Занятие 1. Контроль исходящих соединений

(Продолжительность занятия 40 минут)

Организуя доступ в Интернет, Вы можете контролировать уровень доступа пользователей к ресурсам Интернета. На этом занятии Вы познакомитесь с примерами ограничения доступа пользователей внутренней сети к внешним сетям и поупражняетесь в ограничении доступа.

Изучив материал этого занятия, Вы сможете:

• управлять доступом пользователей Вашей внутренней сети к ресурсам Интернета через представительские службы, отвечающие стандартам CERN;
• управлять доступом пользователей Вашей внутренней сети к ресурсам Интернета через приложения Windows Sockets;
• управлять доступом пользователей Вашей внутренней сети к ресурсам Интернета через приложения SOCKS.

Помимо обеспечения клиентам полного доступа к Интернету, Proxy Server предоставляет в распоряжение администратора широкий спектр средств контроля за исходящими соединениями. С их помощью Вы легко добьетесь необходимого уровня контроля за доступом в Интернет клиентов разных типов.

Критерии ограничения доступа

Доступ к Интернету и другим внешним сетям лимитируют по следующим параметрам: по службе Интернета, IP-адресу, маске подсети, имени домена и номеру порта.

Служба Интернета

Самый разумный подход — разрешить доступ только к тем службам, которые реально применяются. Если пользователям Вашей сети не нужна какая-либо служба, запретите доступ к ней.

Возьмите за правило предоставлять доступ только к конкретным службам Интернета и ограничивать его определенной группой пользователей. Служба Web Proxy позволяет контролировать доступ к следующим службам Интернета: HTTP, FTP, Gopher и SSL.

IP-адрес, маска подсети и имя домена

Вы можете ограничивать доступ по IP-адресу, по маске подсети или по имени домена. Для этого необходимо включить фильтрование и задать соответствующие параметры.

При настройке средств защиты в Вашей сети решите заранее, будете ли Вы ограничивать доступ по этим параметрам. Предварительное планирование значительно упрощает администрирование сервера.

• Если пользователи Вашей сети должны иметь полный доступ к Интернету - отключите фильтрование.
• Чтобы разрешить доступ без ограничений только конкретным подсетям, сконфигурируйте сервер так, чтобы полностью запретить доступ, а затем разрешите доступ только для требуемых подсетей.
• Если же Вы хотите запретить всем пользователям доступ к определенным доменам или узлам, полностью разрешите доступ на сервере и укажите только те домены, доступ к которым необходимо запретить — Proxy Server откажет в доступе к ним.

Фильтры доменов могут играть разные роли. Например, если в Вашей компании нет глобальной корпоративной сети, представительские службы помогут использовать в этом качестве Интернет. Для этого достаточно запретить доступ ко всем доменам и узлам Интернета за исключением Ваших корпоративных узлов. При правильной настройке защиты Интернет вполне может выполнять функции глобальной корпоративной сети.

Номер порта

При использовании службы WinSock Proxy доступ к Интернету контролируется по номеру порта для протоколов TCP и UDP.

Для доступа к Интернету через службу WinSock Proxy применяется стандартный набор определений протоколов. Вы вправе модифицировать существующие определения или создать новые для обеспечения контроля доступа или для решения иных задач.

Упражнения

В приведенном ниже упражнении Вы сконфигурируете доступ к внешним ресурсам для приложений Web Proxy. Чтобы выполнить упражнение, с помощью Диспетчера пользователей домена Windows NT Server создайте перечисленные в таблице локальные группы и учетные записи пользователей.

Пользователь	Группа
Alan	MIS-Department
Alicia	Accounting
Morgan	Marketing
Sally	Customer Service
Scott	Shipping- Receiving

Сначала Вы сконфигурируете службы WWW и FTP IIS, чтобы контроль доступа осуществлялся средствами Proxy Server. Затем Вы назначите группам права доступа для службы Web Proxy и настроите фильтрование по имени домена.

> Контроль доступа средствами Proxy Server

1. Запустите Диспетчер служб Интернета.
2. Дважды щелкните значок службы WWW. Появится диалоговое окно WWW Service Properties For имя_компьютера.
3. В группе Password Authentication на вкладке Service сбросьте флажок Allow Anonymous.
4. Щелкните кнопку ОК.
5. Дважды щелкните значок службы FTP. Появится диалоговое окно FTP Service Properties For имя_компьютера.
6. На вкладке Service сбросьте флажок Allow anonymous connections. Появится диалоговое окно Internet Service Manager, информирующее о последствиях этого действия.
7. Для продолжения работы щелкните кнопку Yes. Появится диалоговое окно FTP Service Properties For имя_компьютера.
8. Щелкните кнопку ОК, чтобы вернуться в окно Диспетчера служб Интернета.

> Назначение прав доступа групп в Web Proxy

1. В окне Диспетчера служб Интернета дважды щелкните значок службы Web Proxy. Появится диалоговое окно Web Proxy Service Properties For имя_компьютера.
2. Откройте вкладку Permissions.
3. В списке Protocol выберите FTP Read, щелкните кнопку Edit, а затем в диалоговом окне FTP Read Permissions — кнопку Add. Появится диалоговое окно Add Users and Groups.
4. Руководствуясь приведенной ниже таблицей, разрешите перечисленным в ней группам доступ к указанным протоколам.

5. В диалоговом окне Add Users and Groups выберите группы, которым необходимо присвоить права доступа для выбранного протокола.
6. Щелкните кнопку ОК.
7. Продолжайте добавлять группы до тех пор, пока все они не окажутся в списке Add Names.
8. Щелкните кнопку ОК.
9. Появится диалоговое окно FTP Read Permissions со списком выбранных групп.
10. Щелкните кнопку ОК.
11. Повторите действия 3—10 для протоколов Gopher и WWW.

> Конфигурирование фильтра доменов Web Proxy

1. В окне Диспетчера служб Интернета дважды щелкните значок службы Web Proxy. Появится диалоговое окно Web Proxy Service Properties For имя_компьютера. 1. На вкладке Service щелкните кнопку Security.
2. Откройте вкладку Domain Filters.
3. Установите флажок Enable Filtering. Кнопка фильтрования по умолчанию называется Granted.
4. Щелкните кнопку Add.
5. Щелкните Domain. Появится поле Domain.
6. В поле Domain введите example.microsoft.com
7. Щелкните кнопку ОК.
8. Повторите действия 5—8 для узла samples.microsoft.com.
9. Щелкните ОК. Появится диалоговое окно Web Proxy Service Properties For имя_компьютера.
10. Щелкните кнопку ОК, чтобы сохранить изменения и вернуться в окно Диспетчера служб Интернета.
11. Остановите и перезапустите службы WWW и FTP, чтобы внесенные изменения вступили в силу.

Теперь Вы проверите доступ пользователей к службам WWW, FTP и Gopher. Выполняйте упражнение на компьютере-клиенте.

> Проверка прав доступа

1. Зарегистрируйтесь в системе по учетной записи Alicia.

   ---

   Примечание Паролем этой и всех остальных учетных записей, применяемых для выполнения упражнений, является слово «password». При первом использовании учетной записи пользователя появляется требование сменить пароль. Для удобства примените непустой пароль (например, совпадающий с именем пользователя), чтобы по ошибке не зарегистрироваться по учетной записи пользователя, когда Вы намеревались зарегистрироваться по учетной записи Administrator.

   ---

2. На рабочем столе щелкните правой кнопкой значок Internet Explorer и выберите в контекстном меню команду Properties.
3. Откройте вкладку Connection.
4. Установите переключатель в положение Connect though a proxy server.
5. В поле Address of proxy to use введите имя Вашего компьютера Proxy Server в виде http://имя_компьютера
6. В поле Port введите 80.
7. Установите флажок Use the same proxy for all protocols
8. Щелкните ОК.
9. Запустите Microsoft Internet Explorer.
10. Попробуйте обратиться к следующим адресам:

    http://имя_компьютера

    ftp:.//имя_компьютера

    gopher://имя_компьютера

11. Какие сообщения Вы получили от Internet Explorer?

    Ответ

12. Почему Вы получили именно эти сообщения?

    Ответ

13. Повторите действия 1—12, зарегистрировавшись по учетной записи Sally из группы Customer Service.

    Ответ

14. Выйдите из системы.

В этом упражнении Вы научитесь конфигурировать Proxy Server для работы с приложениями WinSock (не отвечающими спецификации CERN).

> Конфигурирование средств защиты службы WinSock Proxy

1. Запустите Диспетчер служб Интернета.
2. Дважды щелкните значок службы WinSock Proxy. Появится диалоговое окно WinSock Proxy Service Properties For имя_компьютера.
3. Откройте вкладку Protocols.
4. Щелкните Add. Появится диалоговое окно Protocol Definition.
5. В списке Protocol выберите пункт FTP Outbound.
6. В поле Port введите 20.
7. В поле Type введите TCP.
8. В поле Direction введите Outbound.
9. В поле Port Ranges for Subsequent Connections введите Add.
10. В первом поле Port or Range введите 1100.
11. Во втором поле Port or Range введите 1105.
12. В списке Type выберите пункт TCP.
13. В списке Direction выберите пункт Inbound.
14. Щелкните кнопку OK, чтобы вернуться в диалоговое окно Protocol Definition.
15. Щелкните кнопку OK, чтобы вернуться в диалоговое окно WinSock Proxy Service Properties For имя_компьютера.
16. Откройте вкладку Permissions.
17. Добавьте права доступа, перечисленные в приведенной ниже таблице. Для этого выберите соответствующий протокол, щелкните кнопки Edit, Add, затем выберите соответствующую группу, щелкните кнопку Add, а затем — ОК.

18. Щелкните кнопку OK, чтобы вернуться в диалоговое окно WinSock Proxy Service Properties For имя_компьютера.
19. Щелкните ОК, чтобы вернуться в окно Диспетчера служб Интернета.

Теперь Вы научитесь конфигурировать Proxy Server для использования с приложениями SOCKS.

> Конфигурирование защиты Socks Proxy

1. Запустите Диспетчер служб Интернета.
2. Дважды щелкните значок службы Socks Proxy. Появится диалоговое окно Socks Proxy Service Properties For имя_компьютера.
3. Откройте вкладку Permissions.
4. Щелкните кнопку Add. Появится диалоговое окно SOCKS Permission.
5. В списке Action выберите пункт Permit.
6. В поле Source щелкните ALL.
7. Установите флажок Destination.
8. Щелкните ОК. Появится диалоговое окно Socks Proxy Service Properties For имя_компьютера.
9. Щелкните ОК, чтобы сохранить изменения и вернуться в окно Диспетчера служб Интернета. Теперь пользователи могут обращаться к любому серверу SOCKS.

Резюме

Вы можете ограничить или запретить доступ к внешним сетям несколькими способами. Необходимо помнить, что при назначении прав доступа заданные Вами IP- адрес, подсеть или домен соответствуют исключениям из общего метода доступа.