MS Proxy用法(一)
授予Proxy权限给新用户组
打开IIS Service Manager,然后打开Web Proxy属性页。我将讨论在MS Proxy Server里如何授予权限给一个组。打开Web Proxy Server属性页,选Permissions页。
缺省情况下,MS Proxy Server没有为任何协议配置权限许可。因此,没有用户能通过WebProxy(或WinSock Proxy)出站访问Internet,要给一个新的Proxy用户组授予访问权限,需进行如下操作:
1. 在Protocol下拉框中选择一个你希望指定访问权限的协议。
2. 点"Add"钮,将弹出一个对话框来把组或用户加入到这个协议的访问列表中。
1. 下拉表里的名字列表答应你选择任何域,外部域可以通过信任连接或其他域的并行帐号。
2. 缺省情况下仅列出本地组和全局组,你也可以列出全部用户,单独配置用户,但这对于大中型网络的治理来说,将是一场恶梦。可能的话,尽量用工作组来配置用户。
在Add Users and Groups对话框上的"Members"按钮可以显示出当前选中的组的成员列表
控制来自于Internet的进站访问
安装了Proxy Server后,NT有两处改动来扩展安全。第一个改变是IP转发。IP转发是在TCP/IP属性里的一项设置,这是关闭的。它控制NT是否在网络接口间转发IP包(例如:从网卡到RAS连接之间)。当为一个网络配置永久性的Internet连接的前提下,并且局网上的每一个工作站配置了它们自己的Internet直接访问时,IP转发必须设置为有效,以便工作站可以把它们的包发向Internet,反之亦然。在连接到Internet的那台NT Server上,它自己将锁住所有的进站流量
更进一步地限制从Internet上连到NT Server的客户机,MS Proxy Server禁止了所有没有权限设置IP端口的侦听,这意味着任何运行在NT Server上的Internet服务应用程序(例如FTP服务器,Telnet服务器,或POP3服务器)都不能听到任何外部的进站流量,除非给这些协议设置了WinSock Proxy权限。Web Proxy仅侦听80端口的流量,假如在Web Proxy里给任何被支持的协议设置的权限,80端口也可以侦听进站流量。
在MS Proxy Server自己的域里隔离它
假如你想为你的代理访问设置非常高的网络安全特性,有一个方法,就是设置运行Proxy Server的NT服务器作为它自己域 里的基本域控制器。然后在Proxy域和网络域之间建一个单向信任关系。Proxy域设? 信任网络域,但是网络域不要信任Proxy域,这种设置将更好的限制发生在Proxy服务器和网络域所有其他系统之间的访问。
当网络未被设置成一个域时,这种方法也能工作量很好。但相对于工作而言,运行Proxy Server的NT服务器可以被设置成它自己域的基本域控制器,这可以提供更好的安全控制,并且对于将来的扩充也会更轻易。
监视Proxy Server活动
两种基本方法:第一种,也是最常用的一种日志记录是标准的逗号分割的文本文件,或是通过ODBC驱动程序连接到SQL上。第二种方法,是通过SNMP来监视。这需要在NT上安装SNMP服务。SNMP的目的是分布式,并且有时控制数据到一个远程工作站上,以便于运行在NT Server上的服务能从外部地方被监视并被控制
Proxy Server可以记录日记信息到一个文本文件,或通过ODBC驱动程序把信息记录到一个数据引擎。文本日志是一个非常简单的处理过程,而且让网络治理员有一个快速的方法查看关于Proxy Server部件所发生的事件(Web Proxy and WinSock Proxy)。日志可以用于生成日、星期或月的报告。
文本文件记录
缺省情况下,Proxy Server记录所有的事件信息到一个文本文件,该文件存在下面的地方:
n Web Proxy Logs: c:winntsystem32w3plogs
n WinSock Proxy Logs: c:winntsystem32wsplogs
通常天天会自动建立新的日志文件,可以改为每星期或每月。当使用中的日志文件达到指定尺寸时,会建一个新的日志文件
在Web Proxy and WinSock Proxy services的属性设置中,有一个日志表。两个服务的表都是一样的。
当一个日志文件建好后,它的名字是基于当前日期的。例如,日志文件是1996年12月5日建的,日志文件名就是:w3961205。日志文件有两种格式:常规和具体,常规日志是短格式,不包括所有的数据元素,具体日志包含了完整的数据常规日志样板。
具体日志样例
数据字段的定义