代理服务器配置与管理.ppt

子项目七代理服务器配置与管理 目录 任务描述相关资讯任务实施技能拓展 企业需求 某企业拥有一个内部网 不对外开放 内部计算机可以访问Internet 但需要对某些用户限制某些服务和某些网站的访问 对上网时间的要求是 企业网中的有些网站是对外公开的 例如 电子邮件系统 这些网站需要可以在Internet上访问 需求分析 需求一 内部计算机访问Internet 分析一 由于需要用户权限和时间限制 需采用代理服务器实现 需求二 外部计算机访问内部网络 分析二 代理服务器能够对外发布服务 代理服务器 1代理服务器概述代理服务器英文全称是ProxyServer 其功能就是代理网络用户去取得网络信息 形象的说 它是网络信息的中转站 代理服务器3 1 代理服务器示意图 Internet WEB ProxyServer clientA clientB Cache 代理服务器3 2 ClientA发出资源的请求 根据客户机上的代理服务器设置 该请求会发到代理服务器 ProxyServer clientA Internet WEB clientB 代理服务器将客户机的请求发送到Internet上的一台WEB主机 WEB主机将资源返回给代理服务器 代理服务器将资源内容发送给客户机 并将内容存储在Cache中 Cache ClientB请求与ClientA相同的资源 和ClientA一样 也会将请求发送到代理服务器 代理服务器上已经有该资源的内容 所以代理服务器直接将资源内容发送给客户机ClientB 代理服务器功能 2代理服务器功能缓存安全性名称解析 代理服务器分类 HTTP代理常用端口8080Socks代理1080 防火墙和代理服务器 防火墙用于特定报文的屏蔽代理服务器用于实现网络连通共同点 都用来连接内外网络 网络结构中处于同一位置 防火墙体系结构 1 双宿主主机结构 2 屏蔽主机结构 3 屏蔽子网结构 代理服务器 Win平台Wingate SygateISAServerCCproxyLinux平台SquidApache 一 安装CCProxy 配置代理服务器 安装CCProxy代理服务设置帐号设置查看用户连接信息二级代理缓存设置网站过滤时间安排日志管理 安装CCProxy 运行安装文件安装向导安装路径开始菜单文件夹创建快捷方式开始安装安装完成运行CCPproxy 代理服务设置 设置 对话框协议端口服务 帐号设置 帐号管理新建帐号获取地址创建完的帐号自动扫描 帐户设置 查看用户连接信息 用户连接信息连接时间用户名IP地址事件 二级代理 启用二级代理代理地址代理协议端口 二级代理 client ProxyServer Internet 缓存设置 缓存更新时间IE缓存选项缓存路径缓存大小总是从缓存中读取 网站过滤 网站过滤主要内容网站过滤名站点过滤禁止连接禁止内容应用过滤规则 时间安排 时间安排对话框星期时间安排名时间表时间段复选框应用于 日志管理 通过日志可以查看用户的上网行为设置日志存储路径设置日志文件最大行数打开日志文件查看内容 日志管理 配置IE浏览器 Internet选项连接局域网 LAN 设置地址端口代理服务器设置类型地址端口 二 安装ISAServer2004 2 1ISAServer2004介绍 ISAServer的功能介绍ISAServer的版本介绍标准版企业版ISAServer在域环境下的安装安装前的准备可选方案ISAServer的组件安装过程 ISAServer2004功能介绍 Internet防火墙Web缓存服务器安全服务器发布 ISAServer2004可以部署成一台专用防火墙 作为内部用户接入Internet的安全网关 企业内部用户能够向Internet发布Web服务 邮件服务等 避免这些务器直接暴露在Internet上而受到攻击 通过把曾经使用过的内容直接给再次要求访问此资源的用户的缓存方式可以节约带宽 加快响应速度 ISAServer的版本 ISAServer安装注意事项 2 2ISAServer综合解决方案 小型企业应用方案对于有几十台计算机 使用一条专线上网的小型企业ISAServer放在公司局域网和Internet之间为整个网络提供共享连接和安全性 ISAServer综合解决方案 Cont 中型企业应用方案可以部署成三宿主机外围网络形式单个的ISAServer计算机上安装了三块网卡分别连接Internet DMZ和内部网络 ISAServer的组件 用于存储企业中全部阵列的配置信息 对一组ISAServer服务器的统一管理方式 阵列中所有的服务器共享同样的配置 ISA服务器服务 运行防火墙和缓存服务的ISA服务器 ISA服务器管理 用于管理企业和阵列成员的管理终端 2 3ISAServer在域环境下的安装 启动安装程序 光盘安装 ISAAutorun exe 选择安装方案选择企业安装选项配置存储服务器设置帐号对DC有控制权的用户才有权配置存储服务器指定网络选择网卡指定内部网络地址范围设置防火墙客户端连接启动安装过程至完毕 安装ISA服务器服务安装配置存储服务器同时安装ISA服务器服务和配置存储服务器安装ISA服务器管理 创建新ISA服务器企业创建企业配置的副本 ISAServer在域环境下的安装 2 4ISAServer界面介绍 启动界面 全部可供管理的模块 按企业和阵列进行组织 选中某模块时 在此处可看该模块的明细 可对该模块执行的任务 学习的重点 二 配置ISAServer2004 2 1ISAServer2004基础知识 网络模板策略元素协议用户集内容类型计划网络对象 网络模板2 1 作用为了方便管理员设置防火墙策略提供了5个预定义的网络模板 包含了常用与复杂的网络拓扑使用方法 阵列 网络 点击右侧的 模板 网络模板 网络模板2 2 边缘防火墙3向外围网络前端防火墙后端防火墙 策略元素 ISAServer通过策略来控制网络访问每条策略规则就要由一些特定的参数来达到规定的要求策略元素就是策略规则的参数ISAServer允许创建多种策略元素在定义的任何规则中使用策略元素协议 用户集 内容类型 计划 网络对象 协议 协议类型TCP UDP ICMP和IP方向UDP 包括 发送 接收 发送接收 或 接收发送 TCP 包括 入站 和 出站 ICMP和IP 包括 发送 和 发送接收 出站端口范围1 65535协议号0 254 用户集 定义可以将用户归入相应的集合中用户集可以包括来自任何身份验证方案的一个或多个用户例如 用户集可以包括所有Windows用户默认用户集所有经过认证的用户所有用户系统和网络服务 内容类型 当数据包经过防火墙时 可以根据定义的规则来检查数据包内容 达到限制或过滤的目的视频音频图像压缩文件 计划 定义可以根据企业的需求将一天24小时分成许多时段例如 工作时段 午休时段 全天时段 默认时段周末星期六与星期日全天工作时间周一至周五上午9 00 17 00 网络对象 定义应用防火墙规则的源和目的网络种类网络 一定范围的IP地址网络集 一个或多个网络计算机 一个IP地址地址范围 子网 计算机集 一定范围的IP地址 网络对象 2 2防火墙策略规则 常用访问规则 访问规则源网络上的客户端如何访问目标网络上的资源Web发布规则让外部用户访问企业的Web服务器 同时又不危及内部网络的安全性邮件发布规则让外部用户访问企业邮件服务器 同时又不危及内部网络的安全性 访问规则工作原理 动作on协议from使用者from来源to目的地with条件 允许拒绝 源网络源IP 目的网络目的IP目的站点 协议IP端口 类型 发布服务器发布Web站点计划过滤属性 任何用户认证用户指定用户 创建访问规则2 1 应用实例公司财务部有一台计算机是专门用来作财务报表的 要求这台计算机任何时间都不可以连接到外部网络这台计算机的IP地址是192 168 14 182 24 创建访问规则2 2 新建新主机192 168 14 182 24新建访问规则设定规则动作与通讯协议设定规则应用的源和目的设定规则的应用对象完成设置及应用 2 3部署客户端 客户端类型 SecureNATClient SecureNATClient不需要安装指定的软件配置SecureNATClient不需要使用路由器设置ISAServer内部网卡为网关配置SecureNATClient需要使用路由器设置离ISAServer最近的路由器为网关 FireWallClient FireWallClient需要安装指定的防火墙软件使用 clients 共享文件夹指定ISAServer WebProxyClient WebProxyClient不需要安装指定的防火墙软件客户端计算机上的代理设置必须将ISAServer作为代理服务器使用 同时制定相关的端口号 设置代理服务器 2 4服务器发布 Web服务器发布规则邮件服务器发布规则服务器发布规则 Internet 192 168 2 249 61 10 10 1 外部网卡 内部网卡 WebServer 内部网络 ISAServer 网站发布的准备工作 IP地址与网站域名正确映射准备Web站点创建Web侦听器 设定侦听的地址段和端口指明可以访问Web服务器的用户集 Web服务器的发布示例2 1 新建Web服务器发布规则 输入Web发布规则名称 指定符合规则条件时的操作 定义要发布的网站 Web服务器的发布示例2 2 选择Web侦听器 选择哪些用户可应用此规则 完成Web发布规则 保存Web发布规则并应用 邮件服务器发布设置 邮件服务器发布向导指明邮件服务器提供给客户端的邮件协议要发布的邮件服务器的IP地址要发布的邮件服务器需侦听的网段 可以是内部或外部保存并应用规则 邮件服务器的发布示例 新建邮件服务器发布规则 给新邮件发布规则命名 服务器提供的可供客户端选择的邮件协议 指明要发布的邮件服务器 指明要发布的邮件服务器需侦听的网段 完成邮件服务器发布规则 应用邮件服务器发布规则 FTP服务器的发布示例 新建服务器发布规则 给新建的服务器发布规则命名 选择要发布的是FTP服务器 选择要发布的FTP服务器需侦听的网段 完成FTP服务器的发布 应用FTP服务器发布规则 三 安装配置squid 3 1squid简介 squid服务具有以下基本功能提供对HTTP和FTP协议的代理服务缓存代理的内容 提高客户端访问网站的速度 并能够节约出口网络流量对客户端地址进行访问控制 限制允许访问squid服务器的客户机对目标地址进行访问控制 限制客户端允许访问的网站根据时间进行访问控制 限定客户端可以使用代理服务的时间 squid服务器的代理工作机制 squid服务器具有代理和缓存的基本功能 数据缓存 代理进程 远端服务器 客户端 3 2squid服务器的安装启动 squid服务器在RHEL4系统中已经默认安装 rpm qsquidsquid 2 5 STABLE6 3squid服务的启动状态squid服务程序在RHEL4中默认不自动启动需要用chkconfig命令设置squid服务在运行级别3和5中自动启动 chkconfig level35squidon squid服务启动前的准备 确认主机具有完整的域名squid服务运行需要Linux主机具有完整的域名 grep hostname etc hostssquid服务器的初始化在第一次使用squid服务器之前需要先对squid服务器进行初始化工作 squid z初始的主要作用是在squid服务器的工作目录中建立需要的子目录 ls var spool squid 000102030405060708090A0B0C0D0E0F squid服务的启动与停止 启动脚本squid服务的启动脚本名称是 squid etc init d squid启动与停止squid服务启动squid服务 servicesquidstart停止squid服务 servicesquidstop服务端口squid服务器的缺省服务端口为3128 3 3配置squid squid服务的配置文件配置目录squid具有独立的目录保存配置文件 etc squid 主配置文件主配置文件squid conf保存在配置目录中 etc squid squid confsquid conf文件中的配置选项配置服务端口http port3128 squid服务的配置文件 Cont squid conf文件中的配置选项缓冲内存数量cache mem8MB cache mem 的值设置为服务器物理内存的三分之一比较合适工作目录cache dirufs var spool squid10016256 cache dir 设置项的缺省值为设置 var spool squid 作为squid的工作路径 10016256 分别表示 目录中最大的容量是100MB 目录中的一级子目录的数量为16个 二级子目录为 256 个 squid服务的配置文件 Cont squid conf文件中的配置选项访问控制设置 http access 用于设置允许或拒绝访问控制对象http accessallowlocalhosthttp accessdenyall访问控制列表 ACL 的定义 acl 配置项用于设置访问控制列表的内容aclallsrc0 0 0 0 0 0 0 0acllocalhostsrc127 0 0 1 255 255 255 255重新启动squid服务对squid conf文件修改后需要重新启动服务程序 serv