发信人: kangtiger(不吃鸡的大老虎)
整理人: jiaxu2000(2004-03-30 11:04:24), 站内信件
|
用ms proxy server实现访问控制
目前有很多小型公司包括网吧等都是通过代理服务器MS PROXY SERVER上网。用代理服务器上网有费用低廉、速度快等优点,在这里不再赘述。用代理服务器MS PROXY SERVER上网有一个重要的好处,那就是可以进行访问控制。访问控制有什么作用呢?比如:在公司中如果老板不想让某些容易沉迷于因特网的员工上网浏览网页,最好的方法就是不要给他计算机,但这名员工要是在工作上必须使用计算机,这招就不行了。还有一个办法就是不要把他的计算机连上网络,但是这样做比较没有弹性,因为他或许需要使用公司内部网络的资源,或者其他需要上网的员工有时会使用该部计算机。还有一个例子,开网吧的老板最头疼的事情就是有些客人在上网时浏览黄色网站,直接干预很得罪人,而且也不能一直看着他啊。不干预显然也不行,此举严重污染网吧的正常经营环境,而且是违法行为。其实只要将该部计算机中的浏览器设置为通过PROXY SERVER连接,再利用WEB PROXY的访问权限控制(ACCESS CONTROL)便可以轻易解决上述问题。
一、设定用户身份限制
微软将proxy server的3种服务——webproxy,winsock proxy以及sock proxy的管理都集成到MMC控制台(MICROSOFT MANAGEMENT CONSOLE)的管理界面中,而且都是置于INTERNET INFORMATION SERVER的目录下。设置WEB PROXY的方法是在MMC控制台中的WEB PROXY图标上单击鼠标右键,执行“属性”命令打开WEB PROXY SERVICE PROPERTIES对话框,并切换到PERMISSIONS选项卡。注意:要设置访问权限,必须先勾选enable access control此项。
我们可以在这个选项卡中设置哪些用户可以通过web proxy服务来访问网络,而且可以分别FTP、GOPHER、WWW和SECURE四项协议的访问。这里只介绍如何控制WWW的访问(也就是对网页的访问)。
先在protocol下拉列表框中选取www协议,然后单击EDIT按钮来添加或改变用户。你可以添加WINDOWS NT中内置的用户或是用户组。这样只有被添加的用户或用户组才能使用PROXY SERVER上网。如果要是想让每个人都可以使用PROXY SERVER的话,选择EVERYONE这个用户组即可。
如果设置了访问控制,用户在通过ms proxy server代理上网时,打开浏览器就会出现对话框,询问用户名称和密码来做身份验证,只有验证通过才能访问internet上的网站。知道这个方法,老板可以分配不同的用户账号给员工,在某些时段,禁用需要限制上网的账号,就可以有效地控制员工机器访问Internet了。
二、限定可以访问的网站
ms proxy server的WEB PROXY服务还提供网站过滤功能。可以限定用户只能访问或者不能访问某些网站。我们可以作相应的设置,来禁止员工上这些网站。
在WEB PROXY SERVICE PROPERTIES属性框里切换到SERVICE选项卡。单击SECURITY按钮,打开SECURITY对话框。切换到DOMAIN FILTER选项卡。要启动网站过滤功能,必须先勾选ENABLE FILTERING选项,接着选择要采取的限定方式:GRANTED或DENIED。选择GRANTED表示默认所有的网站都可以访问,只有列在except to listed below清单中的网站不能访问;而选择denied则是默认所有的网站都不可以访问,只有列在except to listed below清单中的网站方能访问。
选择好要采取的限定方式后,接下来单击add来添加不能访问的网站或是可以访问的网站。我们可以设置单一的网站(single computer),一组网站(group of computer)或是一个网域中的所有网站(domain).选择single computer或是group of computers都要指定网站的IP地址。如果选择DOMAIN,必须要在下方的DOMAIN栏填入域名。例如:如果要限制访问YAHOO网站(WWW.YAHOO.COM)的话,选择SINGLE COMPUTER,只需要在IP ADDRESS这一栏里填入该网站IP地址XXXXXX。如果选择GROUP OF COMPUTERS,还需要填入SUBNET MASK(子网掩码)。最好的方法是使用DOMAIN(域名)的限制方法,只要在DOMAIN栏中输入YAHOO的域名WWW.YAHOO.COM,这样的话,只要域名是WWW.YAHOO.COM的网站都不能访问了。这样可以有效地避免某些大网站使用一个域名对应多个IP地址产生的“漏网”现象。
必须强调的是,对用户的INTERNET访问控制是建立在“通过MS PROXY SERVER访问”的情况下。也就是说:如果用户可以不通过MS PROXY SERVER代理服务就可以访问INTERNET,那么上述的一系列访问限制的设置也就失去了意义。因此在网络结构上一定要把MS PROXY SERVER代理服务器同时设置为网关。
|
|