2019年10月17日12时29分第1页子项目七代理服务器配置与管理2019年10月17日12时29分第2页目录任务描述相关资讯任务实施技能拓展2019年10月17日12时29分第3页企业需求某企业拥有一个内部网,不对外开放。内部计算机可以访问Internet,但需要对某些用户限制某些服务和某些网站的访问,对上网时间的要求是:企业网中的有些网站是对外公开的,例如、电子邮件系统email.qiye.com,这些网站需要可以在Internet上访问。2019年10月17日12时29分第4页需求分析需求一:内部计算机访问Internet。分析一:由于需要用户权限和时间限制,需采用代理服务器实现。需求二:外部计算机访问内部网络。分析二:代理服务器能够对外发布服务。2019年10月17日12时29分第5页代理服务器1代理服务器概述代理服务器英文全称是ProxyServer,其功能就是代理网络用户去取得网络信息。形象的说:它是网络信息的中转站。2019年10月17日12时29分第6页代理服务器3-1代理服务器示意图InternetWEBProxyServerclientAclientBCache2019年10月17日12时29分第7页代理服务器3-2ClientA发出资源的请求,根据客户机上的代理服务器设置,该请求会发到代理服务器ProxyServerclientAInternetWEBclientB123456代理服务器将客户机的请求发送到Internet上的一台WEB主机WEB主机将资源返回给代理服务器代理服务器将资源内容发送给客户机,并将内容存储在Cache中CacheClientB请求与ClientA相同的资源,和ClientA一样,也会将请求发送到代理服务器代理服务器上已经有该资源的内容,所以代理服务器直接将资源内容发送给客户机ClientB2019年10月17日12时29分第8页代理服务器功能2代理服务器功能缓存安全性名称解析2019年10月17日12时29分第9页代理服务器分类HTTP代理常用端口8080Socks代理10802019年10月17日12时29分第10页防火墙和代理服务器防火墙用于特定报文的屏蔽代理服务器用于实现网络连通共同点:都用来连接内外网络,网络结构中处于同一位置2019年10月17日12时29分第11页防火墙体系结构1.双宿主主机结构2019年10月17日12时29分第12页2,屏蔽主机结构2019年10月17日12时29分第13页3,屏蔽子网结构2019年10月17日12时29分第14页代理服务器Win平台Wingate,SygateISAServerCCproxyLinux平台SquidApache2019年10月17日12时29分第15页一、安装CCProxy2019年10月17日12时29分第16页配置代理服务器安装CCProxy代理服务设置帐号设置查看用户连接信息二级代理缓存设置网站过滤时间安排日志管理2019年10月17日12时29分第17页安装CCProxy运行安装文件安装向导安装路径开始菜单文件夹创建快捷方式开始安装安装完成运行CCPproxy2019年10月17日12时29分第18页代理服务设置“设置”对话框协议端口服务协议端口功能HTTP808用于使用浏览器上网FTP(Web)808用于使用浏览器访问FTP站点FTP2121用于使用FTP客户端软件访问FTP站点RTSP808用于RealPlayerSOCKS/MMS1080SOCKS用于某些网络应用程序如QQ,MMS用于Microsoft媒体服务Telnet23用于Telnet客户端程序2019年10月17日12时29分第19页帐号设置帐号管理新建帐号获取地址创建完的帐号自动扫描演示演示帐户设置2019年10月17日12时29分第20页查看用户连接信息用户连接信息连接时间用户名IP地址事件2019年10月17日12时29分第21页二级代理启用二级代理代理地址代理协议端口二级代理clientProxyServerInternet2019年10月17日12时29分第22页缓存设置缓存更新时间IE缓存选项缓存路径缓存大小总是从缓存中读取2019年10月17日12时29分第23页网站过滤网站过滤主要内容网站过滤名站点过滤禁止连接禁止内容应用过滤规则2019年10月17日12时29分第24页时间安排时间安排对话框星期时间安排名时间表时间段复选框应用于2019年10月17日12时29分第25页日志管理通过日志可以查看用户的上网行为设置日志存储路径设置日志文件最大行数打开日志文件查看内容演示演示日志管理2019年10月17日12时29分第26页配置IE浏览器Internet选项连接局域网(LAN)设置地址端口代理服务器设置类型地址端口2019年10月17日12时29分第27页二、安装ISAServer20042019年10月17日12时29分第28页2.1ISAServer2004介绍ISAServer的功能介绍ISAServer的版本介绍标准版企业版ISAServer在域环境下的安装安装前的准备可选方案ISAServer的组件安装过程2019年10月17日12时29分第29页ISAServer2004功能介绍Internet防火墙Web缓存服务器安全服务器发布ISAServer2004可以部署成一台专用防火墙,作为内部用户接入Internet的安全网关企业内部用户能够向Internet发布Web服务、邮件服务等,避免这些务器直接暴露在Internet上而受到攻击通过把曾经使用过的内容直接给再次要求访问此资源的用户的缓存方式可以节约带宽,加快响应速度InternetISAServerInternetISAServerCache用户1用户2InternetISAServerWEBSrvFTPSrv内部网络2019年10月17日12时29分第30页ISAServer的版本版本特点标准版(1)具备为小型企业、工作组和部门环境提供企业级防火墙安全和Web缓存的能力(2)支持快速的Web访问(3)直观的管理界面企业版(1)满足大容量Internet通信环境对性能、管理和扩展能力的要求而推出的(2)提供集中式服务器管理、多级访问策略、服务器阵列群集,以及容错能力等(3)还可以架设多台服务器形成阵列模式2019年10月17日12时29分第31页ISAServer安装注意事项对象要求CPU至少550MHz以上,推荐2.0G以上内存至少256MB,推荐512MB硬盘空间至少150MB,如果使用缓存模式,需要NTFS分区操作系统WindowsServer2003或Windows2000Server(如果是Windows2000Server,必须安装ServicePack4或更高版本,还要求打KB821887补丁)网络适配器必须为连接到ISAServer20042004的每个网络单独准备一个适配器,如果只有一个单适配器会自动作为缓存模式2019年10月17日12时29分第32页2.2ISAServer综合解决方案小型企业应用方案对于有几十台计算机,使用一条专线上网的小型企业ISAServer放在公司局域网和Internet之间为整个网络提供共享连接和安全性InternetISAServer2019年10月17日12时29分第33页ISAServer综合解决方案(Cont)中型企业应用方案可以部署成三宿主机外围网络形式单个的ISAServer计算机上安装了三块网卡分别连接Internet、DMZ和内部网络InternetISAServer内部网络WEBSrvFTPSrvDMZ区域2019年10月17日12时29分第34页ISAServer的组件配置存储服务器ISAServer阵列(运行ISA服务器服务)远程管理用于存储企业中全部阵列的配置信息对一组ISAServer服务器的统一管理方式。阵列中所有的服务器共享同样的配置ISA服务器服务:运行防火墙和缓存服务的ISA服务器ISA服务器管理:用于管理企业和阵列成员的管理终端2019年10月17日12时29分第35页2.3ISAServer在域环境下的安装启动安装程序:光盘安装“ISAAutorun.exe”选择安装方案选择企业安装选项配置存储服务器设置帐号对DC有控制权的用户才有权配置存储服务器指定网络选择网卡指定内部网络地址范围设置防火墙客户端连接启动安装过程至完毕1.安装ISA服务器服务2.安装配置存储服务器3.同时安装ISA服务器服务和配置存储服务器4.安装ISA服务器管理1.创建新ISA服务器企业2.创建企业配置的副本2019年10月17日12时29分第36页ISAServer在域环境下的安装2019年10月17日12时29分第37页2.4ISAServer界面介绍启动界面全部可供管理的模块,按企业和阵列进行组织选中某模块时,在此处可看该模块的明细可对该模块执行的任务学习的重点2019年10月17日12时29分第38页二、配置ISAServer20042019年10月17日12时29分第39页2.1ISAServer2004基础知识网络模板策略元素协议用户集内容类型计划网络对象2019年10月17日12时29分第40页网络模板2-1作用为了方便管理员设置防火墙策略提供了5个预定义的网络模板,包含了常用与复杂的网络拓扑使用方法【阵列】-【网络】,点击右侧的【模板】网络模板2019年10月17日12时29分第41页网络模板2-2边缘防火墙3向外围网络前端防火墙后端防火墙2019年10月17日12时29分第42页策略元素ISAServer通过策略来控制网络访问每条策略规则就要由一些特定的参数来达到规定的要求策略元素就是策略规则的参数ISAServer允许创建多种策略元素在定义的任何规则中使用策略元素协议、用户集、内容类型、计划、网络对象2019年10月17日12时29分第43页协议协议类型TCP、UDP、ICMP和IP方向UDP:包括“发送”、“接收”、“发送接收”或“接收发送”TCP:包括“入站”和“出站”ICMP和IP:包括“发送”和“发送接收”出站端口范围1-65535协议号0-2542019年10月17日12时29分第44页用户集定义可以将用户归入相应的集合中用户集可以包括来自任何身份验证方案的一个或多个用户例如,用户集可以包括所有Windows用户默认用户集所有经过认证的用户所有用户系统和网络服务2019年10月17日12时29分第45页内容类型当数据包经过防火墙时,可以根据定义的规则来检查数据包内容,达到限制或过滤的目的视频音频图像压缩文件2019年10月17日12时29分第46页计划定义可以根据企业的需求将一天24小时分成许多时段例如:“工作时段”、“午休时段”、“全天时段”默认时段周末星期六与星期日全天工作时间周一至周五上午9:00-17:002019年10月17日12时29分第47页网络对象定义应用防火墙规则的源和目的网络种类网络:一定范围的IP地址网络集:一个或多个网络计算机:一个IP地址地址范围、子网、计算机集:一定范围的IP地址网络对象2019年10月17日12时29分第48页2.2防火墙策略规则受保护网络外部网络ISAServer2004WebServerMailServerClientServerWebClient站点与内容规则策略元素策略元素允许或拒绝允许或拒绝防火墙策略协议规则策略元素策略元素允许或拒绝允许或拒绝2019年10月17日12时29分第49页常用访问规则访问规