与维护网站、更新网站内容。3.1 网站频繁被黑的原因与解决对策经过分析，发现网站频繁被黑的原因可能如下：操作系统漏洞：网站服务器的操作系统是Windows 2000 Server，虽然现在Windows Server 2008已经发布，Windows Server 2003应用也很成熟，但由于各种原因，服务器操作系统一直没有升级，另外，也没有及时

9、的更新各种补丁。数据库漏洞：数据库使用的是SQL Server 2000，同样，也没有打补丁。网站代码漏洞：政府网站，是由信息中心的人员，在2001年左右，在网上下载的代码的基础上，修改成的。由于开始的时候，网站被攻击的事情很少发生，所以，信息中心的人员忽视了这方面的情况。这些网站代码中，存在SQL Server注入漏洞、文件上传漏洞、Shell漏洞等，而后台管理密码也是比较简单。针对网站被黑的原因后，首先提出如下的解决方法：及时更新操作系统补丁与数据库的补丁。升级操作系统与数据库：由于Microsoft已经不对Windows 2000与SQL Server提供支持，建议将将Windows 2

10、000 Server升级到Windows Server 2003，将SQL Server 2000升级到SQL Server 2005。修改网站代码，避免SQL Server注入漏洞、文件上传漏洞与Shell漏洞。虽然知道需要修改网站代码防止网站被黑，但实际上，政府网站已经使用多年，短期内对政府网站做大的修改不容易实现，只能通过其他的技术手段来保护网站。考虑到政府网站是在局域网内由信息中心人员维护的特点，决定采用如下的技术措施：将政府网站分成两个相同的站点，一个站点用于对外发布，供市民、网民通过Internet浏览、查看内容，另一个网站专门用于信息中心人员维护，该网站只能通过内网访问，这两个网

11、站使用同一个数据库。而发布到Internet上的网站，其采用的SQL Server用户名密码只能“浏览”访问网站SQL Server数据库，而用于内网维护的网站，其采用的SQL Server用户对政府网站数据库有“完全控制”的权限。另外，在双WAN口路由器与三层交换机之间，增加一级代理服务器，采用ISA Server做软件防火墙与代理服务器，用ISA Server的“签名”等功能，通过过滤关键字的功能，防止文件上传漏洞、Shell漏洞等。3.2 内网速度慢的原因与解决方法对于局域网内，计算机速度慢、网络速度慢、经常感染病毒等问题，简单来说，如果升级计算机的配置、增加出口带宽的速度，是可以解决问

12、题。但是，这些都是不现实的，另外，这也不是解决问题的根本方法，即使用这种方法解决了现在的问题，但过段时间，同样的问题仍然会继续。在用户现场，经过进一步分析、调查与判断，得到如下的结果：（1）内存不足导致运行缓慢。大多数的计算机内存都比较小，主要是256MB内存。而杀毒软件，大多数用户使用的是“瑞星”，不可否认，瑞星杀毒软件占的资源比较大，在现在主流操作系统是Windows XP SP2的情况下，安装瑞星占用的资源相对比较大。在安装了操作系统、瑞星杀毒软件，与常用的办公软件，例如Office、WPS后，系统内存占用的资源已经到了170多MB，在打开网页时，由于现在网页中图片、广告很大，IE浏览器

13、少则会占用30MB、多则占用几百MB甚至上GB的内存，当主机内存不够的情况下，会使用硬盘空间作为交换分区（虚拟内存），这样就造成了计算机速度变慢。（2）病毒占用系统资源。许多计算机没有打“补丁”，在浏览一些网页时，感染了木马或蠕虫病毒，有的计算机感染了ARP病毒，所以在计算机启动的时候，这些木马或蠕虫，试图通过网络感染给其他计算机、或者试图连接广告站点，占用了系统资源，这是计算机启动慢、反应慢的最主要原因。（3）带宽被占拖慢网速。单位提供4MB带宽，本来是为单位上网（浏览网页）、收发邮件等正常办公使用，但近一两年来，许多用户使用计算机“水平”越来越高，一些员工在工作时间看在线视频，或者玩游戏，

14、使用讯雷或BT下载电影，占用了大量的网络带宽，而双WAN口路由器没有流量监控与流量控制功能。经过实际测试，在看“新华网”的在线视频时，单一视频流就会占用800KB以上的带宽，理论上讲，只要单位中有20个人看新华网的在线视频，就会占用整个20M出口的带宽。这些是导致网络速度变慢的最主要原因。对上述这些情况，可以通过打补丁、更新杀毒软件等方法解决，主要内容如下：（1）使用微软免费产品WSUS使用Microsoft提供的专门用于企业用户的升级服务器-WSUS，统一为网络中的计算机“打”补丁。采用WSUS，将原来每台工作站都需要访问Internet上的微软补丁站点的方法改为直接访问局域网内的WSUS服

15、务器的方式获得补丁，即提高了更新补丁的速度，又节省了出口带宽。例如，Windows XP SP3补丁大约300MB，如果单位中的每台计算机都从Microsoft升级服务器获得补丁并升级，以100台工作站为例计算，需要下载300MB10030GB，而采用WSUS，只需要WSUS从Microsoft升级服务器下载300MB补丁，其他工作站直接从WSUS即可获得补丁。（2）使用ISA Server禁止无序下载、限制每台计算机的并发连接数量在双WAN口路由器与三层交换机之间，增加ISA Server防火墙与代理服务器，使用ISA Server，禁止职工在上班时间使用BT、讯雷等软件无限下载软件、视频，

16、并限制每个计算机的并发连接数量。（3）采用占用资源较小的杀毒软件网络版杀毒软件太贵，可以购买支持局域网升级的杀毒软件，例如以前的金山毒霸、江民，现在的NOD32、卡巴斯基。考虑到客户端计算机配置比较低，可以选择占用资源比较低的NOD32。这样，改进后的网络拓扑如图2所示。图2 配置防火墙与升级服务器3.3 最终方案在确定了网站防防护、内网安全与改造方案后，对这两个方案进行综合考虑，同时，考虑到原来的网站与OA服务器，已经使用多年，也到了升级的时候，而WSUS与NOD32服务器占用的资源并不是很多，单独放置在新买的服务器中，对服务器的资源是一种浪费。经过多方面分析，我们推荐如下的综合解决方案：（

17、1）购置一台高配置的、具有磁盘冗余的服务器，采用虚拟化技术，在一台服务器上实现两台虚拟机，其中一台虚拟机放置政府网站与OA网站，另一台虚拟机放置WSUS升级服务器与NOD32服务器。（2）配置一台多网卡的、安全稳定的服务器，添加在双WAN口路由器与三层交换机之间，安装ISA Server 2006软件，做防火墙与代理服务器。（3）修改双WAN口路由器的LAN端口地址，改为，而原来的用在新的ISA Server服务器接三层交换机的网卡上，ISA Server服务器接双WAN口路由器的网卡设置IP地址/24。在双WAN口路由器上，设置TCP协议80端口转发给，再由ISA Server转发到政府网站

18、服务器。（4）网络中的所有工作站，配置使用局域网内的WSUS服务器进行补丁的升级，统一卸载以前的杀毒软件，改为统一使用NOD32，并指定从信息中心NOD32服务器进行升级。（5）在ISA Server上发布政府网站，并对网站进行保护。（6）迁移网站到虚拟机1中，并将网站分成用于Internet发布的外网网站、用于内网管理的网站。在方案实施中将详细介绍每一个细节。如图3所示，这是网络最终的拓扑。图3 A市政府网络安全改造方案拓扑图3.4 方案特色由于选择了高配置的华硕服务器，以及使用VMware ESX Server虚拟化产品，以后再需要其他服务器时，不需要再购置新的硬件，只需要在VMware

19、ESX Server中创建新的虚拟机即可以满足应用。在本次方案中，配置的华硕TS-700高配置服务器，可以同时运行816台虚拟机，足可以满足现在以及将来一段时间的需求。同时，在采用虚拟化技术后，减少了服务器的购置需求，并减少了服务器在以后运行中的耗电，近一步降低了产品的使用费用，符合绿色环保、节能的需求。4 硬件产品选择案例中需要的服务器分别选择华硕TS500和TS700。这两款服务器即可以满足当前的需要，在将来，也可以根据新的需求对服务器进行扩充，提供更高的性能。TS500-E5/RX8是华硕推出的第五代服务器产品，其增强的扩展性既可胜任传统服务器的角色，其参数如表1所示。表1 华硕TS50

20、0-E5参数基本规格设备类型工作组级服务器外观结构塔式光盘驱动器可选主板扩展插槽(个)7支持操作系统Windows Server 2003 R2 Enterprise (32/64bit),RedHat Enterprise Linux AS5.0 (32/64 bit),SuSE Linux Enterprise Server 10 (32/64 bit),(Subject to change without any notice)电气性能电源类型1+1 冗余电源电源数量1+1额定电压(V)115V/230V,50Hz/60Hz额定功率(W)650环境参数工作温度()10C工作湿度20% 9

21、0% ( 不可有水凝结)工作高度(米)3048存储温度()-110存储湿度20% 90% ( 不可有水凝结）存储高度(米)10000处理器处理器类型Intel Xeon E5405标称主频(MHz)2000CPU核心Harpertown(四核心)标配处理器数量1最大处理器数量2处理器缓存6MB*2处理器外频333MHz存储硬盘类型SATA II随机硬盘容量(GB)500热插拔硬盘4 * 热抽换（Hot-swap）硬盘槽SCSI控制器无IDE控制器无网络网卡类型/数量2 * Broadcom BCM5721 PCI-E GbE LAN内存内存类型ECC DDR2 533/667 Register

22、ed标准内存容量2GB最大内存容量48GB华硕 TS700-E4/RX8 是最新强有力的服务器，采用双核/四核-Core Intel Xeon 5000/5100/5300 处理器，搭配DDR2 533/667 FBD支持，巨大的运算能力与大储存容量，还有贴心的多元化设计，让TS700-E4/RX8适合各类型企业应用。双Socket LGA771 支持最新的 Intel Xeon 5000/5100/5300 处理器可使效能力及提升并加快运算速度， L2 DIMM 插槽支持四通道 DDR2 533/667 FBD 最高支持至 48GB，提供比以往更大的频宽。为了在工作环境有效提供散热，处理器与

23、DIMM插槽皆在主机边缘，并提供良好的气流导热表2 华硕TS700-E4服务器基本参数基本规格设备类型企业级服务器外观结构塔式光盘驱动器16X DVD-ROM主板扩展插槽(个)6支持操作系统Windows 2003 R2 Enterprise 32/64,RedHat Enterprise AS 4.0 Update 3 32/64 SuSE Linux Enterprise Server 9/10电气性能电源类型1+1冗余电源电源数量1+1额定电压(V)220额定功率(W)730环境参数工作温度()10 - 35工作湿度20% 90% (不可有水凝結)工作高度(米)2133存储温度()-11

24、0存储湿度20% 90% (不可有水凝結)存储高度(米)3048处理器处理器类型Intel Xeon E5405标称主频(MHz)2000CPU核心Harpertown(四核心)标配处理器数量1最大处理器数量2处理器缓存6MB*2处理器外频333MHz存储硬盘类型SAS/SATA II随机硬盘容量(GB)0热插拔硬盘8*热插拔SAS或SATA II硬盘SCSI控制器LSI 1068 PCI-X 8-port SAS controllerIDE控制器ATA 100网络网卡类型/数量Intel 82563EB Dual Ports Gb LAN内存内存类型ECC REG Fully-Buffere

25、d DIMM DDR2 533/667标准内存容量1GB最大内存容量48GB5 方案报价整个方案需要一套Windows Server 2003软件、一套Microsoft ISA Server 2006、2台华硕塔式服务器，方案硬件部分需要46000元，软件部分40000元，系统集成费用17200元，方案合计1元（人民币），具体要求如表3所示。表3 方案所需要的软、硬件及规格、报价产品名称配置单价数量小计硬件华硕TS500-E52GB内存、1块500GB的SATA硬盘、2个集成千兆网卡、1个Xeon X5405 CPU、DVD光驱12000112000华硕TS700-E48GB内存、1个4核I

26、ntel Xeon 5405CPU、6块SAS 300GB硬盘、2个千兆网卡、双电源、LSI PCI-X ZCR卡34000134000软件Windows Server 2003 R2企业版允许安装在1台物理服务器、4个虚拟机中22000122000ISA Server 2006标准版微软软件防火墙与代理服务Mware ESX Server 3i提供虚拟机支持，VMware免费产品010合计施工施工费、系统集成费、服务费软件、硬件费用的20%总计说明: 由于该政府在去年的政府采购项目中购买过SQL Server2005,故本方案中没有对该产品进行报价.6 方案实施在硬

27、件、软件到位后，开始对A市政府网络进行改造，在改造的过程中，会中断网络，为了不影响大家工作，建议在休息时间，例如周六或周日。整个网络改造包括网络硬件的安装、调试与服务器的安装调试，大约需要1天的时间。方案的实施步骤如下：6.1 在双WAN口路由器与三层交换机之间增加ISA Server防火墙在新购置的华硕TS-500服务器上安装32位的Windows Server 2003企业版与ISA Server 2006标准版，并接在双WAN口路由器与三层交换机之间，相当于在整个网络中，增加一个“软件”防火墙，然后修改配置双WAN口路由器的配置，并转发TCP的80端口到ISA Server，再由ISA

28、Server转发到政府网站服务器。主要步骤如下：（1）安装32位的Windows Server 2003企业版，在安装的过程中，将硬盘划分为3个分区。分区按照2：3：2的比例。安装系统后，安装驱动程序。18的静态路由，指向。（3）将服务器接入网络，其中一块网卡接到双WAN口路由器的LAN口（代替原来接三层交换机的端口），设置这块网卡的名称为“Internet”8，网关地址为。设置另一块的地址为/24（不设置网关地址），将这块网卡连接到三层交换机原来接双WAN口路由器的端口，命名这块网卡为LAN。配置好后，使用ping命令，检查网络的连接是否正确，无误之后，在命令提示符下键入如下的命令，以增加到

29、/24的路由：route add p mask 255.255.192（4）安装ISA Server 2006，并将ISA Server 2006安装在第2分区。安装完成后，配置ISA Server 2006，其内网地址是192.168.03网段。（5）配置ISA Server 2006，允许“内网”访问“外网”，此时，局域网内的计算机应该可以访问外网。ISA Server的配置见下节内容。6.2 配置ISA Server允许局域网访问InternetISA Server 2006将网络划分为内网、外网、本地主机三部分(以边缘防火墙模板为例，如果选择三向外围网络模板，则分为内网、外网、本地主机

30、、DMZ区)，这一点是和其他防火墙软件包括ISA Server 2000不同的地方，其他防火墙软件都是划分为内网、外网、DMZ区(如果有的话)。ISA Server 2006比其他防火墙多出一个“本地主机”部分，可以进一步提高ISA Server 2006本身的安全性。对于普通防火墙来说，根据网络通讯的“方向”不同，有两项设置，即从“内部网络”到“外部网络”的共享Internet访问请求行为和从“外部网络”到“内网网络”发布服务器行为。而对于ISA Server来说，除了有两这项设置之外，还包括对ISA Server服务器本身“称做本地主机”的访问：“内部网络”对“本地主机”的访问、“本地主机

31、”对“内部网络”的访问、“本地主机”对“外部网络”的访问、“外部网络”对“本地主机”的访问等行为。在默认情况下，ISA Server 2006安装完成后，ISA Server会“隔离”内、外网的通讯，任何通过ISA Server进行通讯的上述行为都要经过设置。在ISA Server中，任何未经明确“允许”的行为，默认都是“禁止”。ISA Server中的任意一种网络行为都要经过“定制”，未经明确设置为“允许”的行为默认都是“禁止”。当ISA Server 2006安装完毕后，如果网络中的用户想通过ISA Server连接到Internet，必须要进行设置。对于一般的上网来说，通常要包括访问远程

32、（指Internet上的）服务器的这些服务：WWW服务，即访问远程Web服务器，实际为使用TCP协议访问远程的TCP 80端口，如果远程的Web服务器没有使用TCP的80端口，必须要另加定义。邮件服务，收发电子邮件，实际为使用TCP协议访问远程的SMTP服务（TCP的25端口）和POP3服务（TCP的110端口）。FTP服务，即文件上传下载服务，实际为使用TCP协议访问远程的21端口（实际上还要使用TCP的20端口，如果使用PASV方式，还需要使用一个动态端口）。上面这三种：浏览网页、收发邮件、FTP是Internet的三大基本应用之后，设计任何防火墙策略，这都是必不要少的。实际中，为了使用这

33、三种功能，还需要使用DNS服务和SSL Web访问服务：DNS服务，提供域名解析功能，实际为使用TCP和UDP协议访问远程的53端口。SSL Web服务，实际为使用TCP协议访问远程的TCP的443端口。把上面这些规则进行统一，本条防火墙策略为：设置原则：允许“内网”使用Web、DNS、FTP、SSL Web、SMTP、POP3访问“外网”。在ISA Server 2006中，创建这条规则的步骤如下：（1）在ISA Server 2006计算机上，从“程序Microsoft ISA Server”程序组中运行“ISA服务器管理”，进入ISA Server 2006管理控制台。（2）用鼠标右键单

34、击“防火墙策略”，从弹出的快捷方式中选择“访问规则”，如图4所示。图4 新建访问规则（3）在“欢迎使用新建访问规则向导”页中，在“访问规则名称”文本框中键入“允许内网访问Internet”，然后单击“下一步”按钮，如图5所示。图5 规则名称说明：在图5的“访问规则名称”文本框中，根据规则的行为或者目的键入规则的名称，在以后的设置中，要创建许多访问规则。一个容易标识的名称可以减轻管理员的工作负担。（4）在“规则操作”页选择新建规则的动作：允许或拒绝。通常情况下，ISA Server建立允许规则（默认拒绝），这可以减少ISA Server规则的数目。单击“允许”单选按钮，然后单击“下一步”按钮，如

35、图6所示。图6 规则操作 （5）在“协议”页中选择建立规则使用的协议，可以选择“所有出站通讯”、“所选协议”和“选择以外所有出站协议”。如果选择“所有出站通讯”，则允许所有的协议，这样设置等于防火墙不起作用（所有的端口都开放了，防火墙也就无意义了）。只有在指定的、不需要加限制的计算机访问网络时，才设置这条规则。在此选择“所选的协议”，然后单击“添加”按钮，在弹出的“添加协议”对话框中从“通用协议”中双击“DNS”、“ ”、“ S”、“POP3”、“SMTP”，然后再从“Web”中双击“FTP”，然后单击“关闭”按钮返回“协议”页，单击“下一步”按钮，如图7所示。图7 添加协议（6）在“访问规则

36、源”页中，选择通讯的方向。因为要创建从“内部”到“外部（即Internet）”的通讯，所以，单击“添加”按钮，在弹出的“添加网络实体”页中，单击“网络”，从中双击“内部”，然后单击“关闭”按钮返回“访问规则源”，单击“下一步”按钮，如图8所示。图8 选择源地址(从那里访问)（7）在“访问规则目标”页中，单击“添加”按钮，在弹出的“添加网络实体”页中双击“本地主机”，单击“关闭”按钮，然后单击“访问规则目标”页中的“下一步”按钮，如图9所示。图9 选择目标地址(访问到那里)（8）在“用户集”页中，单击“下一步”按钮，如图10所示，在“正在完成新建访问规则向导”页中，单击“完成”按钮，如图11所示

37、。 图10 默认允许所有用户图11 向导完成（9）在ISA Server 2006管理控制台上，单击“应用”按钮，让设置生效，如图11-所示。图12 让设置生效经过这样设置，“内部”的计算机就可以通过ISA Server访问Internet了。但是，这些用户在使用远程的FTP服务器时，不能上传文件，这是ISA Server 2006内置的“FTP筛选器”默认设置为“只读”的原因。在ISA Server中，只要使用FTP协议，不管是访问Internet还是发布服务器，都会启用内置的“FTP筛选器”并且默认都是“只读”。所以，为了更好的使用FTP，必须修改这一设置。在ISA Server 2006

38、管理控制台中，用鼠标右键单击新创建的访问规则“允许内网访问Internet”，从弹出的快捷菜单中选择“配置FTP”（如图13所示），并且在弹出的“配置FTP协议策略”页中，取消“只读”单选按钮的选择，然后单击“确定”按钮，如图14所示。 图13 配置FTP图14 取消FTP只读在ISA Server中，如果访问的网站地址有非英文的字母，例如，访问的网站URL地址中包括了中文，像 :/ xxx /使用说明.htm等地址，在访问这些地址的时候有可能会出现错误，这是ISA Server内置的“ 筛选器”的设置问题，也可以通过修改 筛选器为改变这项设置。在ISA Server 2006管理控制台中，用

39、鼠标右键单击新创建的访问规则“允许内网访问Internet”，从弹出的快捷菜单中选择“配置 ”（如图15所示），在弹出的“为规则配置 策略”对话框中，取消“阻止高位字符”的选择，然后单击“确定”按钮，如图16所示。 图15 配置 图16 不要阻止高位字符在设置之后，参照图12的配置，单击“应用”按钮，让设置生效。大多数管理员习惯使用ping命令来检查网络问题。如果用ISA Server 2006做代理服务器，对于通过ISA Server上网的计算机来说，ISA Server 2006就是出口网关，如果工作站不能上网，在默认情况下，使用ping命令检查网关时，不管ISA Server 2006是

40、否开机，或ISA Server 2006是否正常工作，工作站将不能ping通ISA Server 2006。另外，在内网计算机ping外网的计算机时，也不能ping通。管理员可以创建一条规则，允许内网计算机ping通ISA Server 2006计算机及外网计算机。【说明】设置原则：允许内网ping通“本地主机”和“外部”。（1）在ISA Server 2006控制台的“防火墙策略”页中，单击“创建新的访问规则”，在“访问规则名称”处键入“允许内网ping本地主机及外部”，然后单击“下一步”按钮，如图17所示。图17 创建“允许内网ping本地主机”的规则（2）在“规则操作”页中选择“允许”，

41、然后单击“下一步”按钮。（3）在“协议”页中的“此规则应用到”字段下面选择“所选的协议”，单击“添加”按钮，在弹出的“添加协议”页的“结构”中双击“ping”，单击“关闭”按钮返回，然后单击“下一步”按钮，如图18所示。图18 添加ping协议（4）在“访问规则源”页中添加“内部”，然后单击“下一步”按钮，如图19所示。（5）在“访问规则目标”页中添加“本地主机”和“外部”，然后单击“下一步”按钮，如图20所示。 图19 内部图20 本地主机和外部（6）在“用户集”页中单击“下一步”按钮。（7）在“正在完成新建访问规则向导”页中单击“完成”按钮。（8）单击“应用”按钮，让设置生效。6.3 在新

42、的华硕TS700-E4服务器上安装配置虚拟机在新购置的华硕TS700-E4服务器上，安装VMware ESX Server 3i，并将其接在三层交换机上，与原来的政府网站与OA服务器在同一网段。然后在VMware ESX Server中创建虚拟机并进行配置，主要步骤如下：（1）配置RAID：在服务器上安装5块硬盘（另一个硬盘备用，当服务器的硬盘出现问题时用来替换），将硬盘划分为两个逻辑磁盘，其中第一个逻辑磁盘为50100GB，其他的空间划分为第二个逻辑磁盘，划分完成后，对逻辑磁盘进行“初始化”工作。这样做的目的，是保证以后再重新安装VMware ESX Server时，不影响保存在第2个逻辑磁

43、盘上的虚拟机数据。（2）安装VMware ESX Server 3i，在安装的过程中，安装到第一个逻辑磁盘，并将第一个逻辑磁盘。安装完成后，在网络中的另外一台工作站上，安装VMware ESX Server 3i管理工具，添加第2块逻辑磁盘，将第2块逻辑磁盘配置为存储。以后创建的虚拟机，都保存在第2块逻辑磁盘的存储中。（3）在VMware ESX Server中创建两个虚拟机，其中第一个虚拟机名称为WSUS，第2个虚拟机名称为Web，所有虚拟机保存在第2个分区上。（4）为第1个虚拟机设置2GB内存、120GB的磁盘空间，设置虚拟机使用“桥接”网卡，在该虚拟机中安装Windows Server

44、2003与WSUS 3.01，同时安装NOD32 3.0商业版，并配置升级镜像。安装完成后，设置WSUS，与Microsoft站点进行同步。设置该虚拟机的IP地址为0/24，网关地址为，DNS使用ISP提供的地址。详细步骤参见后文。（5）为第2个虚拟机设置2GB内存、80GB的磁盘空间，设置虚拟机使用“桥接”网卡，在该虚拟机中安装32位的Windows Server 2003与SQL Server，该虚拟机保存政府网站与OA。详细步骤参见后文。6.4 在第一台虚拟机中安装配置WSUS与杀毒软件在名为WSUS虚拟机中，安装配置WSUS与NOD32杀毒软件，主要有：（1）在虚拟机中安装Window

45、s Server 2003企业版，在安装的过程中，将硬盘划分为两个分区，其中第1分区为20GB，第2分区为140GB。（2）安装VMware Tools。（3）设置虚拟机IP地址为0/24，网关地址为，DNS为ISP提供。（4）安装IIS，然后安装WSUS 3.01版本，在安装的过程中，新建站点，使用TCP的8530端口。将WSUS的补丁保存在第2分区。（5）配置WSUS为Windows XP、Windows Server 2003、Windows Vista、IE、Office、SQL Server、ISA Server提供补丁，并设置为每天三次与Microsoft服务器同步。（6）安装NO

46、D 32 3.0的商业版，并允许创建病毒库镜像。安装完成后，升级NOD32 3.0。下面介绍主要的操作步骤。1 在虚拟机中安装WSUS在安装之前，你可以通过U盘、网上邻居等方式，将WSUS 3.0的安装程序拷贝到虚拟机中，有关这些，不作过多介绍。下面开始WSUS 3.0的安装与配置。1 WSUS安装中的注意问题WSUS 3.0的安装比较简单，在安装的时候，只需要注意以下问题即可：（1）WSUS需要IIS的支持，在安装之前，需要先安装IIS。（2）WSUS需要Microsoft .NET Framework 2.0，在安装WSUS之前，需要先安装该组件。（3）在安装WSUS的时候，在“网站选择”

47、页中，指定用于WSUS 3.0服务的网站。如果安装WSUS 3.0的服务器不做其他用途，可以选择“使用现有IIS默认网站”，这样，所有的WSUS客户端将使用TCP的80端口访问和更新补丁，如图21所示。如果安装WSUS 3.0的服务器的IIS默认网站有其他用途，可以选择“”，这样，所有WSUS客户端将使用TCP的8530端口访问和更新补丁，如图22所示。请根据需要进行选择，然后单击“下一步”按钮。 图21 使用现有的IIS默认网站图22 创建新的WSUS网站2 WSUS的配置在安装完WSUS之后，进入配置向导页，在该向导中，注意以下问题：（1）在“选择上游服务器”页中，选择当前WSUS服务器从

48、中同步的“上游”服务器。如果这是网络中的第一台WSUS服务器，请选择“从Microsoft Update进行同步”，如图23所示。 图23 从Microsoft Update进行同步（2）在“选择语言”页，在此选择WSUS服务器将要下载的语言更新。如果当前的WSUS服务器选择从上游WSUS服务器进行升级，则会出现图24的页面，如果当前WSUS服务器选择从Microsoft Update更新，将会显示图25的页。 图24 从上游服务器更新的显示信息图25 从Microsoft Update更新的显示信息如图当前WSUS服务器是从“上游”WSUS服务器更新，将显示“下载上游服务器支持的所有语言的更

49、新”或“仅下载这些语言的更新（上游服务器只支持标有星号的语言）”；如果当前WSUS服务器是从“Microsoft Update更新”，将显示“下载包括更新语言在内的所有语言的更新”或“仅下载这些语言的更新”。通常情况下，只让WSUS下载与WSUS服务器相同语言的更新即可。（3）在“选择产品”页中，选择当前WSUS服务器将要下载的产品更新，如图26所示。图26 WSUS支持的产品在第一次使用WSUS的时候，请选中“所有产品”，当WSUS从Microsoft Update服务器“同步”一次之后，列表中才会显示所有Microsoft产品，然后才能选择。（4）在“选择分类”页中，指定要同步的更新分类，

50、如图27所示。图27 升级分类2 在虚拟机中安装NOD32NOD32是eset公司的防病毒产品，它的产品线很长，从DOS、Windows 9x/Me、Windows NT/XP/2000，到Novell Netware Server、Linux、BSD等，都有提供。对于Windows版本，它同时支持32位和64位平台，包括Vista 64。NOD32在线监测功能严密，占用内存资源较少，清除病毒的速度效果都令人满意。本节将介绍NOD32管理员版、单机版组成网络防病毒系统的方法。在虚拟机中安装NOD32 Business（商业）版本，然后进行如下的配置。（1）进入NOD32设置页，单击“切换到高级

51、模式”链接，如图28所示。图28 切换到高级模式（2）按F5进入高级模式设置，首先在“其它许可证”页中，添加许可文件，如图29所示。图29 添加许可证（3）添加完成后，单击“确定”按钮退出高级设置，然后再次进入高级设置对话框，这样做的目的是为了让“许可证”生效。（4）在“更新”中，在右侧的“用户名”与“密码”处，键入NOD32 3.0商业版的更新序列号，然后单击“设置”按钮，如图30所示。图30 键入升级序列号（5）在“高级设置”对话框中，选择“镜像”选项卡，选中“创建更新镜像”，并选中“通过内部 服务器提供更新文件”，然后单击“高级设置”按钮，查看服务端口，默认为TCP的2221端口。设置完

52、成后，单击“确定”按钮退出，完成设置，如图31所示。图31 创建更新镜像6.5 迁移政府网站到另一台虚拟机中在第2台虚拟机中，安装SQL Server 2005，并创建OA与政府网站两个站点，迁移以前的数据到该虚拟机中，主要步骤如下：（1）在虚拟机中安装32位的Windows Server 2003企业版，在安装的过程中，将硬件划分为三个分区，第1分区为20GB，第2分区各约为30GB。（2）安装VMware Tools，设置IP地址为/24，网关地址为，DNS为ISP提供。（3）安装IIS与SQL Server 2005，并配置该虚拟机使用内部的升级服务器进行升级，升级地址为 :/0:853

53、0。（4）迁移OA站点及数据到该虚拟机的第2分区，并进行配置（略）。（5）迁移政府网站及数据到该虚拟机的第3分区，其中政府网站保存在名为zfwz-lan的文件夹中，然后再将zfwz-lan复制一份，重命名为zfwz-wan。（6）在IIS中，创建两个站点，网站名称分别为zfwz-lan、zfwz-wan，分别指向第3分区的zfwz-lan与zfwz-wan，其中zfwz-wan主机头名为 （政府网站域名）。zfwz-lan使用TCP的123端口（或者其他端口），zfwz-wan使用TCP的80端口。（7）进入zfwz-lan的站点，进入管理网站（内部局域网用户后台管理的网站），进入“目录安全性

54、”选项卡，只允许局域网内指定的IP地址（/18）访问，如图32所示。图32 只允许指定的用户访问（8）对发布到Internet的网站进行配置：进入保存该网站的文件夹，删除后台管理目录中，所有的子文件夹与文件，这样，发布到Internet的网站，不能进入后台管理页面。如果在网站管理维护中，有些图片、文件需要上传到后台管理目录中的某个文件夹，例如，在admin中有个upload目录保存后台上传的图片、新闻、文档等，则需要在“IIS”中，进入“zfwz-wan”中的admin目录中，创建同名的虚拟目录，指向内网网站中的同名目录（即e:zfwz-lanadminupload），这样，即不影响发布到外网

55、网站的数据显示，又避免了黑客通过后台管理网站中的一些漏洞入侵网站。在创建虚拟目录时，“执行权限”设置为“无”。如图33所示图33 创建虚拟目录如果有多个虚拟目录，则需要一一创建。（9）在SQL Server 2005中，创建一个用户名为sqlread，对政府网站数据库具有“SELECT”与“CONNECT”权限。然后编辑zfwz-wan中的连接数据库的网页，修改其数据库的用户名为sqlread，这样，发布出去的网站，只能对外提供“浏览”服务，即便有人通过SQL Server注入漏洞入侵，由于连接数据库的用户名只对网站数据库有“浏览”权限，所以，也不会添加、修改数据库。如图34所示。图34 在S

56、QL Server中创建用户，允许对网站数据库“只读”（10）打开“资源管理器”，打开发布到外网网站的文件夹，编辑访问数据库用户名、密码的配置文件，在本例中，该文件名为，用“记事本”打开该文件，替换里面的用户名为sqlread，并键入该密码，如图35所示。图35 修改访问数据库的帐户经过上述修改，发布到Internet上的网站，即使网站代码存在漏洞，即使黑客根据网站代码漏洞，精心创建了SQL Server语句，但由于现在发布的网站只能对数据库有“读取”权限，而不能达到破坏数据库的目的。6.6 使用ISA Server发布网站并进行保护返回到华硕TS500服务器上，在ISA Server中，发布

57、政府网站到Internet，并使用ISA Server提供的“签名”功能，对网站再次进行保护。（1）在ISA Server中创建策略，发布内网的Web服务器（主要步骤略），然后配置“ ”（如图36所示）。图36 配置 （2）在“常规”选项卡中，在“URL保护”中，设置“最大URL长度（字节）”处，设置为30、查询长度设置为30，并启用“验证正则化”，取消“阻止高位字符”，同时选中“阻止包含Windows可执行文件内容的响应”（经过测试此选项可以阻止很多超级木马的执行，强烈建议选中此项），如图37所示。图37 URL保护【说明】其中URL长度是指要Internet用户访问要保护的网站时，在IE浏

58、览器中键入的网站的地址，例如，在本例中，假设要保护的网站是 HYPERLINK :/ ，用户要搜索isa，其访问的网址是 HYPERLINK /s?wd=ISA&cl=3&ie=utf-8 /s?wd=ISA&cl=3&ie=utf-8，其中 HYPERLINK 是URL长度，每个英文字母、标点符号占用一个字节，如果有中文字符，每个中文字符占用两个字节，而?号及?之后的为“查询长度”。一般情况下，URL长度、查询长度要根据网址的最大长度（包括各个链接页）设置，一般设置最大URL长度150、查询30即可（带有加密登录信息的URL请求需要适当设置的大一些）。在启用“阻止包含Windows可执行文件

59、内容的响应”选项时，即使黑客上传了木马程序到网站中，ISA Server也会阻止木马程序的运行。（3）在“方法”中，只允许GET、POST方法，如图38所示。图38 允许GET与POST方法（4）在“签名”处，添加如下的“签名”进行过滤：CMD、11、12、and、exec、insert、select、delete、update、count、*、%、&、chr、mid、master、truncate、char、declare、upload、net、admin等，并可根据需要随时添加或去除。在添加的时候，签名的搜索条件为“请求URL”，如图39所示。图39 添加签名【说明】如果网站正常浏览，需要

60、使用某个字符，请去掉该字符。并且，以后可以根据SQL Server注入或其他注入方式，添加过滤字符。（5）然后，在ISA Server中设置防火墙策略，禁止受保护的Web服务器访问外网，如图40所示。图40 禁止Web服务器访问Internet上述的设置，保护Web服务器不被注入。但是，还是有一些网站，存在“编辑器”漏洞，这个时候，可以在IIS中、通过限制客户端IP地址的方式，保护网站不被入侵。（6）在设置URL长度、签名之后，如果在打开某个地址时，出现“错误代码 500”等错误页（如图41所示），请检查URL长度是否合适、地址栏中的字符是否在“签名”中被过滤掉，这些可以根据实际情况配置。图4