Раздел: Документация

0 ... 29 30 31 32 33 34 35 ... 131

Служба Web-прокси

Служба Web-прокси (щЗрщху), — служба Windows 2000, которая обрабатывает запросы любых Web-браузеров. Она позволяет обеспечить доступ к Web практически из любой операционной системы - Windows NT, Windows 95, Windows 98, Windows 2000, Macintosh и UNIX, Служба Web-прокси работает на прикладном уровне и выступает от имени клиентов, пересылая их запросы объектов Интернета по протоколам FTP, HTTP и Gopher. Служба Web-прокси также поддерживает протокол S-HTTP (Secure HTTP), обеспечивающий безопасные сеансы по SSL-каналам (Secure Sockets Layer).

Клиенты Web-прокси (как правило, браузеры) необходимо настроить для взаимодействия с ISA-сервером. Браузер анализирует URL-адреса узлов, запрашиваемых пользователем, и, обнаружив в адресе точки, полагает, что это полное доменное имя или IP-адрес удаленною узла, после чего пересылает HTTP-запрос на ISA-сервер для дальнейшей обработки.

Для наблюдения за состоянием службы Web-прокси. для ее запуска и останова используется консоль ISA Management, а точнее, элементы управления в папках Monitoring и Service (папка, вложенная в папку Monitoring).

При остановке службы Web-прокси информация из кэша не удаляется. При перезапуске службы на восстановлениекэша иногда требуется несколько секунд. При аварийном завершении работы Web-прокси ISA-сервер восстанавливает хранящуюся в кэше информацию. На это нужны дополнительные ресурсы, поэтому во время восстановления кэша может несколько снизиться.

Настройка клиентов Web-прокси

Для настройки клиента Web-прокси не нужно устанавливать какое-либо программное обеспечение, однако иногда требуете i перенастроить использующие прокси клиентские приложения на работу с ISA-сервером (рис, 3-2).

ШШ °р<"пШШ1№Г и:;;;. J**J

I

Use the totems* Ссшжвоп WUwtt to ff S3 connect your compute- to rue internet b -т-Уji;iTiil:

»d-upsetbncjs

Areasettings

1 Cancel I

Рис. 3-2. Настройка параметров локальной сети Internet Explorer на использование ISA-сервера

---

Имеется возможность автоматически загружать с ISA-сервера Сценарии конфигурирования клиента при каждом запуске браузера. Сценарий позволяет определить набор ISA-серверов и порядок обращения к ним в зависимости от URL-пдрсеа запрошенного объекта.

Сценарий хранится по одному URL-адресу на каждом из ISA-серверов массива. Это облегчает настройку Web-браузеров, так как не нужно изменять конфигурацию каждого браузера. Возможность загрузки сценариев поддерживают браузеры Internet Explorer, начиная с версии 3.02, и Netscape версии 2.0 и более поздней.

По умолчанию сценарий настройки располагается по адресу:

http://<имя компьютера>/атray.dll?Get.Routing.Script

где --имя компьютера.- — имя ISA-сервера. ISA-сервер автоматически генерирует этот сценарий в соответствии с параметрами на вкладках Direct Access и Backupстрани-

цы свойств Web-браузеров в консоли ISA Management.

* Ручная настройка Internet Explorer 5.0 на использование службы Welt-iipoKcn

1.Запустите Internet Explorer.

2.В меню Tools (Сервис) выберите команду Internet Options (Свойства обозревателя).

3.На вкладке Connections (Подключение) щелкните кнопку LAN Settings (Настройка

сети).

4.Установите флажок Use a proxy server (Использовать прокси-сервер).

5.В поле Address (Адрес) введите имя ISA-сервера или массива, а в поле Port (Порт) введите номер порта (обычно 8080).

Прямой доступ

Создание списка исключений Web-браузера позволяет обеспечить клиентам прямой доступ к компьютерам локальной сети. Вы также вправе указать, что всеперечисленные в таблице локального домена (Local Domain Table, LDT), доступны для прямого обращения со стороны клиентов. В этом случае клиенты используют LDT для определения порядка разрешения имен — напрямую или через ISA-сервер.

Практикум . Организация безопасного доступа в Интернет клиентов Web-прокси

На этом занятии вы воспользуетесь возможностями безопасной маршрутизации ISA-сервера и настроите на компьютере Server2 безопасный доступ к Web через Serverl. Поскольку, не имея явных указаний на пропуск пакетов, ISA-сервер запрещает прохождение трафика, необходимо создать правило протокола, разрешающее IP-трафик через брандмауэр ISA-сервера. Вы создадите такое правило. Обратите внимание, что правила протокола не делают ISA-сервер доступным лл>: входящего трафика, что позволяет настроить безопасный доступ клиентов в Интернет

без использования клиента брандмауэра.

Предполагается, что ISA-сервер уже подключен к Интернету по телефонной линии, а также настроено сетевое подключениеив соответствии с требованиями,

перечисленными в разделе «Об этой книге».

Задание 1. Создание правила протокола

Сейчас вы создадите правило протокола, разрешающее безопасный доступ в Интернет. Запуск мастера New Protocol Rule

I. Войдите в систему сервера Serverl под учетной записью Administrator (Администратор).

---

2.Щелкните кнопку Start (Пуск), затем последовательно выберите пункты меню Programs (Программы), Microsoft ISA Server и ISA Management.

3.Откройте меню View и отметьте команду Taskpad.

4.В дереве консоли последовательно раскройте узлы Servers and Arrays и MyArray. При этом откроются узлы конфигурации компьютера Sei*ei 1.

5.Раскройте узел Access Policy и выберите папку Protocol Rules.

6.В области сведений щелкните значок Create a Protocol Rule.

► Создание правила протокола при помощи мастера New Protocol Rule

1. В текстовом поле Protocol Rule Name введите AllowIP (разрешить IP-трафик).

Примечание Здесь решается упрощенная чадпчп: разрешить всем внутренним клиентам доступ к любому IP-трафику. В реальности часто требуется ограничивать доступ определенных пользователей, групп пользователей или подмножеств клиентов к определенным протоколам.

2.Щелкните кнопку Next,

3.В окне Rule Action установитев положение Allow и щелкните Next.

4.На странице Protocols в поле со списком Apply this rale to выберите элемент All IP traffic и щелкните кнопку Next.

5.На странице Schedule (расписание) в поле со списком Use This Schedule выберите элемент Always и щелкните Next.

6.На страницеType установите переключатель в положение Any Request и щелкните кнопку Next.

7.На странице Completing the New Protocol Rule Wizard щелкните Finish. В области сведений появится только что созданное правило AllowIP.

.:•:.!-; Между созданием правила протокола и началом его действия иногда проходит определенное время, поэтому перед выполнением задания 2 подождите несколько минут или перезапустите ISA-сервер в соответствии с инструкциями в занятии 4 этой главы.

Задание 2. Настройка Internet Explorer на использование службы Web-прокси

В этом задании вы настроите Internet Explorer на взаимодействие со службой Web-прокси ISA-сервера. Для связи с интернет-провайдером используйте подключение по телефонной линии компьютера

1.Войдите в домен DomainOJ с компьютера Server2 под учетной записью Administrator (Администратор).

2.Запустите Internet Explorer.

3.Если откроется окно мастера Internet Connection Wizard (Мастер подключения к Интеркету), выполните при помощи этого мастера настройку подключения к Интернету

по локальной сети.

4.В меню Tools (Сервис) выберите команду Internet Options (Свойства обозревателя).

5.На вкладке Connections (Подключение) щелкните кнопку LAN Settings (Настройка сети).

6.Сбросьте флажок Use A Proxy Server (Использовать прокси-сервер).

7.В поле Address (Адрес) введите 192.168.0.1, а в поле Port (Порт) - 8080.

8.Щелкните кнопку ОК, чтобы закрыть диалоговое окно Local Area Network (LAN) Settings (Настройка локальной сети).

9.Щелкните OK, чтобы закрыть диалоговое окно Internet Options (Свойства обозревателя).

0 ... 29 30 31 32 33 34 35 ... 131