方案1：单服务器主机托管解决方案<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

1.1 用户需求

在Internet普及的今天，每个单位都加大了在信息化方面前进的步伐，其中一个最基本的表现就是在电信（或者网通）机房“托管”了自己的服务器，在托管的服务器上保存自己单位的网站、邮件以及其他与Internet相关的应用。这时候就在在两个方面的问题：

（1）安全问题。因为电信（或网通）机房只是为“托管”的服务器提供空间和Internet接入，很少为用户提供安全方面的服务。这时候就得由用户自己解决安全问题。

（2）服务器数量与费用问题。因为Internet的相关应用是非常多的，例如，提供网站的Web服务、提供网站维护用来上传和下载的FTP服务、提供电子邮件的E-Mail服务、提供在线交易的服务、提供数据库的SQL Server服务、提供***接入的***服务等。这时候1台服务器不能满足要求，但对于1个单位来说，这些服务器的每个应用都是比较少的，而这些服务中的一些应用是不能和其他服务“共存”于同1台服务器上的。如果让1个单位托管多台服务器，除了服务器的硬件先期投入外，每年的托管费也是一个不小的开销（2U的服务器每年托管费用大约在4000元～2万元人民币）。

1.2 解决方案

对于托管服务器的安全问题，可以采用ISA Server 2006标准版作为软件的防火墙，为服务器提供安全服务。对于服务器数量不够问题，可以采用VMware Server，并在VMware Server中安装虚拟机，在不同的虚拟服务器中安装不同的服务来解决服务器的数量问题。同时，使用ISA Server 2006发布虚拟服务器中的各种服务到Internet上，可以很好的把ISA Server 2006、VMware Server以及VMware Server下的虚拟服务器接合在一起。改造后的网络拓扑结构如图图1-1所示。

<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />

图1-1 虚拟化后服务器处于防火墙后

【说明】在图1-1中，虚线上面是物理主机，虚线下面是虚拟化后的逻辑等效图。

在图1-1中的“物理主机”中，是当前许多托管服务器的网络拓扑结构，这些服务器直接在Internet网络上，所有的用户可以直接访问被托管的服务器及其之上的网站，即使这些服务器安装了一些防火墙软件，当防火墙被“攻破”后，Internet上用户可以直接访问被防火墙保护的网站。而在图1-1中的“逻辑等效”图中，使用虚拟化技术后，将网站、数据库、电子邮件等放在VMware Server的虚拟机中，在这些虚拟机与Internet之间用ISA Server防火墙保护。图1-1中虚拟化服务器的实施步骤是：

（1）在服务器上规划硬盘，将硬盘划分为3个分区，其中第1分区为主分区，划分30～40GB左右；第2个分区占整个硬盘空间的80%～90%，用来保存虚拟机镜像；剩余的空间创划分第3分区，大约10GB～20GB左右，用来保存Windows Server 2003安装镜像、VMware Server安装程序、其他软件等，最后可用空间大约在15GB左右。所有分区都使用NTFS文件系统。

（2）在第1个分区安装Windows Server 2003 R2的32位版本，并按照电信（或网通）机房提供的IP地址设置网卡参数。

（3）安装Windows Server 2003 R2 X86完成后，转到Microsoft Update网站，升级操作系统补丁，并将服务器配置成“自动更新”。

（4）安装VMware Server 1.05，并且对VMware Server 1.05进行配置，主要包括：

l 在“虚拟网络设定（Virtual Machine Settings）”中，禁用“NAT”服务，并删除VMnet8虚拟网卡；

l 修改VMnet1的网段为192.168.10.0/24；

l 在“服务”中禁用“VMware DHCP服务”；

（5）安装ISA Server 2006标准版，并选择VMware Server虚拟网卡（VMnet1）作为“内网”网卡。

（6）在VMware Server中，根据企业要求安装虚拟服务器，并在每台虚拟服务器中安装需要的操作系统及所需要的服务。推荐安装如下：

l 数据库服务器采用一个专门的虚拟机，如果安装SQL Server 2005，推荐安装Windows Server 2003 R2的64位版本，并为该虚拟机分配3GB内存；如果需要安装SQL Server 2000，推荐安装Windows Server 2003 R2的32位版本，并为该虚拟机分配2GB内存。

l Web服务器、FTP服务器、电子邮件服务器放在同一个虚拟机中，为该虚拟机安装Windows Server 2003 R2的64位版本，并为该虚拟机分配1.5GB～2GB内存。FTP采用IIS内置的FTP服务器，不建议采用Serv-U，邮件服务器可以采用“WinWebMail 3.7”。

（7）在ISA Server 2006中，将虚拟服务器中提供的“服务”发布到Internet。

（8）将ISA Server 2006配置成***服务器，为用户提供服务。

【说明】：

（1）可以在虚拟机中，安装64位的Windows Server 2003、Windows Server 2008操作系统。

（2）目前ISA Server 2006只有32位版本，而ISA Server 2008将会有64位版本（现在正在进行Beta测试，名称为IMG）。当ISA 2008正式版发布后，可以将主机操作系统升级为Windows Server 2008的64位版本，并且用ISA 2008代替ISA 2006，这样将会极大的提升系统的性能，经过实现测试，Windows Server 2008的网络访问速度、呼应速度大于Windows Server 2003。

（3）之所以没有采用多个硬盘，是因为，经过多年实践，现在硬盘的性能、安全性较以前有了极大的提高，并且此方案已经经过多年实践，基本上没有出现由于硬盘的问题，造成数据的丢失，另外，因为是托管的服务器，所以，所有数据在上传前，都在本地计算机上留有备份，这也是不采用第二块硬盘的原因之一。

（4）在配置好主机操作系统、ISA Server之后，用ghost将主机第1分区备份到第3分区，以后当托管的主机操作系统出现问题时，可以让机房值班人员恢复镜像。因为所有数据都保存在第2分区，所以恢复镜像后，不会丢失数据。

1.3 服务器配置

托管服务器强调稳定性，为了托管方便，并减少托管费用，选择1U机架式服务器。决定采用华硕 RS120-E5-PA2，主要参数如下：

内存：4GB内存

CPU：Xeon 3040 1个

硬盘：SATA硬盘，320GB，1个

价钱大约人民币9000元。

方案2：中小企业网络安全、文件服务器、网络防病毒解决方案

2.1 用户需求分析

中小型企业综合解决方案，公司采用WAN路由器共享上网，ADSL或光纤接入。为具有70～200台左右计算机的中小企业、机关与事业单位，提供文件服务、网站服务、补丁服务、网络防病毒服务，具体要求如下：

（1）现有机关、事业单位、企业大多采用光纤接入，有1个或多个固定IP地址。单位的出口速度有限（到电信或网通机房2M～20M左右）。

（2）单位有自己的网站，放在自己的服务器上，发布到Internet，对外提供服务。

（3）单位工作站采用Windows XP操作系统，部分计算机采用Windows 2000与Windows Vista。办公软件使用Microsoft Office。要为工作站统一提供“打补丁”的服务，以减轻由于操作系统、浏览器、办公软件漏洞而感染病毒、***的机率。

（4）为单位提供低成本的、统一的、自动升级防病毒解决方案。

（5）需要为单位提供“文件服务器”，文件服务器要保存单位常用的软件、资料，以及为单位每个职工提供一定的服务器空间，保存个人资料。重要的资料要能“自动”在服务器备份1个月。

2.2 方案介绍

这个单位要求的服务比较多，如果采用通常的作法，需要至少3～4台服务器，才能满足要求。但考虑到每台服务器的“负载”都比较轻，如果采用多台服务器的方法，将会造成比较大的浪费（初始组建成本+以后服务器的维护费用、电费、空调制冷费等），所以，采用“虚拟化”方式，将负载相对减轻的一些服务用“虚拟机”来提供，这样在满足需求的前提下，可以达到最大的“能效比”，也可以减轻管理负担。主要方案如下：

（1）服务器采用双核或四核的CPU，配置8GB内存、2块硬盘（一块500GB、一块250或320GB）、一块千兆网卡。考虑到散热性与成本，采用塔式机箱。

（2）主机操作系统采用Windows Server 2008 X64，这样可以充分发挥硬件的性能。为用户提供的软件、资料等，采用共享文件夹方式，在服务器采用Windows Server中的“卷影副本”实现共享文件夹的自动备份。另外，可以采用DFS（分布式文件系统）、文件夹配额、文件屏蔽等新技术。

（3）主机安装VMware Server 1.05（或将来的VMware Server 2.0），创建两个虚拟机，其中“网站”放在1个虚拟机中，WSUS服务器与杀毒软件服务器放在另1个虚拟机中。第1个虚拟机安装Windows Server 2003，并配置IIS与FTP服务；第2个虚拟机安装Windows Server 2008 X64，安装WSUS 3.0的64位版本，并安装NOD32 2.7的“管理员版”，为整个网络提供NOD32的病毒补丁升级服务。所有虚拟机使用“桥接网卡”，并配置为局域网的地址。

（4）使用WAN路由器，将TCP的80端口转发到第1台虚拟机中，这样将把Web服务发布到Internet。

具体实践步骤：

（1）第1块硬盘（500GB）创建四个分区：

第1分区40～60GB大小，安装Windows Server 2008 X64，卷标为system；

第2分区100～150GB，在这个分区上保存需要备份的资料，例如，单位的重要文档，以及为个人提供的、备份个人重要数据的空间，除此之外，不要再创建其他共享。卷标为data。

第3分区80～100GB，在这个分区上，保存不需要备份的资料，例如，一些软件的安装镜像、学习与培训录像等，并将这些资料，通过共享文件夹的方式提供给用户。卷标为soft。

第4分区200～250GB，保存虚拟机。

（2）第2块硬盘（250或320GB），创建1个分区，卷标为backup。然后，在第1个硬盘的第2个分区上，启用“卷影副本”，并将卷影副本的备份位置选择在第2上硬盘创建的分区上，删除默认的备份策略，创建策略，让每周一～周五的下午6点进行自动备份（通常为下班之后的1～2小时左右时间，也可根据情况调整。

所有的分区都采用NTFS文件系统。

（3）使用“DFS（分布式文件系统）”，将所创建的共享文件夹，添加到DFS路径中，为用户统一使用。

（4）安装虚拟机并配置。安装VMware Server 1.5，禁用VMware的NAT服务，并删除VMnet8虚拟网卡，创建虚拟机时需要注意：

第1台虚拟机，准备存放网站，设置虚拟机的虚拟硬盘大小为40～60GB（视网站所需要的空间进行调整），安装Windows Server 2003，并配置IIS与FTP服务。在该虚拟机中，创建2个分区即可，第1分区安装Windows Server 2003，第2分区保存网站。

第2台虚拟机，准备提供WSUS服务器，设置虚拟机的虚拟硬盘大小为120～200GB，安装Windows Server 2008 X64版本，创建2个分区，第1个分区大约40GB，第2个分区使用剩余的空间，但不能小于80GB。安装WSUS 3.0的64位版本，并安装NOD32 2.7的“管理员版”。

这两个虚拟机都使用“桥接”网卡，并与主机设置同一网段的IP地址，设置相同的子网掩码、网关与DNS地址。

（5）工作站统一安装NOD32杀毒软件，并使用第2台虚拟机提供的病毒补丁；所有工作站，配置为从WSUS服务器升级补丁；工作站上，使用主机提供的共享文件夹时，推荐使用“DFS根路径”链接，并将该链接映射为本地盘符，这样在一个盘符中访问服务器上提供的所有共享。当然，如果服务器的共享文件夹只有3～4个时，也可以不在服务器上配置“DFS”。

对于为每个人提供的“个人共享文件夹”，在服务器上为每个员工创建一个用户，并为每个员工创建一个“个人文件夹”，并配置正确的权限，让每个员工对自己的个人文件夹有“完全控制权限”，对其他个人文件夹“拒绝访问”权限。员工的个人重要数据，可能保存在“个人文件夹”中。

【说明】

（1）在服务器上，创建个人文件夹时，可以使用Windows Server 2008中的“文件夹配额”，限制每个个人文件夹的大小。还可以使用“文件屏蔽”功能，限制用户在该文件夹保存那种类型的文件，例如，限制用户保存电影、MP3等文件。

（2）用户可以在“个人文件夹”中，在“以前的版本”中，找到以前保存的数据。

2.3 服务器配置

华硕TS300-E5/PA4，主要参数：

CPU：双核英特尔® 至强® 3040 1个

内存：8GB内存

硬盘：一个160GB SATA硬盘（标配），一个500GB SATA硬盘（自己购买添加）

价钱：人民币15000元左右。

方案3：适合中大型企业的综合解决方案

3.1 目标用户

本文案适合于具有以下要求的中大型企业：

（1）上网计算机数量在100～500台之间。

（2）具有光纤接入、固定IP地址。

（3）需要对外提供邮件、网站。

（4）对内提供补丁服务、杀毒软件服务、操作系统远程安装等，需要多台服务器的场合。

（5）对安全性有一定的要求。

3.2 方案介绍

本方案采用两台服务器，其中1台（低配置）服务器使用ISA Server做代理服务器，另一台（高配置）服务器采用虚拟化技术，将1台服务器作为多个服务器。在ISA Server服务器上安装三块网卡，一块网卡（A）连接Internet，第2块网卡（B）连接核心交换机，第3块网卡（B）连接到第2台服务器的第2块网卡上。第2台服务器的第1块网卡连接核心交换机，第2块网卡与第1台服务器的第3块网卡通过RJ45直通线连接。网络拓扑如图3-1所示。

图3-1 网络拓扑

在图3-1中，对于第1台服务器（ISA Server 2006来说），其第3块网卡将作为“DMZ区”，第1块网卡为“Internet区域”，第2块网卡为“内网（即局域网）”。

对于第2台服务器来说，其中一部分虚拟机使用第1块网卡，相当于局域网中的服务器，另一部分虚拟机使用第2块网卡，将作为ISA Server的DMZ区域的服务器。本方案的特定即在于此：一台服务器可以组成当两个网络的多个服务器群来使用。此网络等效如图3-2所示（只画出第1台与第2台服务器的等效图，其他部分不再画出）。

图3-2 逻辑等效

【说明】

（1）图3-2中标明的IP地址仅供参数

（2）如果采用DHCP服务器，如果网络中有三层交换机，需要在三层交换机上配置“DHCP中继”。

（3）可以根据需要，在“DMZ区”或“局域网内”随时扩充“虚拟”服务器。

此方案特点：灵活、高效。

3.3 主要实施步骤

因为华硕TS300内置两块千兆网卡，而本案例中需要3块网卡，所以在第1台服务器上，需要购买并添加一块网卡，让新添加的网卡连接Internet，让集成的网卡分别接核心交换机与另一台服务器。有关ISA Server 安装与配置不做过多介绍，关键是第2台服务器的安装与配置，主要与关键步骤如下：

（1）磁盘划分：使用陈列卡组建RAID5的磁盘陈列，将6块300GB硬盘划分为2个逻辑磁盘，第1个逻辑磁盘大小为50GB左右，在这个逻辑磁盘上安装Windows Server 2008 64位企业版本；第2个逻辑磁盘为剩余空间（大约300GB*5-50GB≈1.4T左右），并在第2个逻辑磁盘中，划分2个3个分区，其中创建并保留虚拟机的大约在1TB左右。