让您的服务器处于非军事化基地

现在的公司都会将防火墙计算机做成三向外围，把服务器放在非军事化区域（dmz），这样可以防止服务器直面攻击，可以更安全的为企业内外进行服务。接下来我要介绍一下如何发布在dmz区的服务器。

 

环境：一台 isa 防火墙计算机，上面 有三块网卡。分别为外网，内网和 dmz 区域。

在 dmz 区域中有 web 服务器，现在需要把 web 服务器发布到内部和外部，要让内部和外部的客户机可以访问 web 服务器。

 

拓扑图如下：

 

 

 

 

 

 

步骤：

1.                         首先第一步当然是把基层网络配置好。在此我用的网络配置是：

防火墙计算机 ip ：外网卡， 61.134.4.27

                Dmz 区域， 172.16.99.1

                外网卡， 192.168.99.1

Web 服务器 ip ， 172.16.99.2 （ web 服务器要划分在 dmz 区域）

外部客户机 ip ， 61.134.4.72

2.                         在防火墙计算机上配置三向外围网络。

 

 

3。选择相应的适配器，按照步骤进行下一步，在此不多演示。

 

按照步骤进行下一步即可，在这里我省略了几步无关紧要的步骤图。

 

 

4.             网络设置成功后，就要搭建web服务器了。我们用一台在dmz区域的03（要确保该网站在服务器上可以访问）

 

5. 在 isa 上发布 dmz 区域的 web 服务器（这时必须在内部 dns 上创建一个 web 服务器的主机记录，这样内部和外部网络的客户机访问 isa 时 isa 才可以找到 web 服务器）

 

6. Isa 可以正常解析 web 服务器， 现在该发布了

 

7.在这只截了几张需要选择的图，因为其他的步骤，我相信大家都会选择。

 

 

这里的网站不需要加密，所以不需要使用ssl

 

 

 

在这里要新建侦听器，侦听器的作用是，侦听防火墙的网卡，看是否有客户机发送请求

 

在这里我们选择监听外部接口和内部接口，因为默认情况下，内网和 dmz 区域和外网之间是不可以直接通信的，这样就可以既防止外部黑客病毒的攻击也可以保护 web 服务器不受内网中“有心人”的攻击。可谓“双重保险”

 

这一步选择“无身份验证”，还可根据需求进行选择。

 

 

完成侦听器的创建后，又回到刚才的发布了

 

接下来的很容易，很顺利的完成！

 

做完之后，一定要记得点应用，要不一切就前功尽弃的。

 

 

        9. 现在就可以进行测试了，我们用一台 03 作为外部客户机。在外部 dns 上创建一个指向 isa 外网卡的主机记录。（因为我们要在外部找到 isa 外网卡）

 

 

 

10.现在去浏览器中查看最后结果

 

 

好了，结束！

请各位多多指教！