Организуя доступ в Интернет,
Вы можете контролировать уровень доступа пользователей к ресурсам Интернета.
На этом занятии Вы познакомитесь с примерами ограничения доступа пользователей
внутренней сети к внешним сетям и поупражняетесь в ограничении доступа.
Изучив материал этого
занятия, Вы сможете:
управлять доступом пользователей
Вашей внутренней сети к ресурсам Интернета через представительские службы,
отвечающие стандартам CERN;
управлять доступом пользователей
Вашей внутренней сети к ресурсам Интернета через приложения Windows Sockets;
управлять доступом пользователей
Вашей внутренней сети к ресурсам Интернета через приложения SOCKS.
Помимо обеспечения клиентам
полного доступа к Интернету, Proxy Server предоставляет в распоряжение администратора
широкий спектр средств контроля за исходящими соединениями. С их помощью Вы
легко добьетесь необходимого уровня контроля за доступом в Интернет клиентов
разных типов.
Критерии
ограничения доступа
Доступ к Интернету и другим
внешним сетям лимитируют по следующим параметрам: по службе Интернета, IP-адресу,
маске подсети, имени домена и номеру порта.
Служба
Интернета
Самый разумный подход —
разрешить доступ только к тем службам, которые реально применяются. Если пользователям
Вашей сети не нужна какая-либо служба, запретите доступ к ней.
Возьмите за правило предоставлять
доступ только к конкретным службам Интернета и ограничивать его определенной
группой пользователей. Служба Web Proxy позволяет контролировать доступ к следующим
службам Интернета: HTTP, FTP, Gopher и SSL.
IP-адрес,
маска подсети и имя домена
Вы можете ограничивать
доступ по IP-адресу, по маске подсети или по имени домена. Для этого необходимо
включить фильтрование и задать соответствующие параметры.
При настройке средств защиты
в Вашей сети решите заранее, будете ли Вы ограничивать доступ по этим параметрам.
Предварительное планирование значительно упрощает администрирование сервера.
Если пользователи Вашей
сети должны иметь полный доступ к Интернету - отключите
фильтрование.
Чтобы разрешить доступ
без ограничений только конкретным подсетям, сконфигурируйте сервер так, чтобы
полностью запретить доступ, а затем разрешите доступ только для требуемых
подсетей.
Если же Вы хотите запретить
всем пользователям доступ к определенным доменам или узлам, полностью разрешите
доступ на сервере и укажите только те домены, доступ к которым необходимо
запретить — Proxy Server откажет в доступе к ним.
Примечание Помните,
что когда Вы глобально разрешаете или запрещаете доступ, заданные Вами IP-адрес,
подсеть или домен представляют собой исключение из общего правила доступа.
Это значит, что доступ будет разрешен или запрещен всем IP-адресам, подсетям или
доменам за исключением указанных в списке.
Фильтры доменов могут играть
разные роли. Например, если в Вашей компании нет глобальной корпоративной сети,
представительские службы помогут использовать в этом качестве Интернет. Для
этого достаточно запретить доступ ко всем доменам и узлам Интернета за исключением
Ваших корпоративных узлов. При правильной настройке защиты Интернет вполне может
выполнять функции глобальной корпоративной сети.
Номер
порта
При использовании службы
WinSock Proxy доступ к Интернету контролируется по номеру порта для протоколов
TCP и UDP.
Для доступа к Интернету
через службу WinSock Proxy применяется стандартный набор определений протоколов.
Вы вправе модифицировать существующие определения или создать новые для обеспечения
контроля доступа или для решения иных задач.
Упражнения
В приведенном ниже упражнении
Вы сконфигурируете доступ к внешним ресурсам для приложений Web Proxy. Чтобы
выполнить упражнение, с помощью Диспетчера пользователей домена Windows NT Server
создайте перечисленные в таблице локальные группы и учетные записи пользователей.
Пользователь
Группа
Alan
MIS-Department
Alicia
Accounting
Morgan
Marketing
Sally
Customer Service
Scott
Shipping- Receiving
Сначала Вы сконфигурируете
службы WWW и FTP IIS, чтобы контроль доступа осуществлялся средствами Proxy
Server. Затем Вы назначите группам права доступа для службы Web Proxy и настроите
фильтрование по имени домена.
>
Контроль доступа средствами Proxy Server
Запустите Диспетчер
служб Интернета.
Дважды щелкните значок
службы WWW. Появится
диалоговое окно WWW Service Properties For имя_компьютера.
В группе Password
Authentication на вкладке Service сбросьте флажок Allow Anonymous.
Щелкните кнопку
ОК.
Дважды щелкните значок
службы FTP. Появится
диалоговое окно FTP Service Properties For имя_компьютера.
На вкладке Service
сбросьте флажок Allow anonymous connections. Появится
диалоговое окно Internet Service Manager, информирующее о последствиях
этого действия.
Для продолжения работы
щелкните кнопку Yes. Появится
диалоговое окно FTP Service Properties For имя_компьютера.
Щелкните кнопку ОК,
чтобы вернуться в окно Диспетчера служб Интернета.
>
Назначение прав доступа групп в Web Proxy
В окне Диспетчера служб
Интернета дважды щелкните значок службы Web Proxy. Появится
диалоговое окно Web Proxy Service Properties For имя_компьютера.
Откройте вкладку
Permissions.
В списке Protocol
выберите FTP Read, щелкните кнопку Edit, а затем в диалоговом
окне FTP Read Permissions — кнопку Add. Появится
диалоговое окно Add Users and Groups.
Руководствуясь приведенной
ниже таблицей, разрешите перечисленным в ней группам доступ к указанным протоколам.
Протокол
Accounting
Customer
Service
Marketing
MIS
Dept.
Shipping
and Receiving
FTP Read
X
X
X
Gopher
X
X
WWW
X
X
X
В диалоговом окне
Add Users and Groups выберите группы, которым необходимо присвоить права
доступа для выбранного протокола.
Щелкните кнопку ОК.
Продолжайте добавлять
группы до тех пор, пока все они не окажутся в списке Add Names.
Щелкните кнопку ОК.
Появится диалоговое
окно FTP Read Permissions со списком выбранных групп.
Щелкните кнопку ОК.
Повторите действия 3—10
для протоколов Gopher и WWW.
>
Конфигурирование фильтра доменов Web Proxy
В окне Диспетчера служб
Интернета дважды щелкните значок службы Web Proxy. Появится
диалоговое окно Web Proxy Service Properties For имя_компьютера. 1.
На вкладке Service щелкните кнопку Security.
Откройте вкладку
Domain Filters.
Установите флажок
Enable Filtering. Кнопка
фильтрования по умолчанию называется Granted.
Щелкните кнопку Add.
Щелкните Domain.
Появится поле Domain.
В поле Domain
введите example.microsoft.com
Щелкните кнопку ОК.
Повторите действия 5—8
для узла samples.microsoft.com.
Щелкните ОК.
Появится диалоговое окно
Web Proxy Service Properties For имя_компьютера.
Щелкните кнопку ОК,
чтобы сохранить изменения и вернуться в окно Диспетчера служб Интернета.
Остановите и перезапустите
службы WWW и FTP, чтобы внесенные изменения вступили в силу.
Теперь Вы проверите доступ
пользователей к службам WWW, FTP и Gopher. Выполняйте упражнение на компьютере-клиенте.
>Проверка прав доступа
Зарегистрируйтесь в
системе по учетной записи Alicia.Примечание Паролем
этой и всех остальных учетных записей, применяемых для выполнения упражнений,
является слово «password». При первом использовании учетной записи пользователя
появляется требование сменить пароль. Для удобства примените непустой пароль
(например, совпадающий с именем пользователя), чтобы по ошибке не зарегистрироваться
по учетной записи пользователя, когда Вы намеревались зарегистрироваться по
учетной записи Administrator.
На рабочем столе щелкните
правой кнопкой значок Internet Explorer и выберите в контекстном меню команду
Properties.
Откройте вкладку
Connection.
Установите переключатель
в положение Connect though a proxy server.
В поле Address of
proxy to use введите имя Вашего компьютера Proxy Server в виде http://имя_компьютера
В поле Port введите
80.
Установите флажок
Use the same proxy for all protocols
В поле Port Ranges
for Subsequent Connections введите Add.
В первом поле Port
or Range введите 1100.
Во втором поле Port
or Range введите 1105.
В списке Type
выберите пункт TCP.
В списке Direction
выберите пункт Inbound.
Щелкните кнопку OK,
чтобы вернуться в диалоговое окно Protocol Definition.
Щелкните кнопку OK,
чтобы вернуться в диалоговое окно WinSock Proxy Service Properties For
имя_компьютера.
Откройте вкладку
Permissions.
Добавьте права доступа,
перечисленные в приведенной ниже таблице. Для этого выберите соответствующий
протокол, щелкните кнопки Edit, Add, затем выберите соответствующую
группу, щелкните кнопку Add, а затем — ОК.
Служба
Accounting
Customer
Service
Marketing
MIS
Dept.
Shipping
and Receiving
FTP Outbound
X
X
X
Telnet
X
X
X
X
Щелкните кнопку OK,
чтобы вернуться в диалоговое окно WinSock Proxy Service Properties For
имя_компьютера.
Щелкните ОК,
чтобы вернуться в окно Диспетчера служб Интернета.
Теперь Вы научитесь конфигурировать
Proxy Server для использования с приложениями SOCKS.
Примечание Для выполнения
данного упражнения не требуется доступ в Интернет или к другим компьютерам.
>
Конфигурирование защиты Socks Proxy
Запустите Диспетчер
служб Интернета.
Дважды щелкните значок
службы Socks Proxy. Появится
диалоговое окно Socks Proxy Service Properties For имя_компьютера.
Откройте вкладку
Permissions.
Щелкните кнопку
Add. Появится
диалоговое окно SOCKS Permission.
В списке Action
выберите пункт Permit.
В поле Source
щелкните ALL.
Установите флажок
Destination.
Щелкните ОК.
Появится диалоговое окно
Socks Proxy Service Properties For имя_компьютера.
Щелкните ОК,
чтобы сохранить изменения и вернуться в окно Диспетчера служб Интернета. Теперь
пользователи могут обращаться к любому серверу SOCKS.
Резюме
Вы можете ограничить или
запретить доступ к внешним сетям несколькими способами. Необходимо помнить,
что при назначении прав доступа заданные Вами IP- адрес, подсеть или домен соответствуют
исключениям из общего метода доступа.