授予Proxy权限给新用户组
打开IIS Service Manager,然后打开Web Proxy属性页。我将讨论在MS Proxy Server里如何授予权限给一个组。打开Web Proxy Server属性页,选Permissions页。
缺省情况下,MS Proxy Server没有为任何协议配置权限许可。因此,没有用户能通过WebProxy(或WinSock Proxy)出站访问Internet,要给一个新的Proxy用户组授予访问权限,需进行如下操作:
1. 在Protocol下拉框中选择一个你希望指定访问权限的协议。
2. 点"Add"钮,将弹出一个对话框来把组或用户加入到这个协议的访问列表中。
1. 下拉表里的名字列表允许你选择任何域,外部域可以通过信任连接或其他域的并行帐号。
2. 缺省情况下仅列出本地组和全局组,你也可以列出全部用户,单独配置用户,但这对于大中型网络的管理来说,将是一场恶梦。可能的话,尽量用工作组来配置用户。
在Add Users and Groups对话框上的"Members"按钮可以显示出当前选中的组的成员列表
控制来自于Internet的进站访问
安装了Proxy Server后,NT有两处改动来扩展安全。第一个改变是IP转发。IP转发是在TCP/IP属性里的一项设置,这是关闭的。它控制NT是否在网络接口间转发IP包(例如:从网卡到RAS连接之间)。当为一个网络配置永久性的Internet连接的前提下,并且局网上的每一个工作站配置了它们自己的Internet直接访问时,IP转发必须设置为有效,以便工作站可以把它们的包发向Internet,反之亦然。在连接到Internet的那台NT Server上,它自己将锁住所有的进站流量
更进一步地限制从Internet上连到NT Server的客户机,MS Proxy Server禁止了所有没有权限设置IP端口的侦听,这意味着任何运行在NT Server上的Internet服务应用程序(例如FTP服务器,Telnet服务器,或POP3服务器)都不能听到任何外部的进站流量,除非给这些协议设置了WinSock Proxy权限。Web Proxy仅侦听80端口的流量,如果在Web Proxy里给任何被支持的协议设置的权限,80端口也可以侦听进站流量。
在MS Proxy Server自己的域里隔离它
如果你想为你的代理访问设置非常高的网络安全特性,有一个方法,就是设置运行Proxy Server的NT服务器作为它自己域 里的基本域控制器。然后在Proxy域和网络域之间建一个单向信任关系。Proxy域设? 信任网络域,但是网络域不要信任Proxy域,这种设置将更好的限制发生在Proxy服务器和网络域所有其他系统之间的访问。
当网络未被设置成一个域时,这种方法也能工作量很好。但相对于工作而言,运行Proxy Server的NT服务器可以被设置成它自己域的基本域控制器,这可以提供更好的安全控制,并且对于将来的扩充也会更容易。
监视Proxy Server活动
两种基本方法:第一种,也是最常用的一种日志记录是标准的逗号分割的文本文件,或是通过ODBC驱动程序连接到SQL上。第二种方法,是通过SNMP来监视。这需要在NT上安装SNMP服务。SNMP的目的是分布式,并且有时控制数据到一个远程工作站上,以便于运行在NT Server上的服务能从外部地方被监视并被控制
Proxy Server可以记录日记信息到一个文本文件,或通过ODBC驱动程序把信息记录到一个数据引擎。文本日志是一个非常简单的处理过程,而且让网络管理员有一个快速的方法查看关于Proxy Server部件所发生的事件(Web Proxy and WinSock Proxy)。日志可以用于生成日、星期或月的报告。
文本文件记录
缺省情况下,Proxy Server记录所有的事件信息到一个文本文件,该文件存在下面的地方:
n Web Proxy Logs: c:\winnt\system32\w3plogs
n WinSock Proxy Logs: c:\winnt\system32\wsplogs
通常每天会自动建立新的日志文件,可以改为每星期或每月。当使用中的日志文件达到指定尺寸时,会建一个新的日志文件
在Web Proxy and WinSock Proxy services的属性设置中,有一个日志表。两个服务的表都是一样的。
当一个日志文件建好后,它的名字是基于当前日期的。例如,日志文件是1996年12月5日建的,日志文件名就是:w3961205。日志文件有两种格式:常规和详细,常规日志是短格式,不包括所有的数据元素,详细日志包含了完整的数据常规日志样板。
详细日志样例
数据字段的定义
为了明白日志文件的内容,下面是日志文件中每一个字段的定义,它的顺序和你在日志文件中看到的一样。记住Web Proxy和WinSock Proxy的日志文件在格式上是一样的。常规日志并未省略任何数据字段,只是减少了某些信息量。
1. 客户机IP (ClientIP):这个字段时连接到Proxy的客户机IP地址。当Web Proxy激活一个缓冲任务(要连到外部WEB来刷新缓冲的内容),就会自己记录一个条目到日志文件,这个字段的数据就是Web Proxy服务器自己的IP。
2. 客户用户名(ClientUserName):如果Proxy客户机用户的名字是已知的,它就会显示在这个字段里。如果是一个匿名用户,这个字段的值就是"anonymous"。
3. 客户代理(ClientAgent):这个字段是客户访问Proxy服务器的代理名称。如果是Web Proxy客户,那么客户应用程序将会在连接头发出这个信息给Web Proxy。如果是WinSock Proxy客户,工作站上的WinSock 客户软件将决定程序运行的实际名字并通过控制通道传递给WinSock Proxy。该字段也包含了客户操作系统的重要信息,该信息用一个冒号与代理名分开。对于Web Proxy客户,这些信息有可能在连接头里被传给服务器(也可能不会)。对于WinSock客户,这个信息总是通过WinSock客户软件被传递给服务器。一个操作系统信息由客户传给Web Proxy的例子:compatible; IE3; WIN95。操作系统信息由一个客户传给WinSock Proxy看起来象这样:2:4:0,这是Windows95的代码。下面这个表是WinSock Proxy日志中操作系统代码的明细。
0:3.1 Windows 3.1
0:3.11 Windows for Workgroups
0:3.95 Windows 95 (connection made by a 16-bit client application.)
1:3.11 Windows for Workgroups (connection by a client using the Win32s extensions.)
2:4.0 Windows 95 (connection made by a 32-bit client.)
3:3.51 Windows NT 3.51
3:4.0 Windows NT 4.0
Web Proxy完整记录这个字段值的样例是:Mozilla/2/0(compatible; MSIE 3.0; Windows 95)。WinSock Proxy完整记录这个字段值的样例是:WS_FTP32.EXE:2:4.0。Web Proxy记录该字段的精确值依据客户应用程序在做proxy连接时传送到Web Proxy的头信息改变而变动
4. 认证情况(ClientAuthenticate):该字段指出客户是否为一个确认过的连接,Y值代表客户经过NT安全数据库的校验。
5. 记录日期:Proxy Server建立该条记录的日期
6. 记录时间(LogTime):Proxy Server建立该条记录的时间
7. 服务器名(ServerName):加入到日志记录里的服务器名字。当选择详细日志记录时,WspSrv代表WinSock Proxy,W3Proxy代表Web Proxy。当选择常规日志时,该字段是两个数值,1代表Web Proxy,2代表WinSock Proxy。
8. Proxy Name:运行Proxy Server的NT服务器名字。这是一个NetBIOS名字。
9. 提交服务器名(Referring Server Name):这在当前版本下是一个保留字段。以后的Proxy Server版本将用它来保存下行Proxy Server的名字,该服务器连接到当前Proxy Server。这在一个互相协作的层叠Proxy服务器群里非常有用
10. 目的名(DestHost):该字段指出客户通过Proxy Server连接的域名。但并不总是客户连接请求的名字,因为网上有些站点自动执行连接转发。如果信息由缓冲中发出(只有Web Proxy这样),则该字段无内容。
11. 目的IP地址(DestHostIP):该字段保存客户通过Proxy Server连接主机的IP地址,就象上个字段一样,如果从Web 缓冲中获信息,该字段则无内容。
12. 目的端口(DestHostPort):在Proxy Server和目标站点之间连接的TCP/IP端口。如果没有数据传送到客户机上,该字段无内容,该字段仅由Web Proxy使用。WinSock Proxy在此字段无内容。
13. 处理时间(ProcessingTime):Proxy Server获取客户机发出信息所花费的时间(毫秒级)。一旦proxy server从目的网站收到结果代码,时钟就停止。如果信息由Web Proxy缓冲里发出,该字段则指出定位信息并发送给客户机用了多少时间。
14. 发送字节数(BytesSent):Proxy Server发送给客户机的字节数。如果没有信息发给客户机,该字段可能为空。只有Web Proxy使用该字段。
15. 接收字节数(BytesRecv):该字段记录Proxy Server由客户机处收到的字节数。其大小是客户机发给Proxy的请求数量。和前个字段一样,该字段仅由Web Proxy使用。如果该字段在Web Proxy日志中为空,可能是客户机没有发送数据或是没有提供大小信息。
16. 协议名称(Protocol):在Web Proxy日志里,该字段的内容是:HTTP, FTP, Gopher, or Secure,根据客户使用的协议而不同。在Winsock Proxy日志里,该字段是客户机连接的常用数字协议(例如:SMTP连接的110)
17. Transport:客户机与Proxy Server之间使用的传输方法。Web Proxy连接总是TCP。Winsock Proxy连接会是TCP、UDP或是IPX/SPX。
18. Operation:记录Proxy Server执行的转输操作。Web Proxy能记录GET、PUT、POST和HEAD。WinSock Proxy能记录Connect、Accept、SendTo、RecvFrom和GetHostByName。
19. 对象名称(Object Name):该字段记录Web Proxy收到的对象名称,WinSock Proxy日志该字段为空。
20. Object MIME:仅Web Proxy使用该字段。记录收到的MIME类型对象。如果目标服务器未定义或不支持,该字段会包含如下字符串:
MIME Type Definition
application/x-msdownload Application
image/gif GIF Image
image/jpeg JPG Image
multipart/x-zip ZIP Archive
text/plain ASCII Text File
21. Object Source:只有Web Proxy使用,该字段记录对象由何处而来。记录内容如下:
n Field Value Definition
n Unknown Proxy Server could not determine where the object originated.
n Cache Object found in cache.
n Rcache Object found on Internet. Objects was added to cache.
n Vcache Object found in cache. Object was verified against target object on Internet.
n NVCache Object found in cache but could not be verified against target object on Internet. Object was still returned to client.
n VFInet Object found on Internet. Object could not be verifed against source.
n PragNoCacheInet Object found on Internet. HTTP header indicates that the object should not be cached.
n Inet Object found on Internet. Object was not added to the cache.
1. 结果代码(Result code):该字段是连接到的Internet站点返回关于收到对象的结果代码。该字段值的范围非常广,Web Proxy和the WinSock Proxy在该字段记录不同的值。在Web Proxy记录里,低于100的值代表Windows错误代码,在100和1000之间是HTTP状态代码,10000以上的值是Wininet或WinSock错误代码。Web Proxy记录的三个最常见的代码是200(成功连接)、10060(连接超时)、10065(未达到主机)。在WinSock Proxy记录里,该字段的值是下列代码之一:
Code Definition
0 Successful Connection
1 Server Failure
2 Rejection by Proxy due to filtering
3 Network unreachable due to no DNS service available.
4 Host unreachable because no DNS entry could be found for the host.
5 Connection refused by target Internet site.
6 Unsupported client request (perhaps the client is using a non-compliant TCP/IP stack or the WinSock call is from a non-supported version.
7 Unsupported Address type.
详细字段与一般字段
当选择一般记录时,有些字段会简单的用"-"来填充,详细记录会记录前面列表中所有已知数据。一般日志仅记录下面的字段:
Client Computer IP
Client User Name
Authentication Status
Date Logged
Time Logged
Server Name
Destination Name
Destination Port
Protocol Name
Object Name
Object Source
Result Code
阅读日志有时会非常糊涂,因为有时看上去代理服务器没有记录正确的信息。最重要的是记住保持字段顺序的正确,很快你就能正确地理解它们了。 (出处:yesky) |
当前位置:
特别推荐