Cài đặt và quản trị Microsoft Proxy Server Trang 1
DỊCH VỤ PROXY
1. Giới thiệu về cơ chế bảo mật cho hệ thống mạng
Internet là một hệ thống mở, đó là điểm mạnh và cũng là điểm yếu của nó. Điểm
yếu đó chính giảm khả năng bảo mật cho hệ thống thông tin nội bộ. Bởi vì nếu hệ
thống chỉ giới hạn trong nội bộ của cơ quan thì không có vấn đề gì, nhưng khi đã kết
nối Internet thì phát sinh những vấn đề hết sức quan trọng trong việc quản lý các tài
nguyên quý giá - nguồn thông tin - như chế độ bảo vệ chống việc truy cập bất hợp
pháp trong khi vẫn cho phép người được ủy nhiệm sử dụng các nguồn thông tin mà họ
được cấp quyền, và phương pháp chống rò rỉ thông tin trên các mạng truyền dữ liệu
công cộng (Public Data Communication Network). Yêu cầu xây dựng hệ thống an ninh
ngày càng quan trọng vì những lý do sau:
+ Các đối thủ cạnh tranh luôn tìm cách để nắm được mọi thông tin của những
người cạnh tranh.
+ Các tay hacker tìm cách xâm nhập phá hoại hệ thống mạng nội bộ …
a) Firewall là gì
Thuật ngữ firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để
ngăn chặn, hạn chế hỏa hoạn. Trong công nghệ thông tin, firewall là một kỹ
thuật được tích hợp vào hệ thống mạng để chống lại việc truy cập trái phép,
bảo vệ các nguồn tài nguyên cũng như hạn chế sự xâm nhập vào hệ thống của
một số thông tin khác không mong muốn. Cụ thể hơn, có thể hiểu firewall là
một cơ chế bảo vệ giữa mạng tin tưởng (trusted network), ví dụ mạng intranet
nội bộ, với các mạng không tin tưởng mà thông thường là Internet. Về mặt vật
lý, firewall bao gồm một hoặc nhiều hệ thống máy chủ kết nối với bộ định
tuyến (router) hoặc có chức năng router. Về mặt chức năng, firewall có nhiệm
vụ:
+ Tất cả các trao đổi dữ liệu từ trong ra ngoài và ngược lại đều phải thực hiện
thông qua firewall.
+ Chỉ có những trao đổi được cho phép bởi hệ thống mạng nội bộ (trusted
network) mới được quyền lưu thông qua firewall.
Các phần mềm quản lý an ninh chạy trên hệ thống máy chủ bao gồm :
• Quản lý xác thực (Authentication): có chức năng ngăn cản truy cập trái
phép vào hệ thống mạng nội bộ. Mỗi người sử dụng muốn truy cập
hợp lệ phải có một tài khoản (account) bao gồm một tên user (user
name) và mật khẩu (password).
• Quản lý cấp quyền (Authorization): cho phép xác định quyền sử dụng
tài nguyên cũng như các nguồn thông tin trên mạng theo từng người,
từng nhóm người sử dụng.
• Quản lý kế toán (Accounting Management): cho phép ghi nhận tất cả
các sự kiện xảy ra liên quan đến việc truy cập và sử dụng nguồn tài
nguyên trên mạng theo từng thời điểm (ngày/giờ) và thời gian truy cập,
vùng tài nguyên nào đã được sử dụng hoặc thay đổi bổ sung …
b) Các loại firewall và cơ chế hoạt động
• Bộ lọc packet (packet filtering)
Cài đặt và quản trị Microsoft Proxy Server Trang 2
Loại firewall này thực hiện việc kiểm tra số nhận dạng của địa chỉ của các
packet để cho phép chúng lưu thông qua lại được hay không. Các thông số có
thể lọc được của một packet như:
⇒ Địa chỉ IP nơi xuất phát (source IP address).
⇒ Địa chỉ IP nơi nhận (destination IP address).
⇒ Cổng TCP nơi xuất phát (source TCP port).
⇒ Cổng TCP nơi nhận (destination TCP port).
Firewall loại này cho phép kiểm soát được kết nối vào máy chủ hoặc mạng nào
đó được xác định, hoặc khóa việc truy cập vào hệ thống mạng nội bộ từ những
địa chỉ không cho phép. Ngoài ra nó còn cho phép kiểm soát việc sử dụng
những dịch vụ chạy trên hệ thống mạng nội bộ thoe các cổng TCP mà các dịch
vụ Internet sử dụng.
• Cổng ứng dụng (Application gateway)
Đây là loại firewall được thiết kế tăng cường để tăng cường chức năng kiểm
soát các loại dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ
chế hoạt động của nó dựa trên Proxy Service (dịch vụ đại diện): một ứng dụng
nào đó được đại diện bởi một Proxy Service trong khi các Proxy Service chạy
trên các hệ thống máy chủ thì được quy chiếu đến application gateway của
firewall. Cụ thể hơn, khi một ứng dụng trong mạng nội bộ yêu cầu một đối
tượng nào đó trên Internet, Proxy Server trong mạng sẽ nhận yêu cầu này và
chuyển đến server trên Internet. Khi server trên Internet trả lời, Proxy Server sẽ
nhận và chuyển ngược lại cho máy trong mạng nội bộ đã gửi yêu cầu. Cơ chế
lọc của packet filtering kết hợp với cơ chế “đại diện” của application gateway
cung cấp một khả năng an toàn và uyển chuyển hơn, đặc biệt khi kiễm soát các
truy cập từ bên ngoài.
Ví dụ một hệ thống mạng có chức năng packet filtering ngăn các kết nối bằng
TELNET vào hệ thống ngoại trừ một máy duy nhất - TELNET application
gateway là được phép. Một người muốn sử dụng dịch vụ TELNET muốn kết
nối vào hệ thống phải qua các bước sau:
⇒ Thực hiện telnet vào TELNET application gateway rồi cho biết
tên của máy chủ bên trong còn truy cập.
⇒ Gateway kiểm tra địa chỉ IP nơi xuất phát của ngưòi truy cập để
cho phép hoặc từ chối.
⇒ Người truy cập phải vượt qua hệ thống kiểm tra xác thực.
⇒ Proxy Service tạo một kết nối Telnet giữa gateway và máy chủ
cần truy nhập.
⇒ Proxy Service liên kết lưu thông giữa ngưòi truy cập và máy chủ
trong mạng nội bộ.
Cơ chế bộ lọc packet kết hợp với cơ chế proxy có nhược điểm là hiện nay các
ứng dụng đang phát triển rất nhanh, do đó nếu các proxy không đáp ứng kịp cho
các ứng dụng, nguy cơ mất an toàn sẽ tăng lên.
c) Microsoft Proxy server
Microsoft Proxy Server là một phần mềm proxy có chức năng firewall kết hợp
giữa cơ chế lọc packet và cổng ứng dụng. Nó hỗ trợ hầu hết các chuẩn
Internet, bao gồm HTTP, FTP, Real Audio (streaming audio), VDOLive
Cài đặt và quản trị Microsoft Proxy Server Trang 3
(streaming video), IRC (Internet relay Chat) và các giao thức cho dịch vụ mail và
tin tức. Microsoft Proxy Server hỗ trợ cho giao thức IPX/SPX nên nếu hệ thống
chạy Novell Netware không cần phải cài đặt TCP/IP. Microsoft Proxy Server
cung cấp các khả năng sau:
+ Mở rộng các ứng dụng Internet cho các máy desktop trong hệ thống mạng nội
bộ. Trong một số trường hợp, Microsoft Proxy Server giúp giảm nhẹ việc
quản trị các máy trạm trong mạng.
+ Có thể tăng hiệu suất và khả năng truy cập các dịch vụ Internet cho mạng nội
bộ nhờ đặc tính tích hợp chặt chẽ với Windows NT và khả năng cache cao.
+ Thiết lập cơ chế giám sát, điều khiển việc truy cập giữa hệ thống mạng nội
bộ và Internet.
+ Tích hợp với Windows Windows Windows NT, mang lại hiệu suất cao và dễ
dàng quản trị.
Với Microsoft Proxy Server, client có thể truy cập Internet thông qua Web Proxy
Service hoặc Winsock Proxy Service.
Web Proxy Service có các tính năng và đặc điểm sau:
+ Tương thích với CERN-proxy.
+ hỗ trợ các giao thức Internet thông dụng như HTTP, FTP và Gopher.
+ Cache các đối tượng HTTP để giảm thời gian truy cập.
+ Tăng cường khả năng bảo mật nhờ các chương trình quản lý xác thực
(authentication).
+ Lưu lại việc sử dụng các dịch vụ Internet của user.
+ Giới hạn việc truy cập Internet bằng cách “lọc” theo địa chỉ IP, theo nhóm, theo
domain.
+ Dễ dàng quản trị nhờ các công cụ đồ họa.
Winsock Proxy Service có các đặc điểm và tính năng sau:
+ Tăng cường bảo mật với các chương trình quản lý xác thực.
+ Tương thích với các ứng dụng dùng Windows Sockets version 1.1
+ Điều khiển các kết nối vào/ra theo các cổng TCP hoặc UDP của từng dịch vụ
cụ thể: SMTP, POP3, Telnet, NNTP …
+ Giới hạn việc truy cập các site Internet bằng cách lọc theo tên domain, địa chỉ
IP, theo user hay nhóm người dùng.
+ Lưu lại việc sử dụng các dịch vụ của user để quản lý.
Cài đặt và quản trị Microsoft Proxy Server Trang 4
+ Có thể dùng với mọi máy client Windows.
2. Cấu hình hệ thống khi sử dụng Microsoft Proxy Server
Thông thường Microsoft Proxy Server hoạt động như một gateway nối giữa hai
mạng, mạng bên trong và mạng bên ngoài.
Đường kết nối giữa Microsoft Proxy Server và Internet thông qua Internet
Service Provider có thể chọn một trong các cách sau:
• Dùng modem analog: sử dụng giao thức SLIP/PPP để kết nối vào ISP
và truy cập Internet. Dùng dial-up thì tốc độ bị giới hạn, thường là 28.8
Kbps - 36.6 Kbps, hiện nay đã có modem analog tốc độ 56.6 Kbps
nhưng chưa được thử nghiệm nhiều. Phương pháp dùng dial-up qua
modem analog thích hợp cho các tổ chức nhỏ, chỉ có nhu cầu sử dụng
dịch vụ Web và e-mail.
• Dùng đường ISDN: Dịch vụ ISDN (Integrated Services Digital Network)
đã khá phổ biến ở một số nước tiên tiến. Dịch vụ này dùng tín hiệu số
trên đường truyền nên không cần modem analog, cho phép truyền cả
tiếng nói và dữ liệu trên một đôi dây. Các kênh thuê bao ISDN (đường
truyền dẫn thông tin giữa người sử dụng và mạng) có thể đạt tốc độ từ
64 Kbps đến 138,24 Mbps. Dịch vụ ISDN thích hợp cho các công ty vừa
và lớn, yêu cầu băng thông lớn mà việc dùng modem analog không đáp
ứng được.
Phần cứng dùng để kết nối tùy thuộc vào việc nối kết trực tiếp Microsoft
Proxy Server với Internet hoặc thông qua một router. Dùng dial-up đòi hỏi phải
có modem analog, dùng ISDN phải có bộ phối ghép ISDN cài trên server.
Cài đặt và quản trị Microsoft Proxy Server Trang 5
Việc chọn lựa cách kết nối và một ISP thích hợp tùy thuộc vào yêu cầu cụ thể
của công ty, ví dụ như số người cần truy cập Internet, các dịch vụ và ứng
dụng nào được sử dụng, các đường kết nối và cách tính cước mà ISP có thể
cung cấp.
3. Cài đặt Microsoft Proxy Server và Microsoft Proxy Client
a) Khái niệm bảng LAT:
Khi cài đặt Microsoft Proxy Server, trình Setup sẽ giúp tạo ra một bảng danh
sách các địa chỉ IP chứa địa chỉ của các máy trong mạng nội bộ. Các máy có địa
chỉ IP nằm trong bảng LAT sẽ được Microsoft Proxy Server xem như là thuộc
mạng bên trong, do đó đặc biệt phải loại mọi địa chỉ IP của mạng ngoài ra
khỏi danh sách.
Trình Setup cài bảng LAT lên server trong file Msplat.txt đặt trong thư mục
ngầm định là C:\msp\clients và share thư mục này với tên Mspclnt. Các máy
client có thể ánh xạ đến thư mục share này và chạy trình Setup cho client và thử
cấu hình browser của máy client như là client có Web Proxy Service.
Khi cài đặt máy client, trình Setup chép file LAT về máy client, và được cập
nhật từ server theo những khoảng thời gian xác định. Khi một ứng dụng
Windows Socket thử thiết lập kết nối đến địa chỉ IP, bảng LAT dùng để xác
định máy này thuộc mạng bên trong hay bên ngoài. Nếu là bên trong, kết nối sẽ
là trực tiếp, ngược lại thì phải thông qua Microsoft Proxy Server.
Cấu trúc bảng LAT như sau (xem hình):
Cài đặt và quản trị Microsoft Proxy Server Trang 6
b) Cài đặt Microsoft Proxy Server
Các yêu cầu cho server:
+ Phần cứng:
⇒ Yêu cầu đủ để chạy Windows NT server version 4.0 (xem tài
liệu về Windows NT ).
⇒ Để kết nối với Internet, phải có modem, ISDN adapters, hoặc
router tùy theo cách nối kết. Nếu sử dụng router thì server phải
có hai card mạng.
+ Phần mềm:
⇒ Microsoft Windows NT Server version 4.0
⇒ Microsoft Internet Information Server version 2.0
⇒ Windows NT Server 4.0 Service Pack 3]
⇒ Server phải cài đặt TCP/IP.
⇒ Trường hợp dùng modem thì cài thêm dịch vụ Remote Access
Service (RAS). Đặc biệt phải bỏ tùy chọn IP Fowarding trong
cấu hình TCP/IP.
• Chạy chương trình Setup:
1. Kiểm tra cấu hình phần cứng và phần mềm theo đúng yêu cầu
2. Nếu chưa cài Windows NT Service Pack, từ thư mục NtUpdate của đĩa CD
Microsoft Proxy Server, chạy chương trình Update để cài.
3. Từ thư mục của đĩa/thư -mục cài đặt, chạy Setup.
4. Nhấn Continue và vào CD Key.
5. Chọn folder để cài Microsoft Proxy Server vào đĩa cứng.
6. Chọn các thành phần cần cài đặt, có 3 thành phần:
⇒ Install Proxy Server
Cài đặt và quản trị Microsoft Proxy Server Trang 7
⇒ Install Administration Tool
⇒ Install Documentation
7. Chọn đĩa chứa dữ liệu cache, và đặt kích thước tối đa trong hộp
Maximum Size (MB). Dung lượng này ít nhất là 100 MB cộng
với 0.5 MB cho mỗi Web Proxy Service client. Chọn OK.
8. Trong hộp thoại , cho phép xác định các địa chỉ của mạng nội bộ
bên trong, chú ý phải loại bỏ mọi địa chỉ bên ngoài khỏi danh
sách.
9. Để thêm 3 phạm vi địa chỉ LAT do IANA định nghĩa sẵn dùng
cho các mạng nội bộ không có kết nối đến Internet, chọn Add
the private ranges.
10. Để lấy các địa chỉ IP từ card mạng của server, chọn Load
from Windows NT Internal Routing Table và làm theo các
hướng dẫn.
⇒ Nếu không biết các card mạng kết nối vào server, chọn Load
known address ranges from all IP interface cards.
⇒ Nếu biết card mạng nào nối với mạng nội bộ, card nào nối với
Internet, thì chọn Load known address from the folowing IP
interface card. Sau đó chọn card mạng nào sẽ dùng để lấy bảng
routing từ đó.
11. Sau khi chọn xây dựng cấu hình bảng LAT, nhấn OK.
Khi đó hộp thoại Local Address Table Configuration xuất hiện,
danh sách các cặp địa chỉ IP (địa chỉ bắt đầu - địa chỉ kết thúc)
xuất hiện. Kiểm tra danh sách này, sử dụng các nút Add: thêm
vào một cặp địa chỉ; Edit: thay đổi một cặp địa chỉ đã có;
Remove: loại bỏ một cặp địa chỉ đã có.
12. Sau khi bảng FAT đã cấu hình xong, nhấn OK. Hộp thoại
Client Instalation/Configuration xuất hiện. Sử dụng hộp thoại
này để vào các thông tin mà chương trình Setup client dùng để cài
đặt Microsoft Proxy client.
13. Dùng các chọn lựa dưới Winsock Proxy Client để mô tả
trình Setup sẽ cấu hình Winsock Proxy Client.
⇒ Chọn Machine or DNS Name hoặc IP Address. Nếu chọn
Machine or DNS Name, kiểm tra lại tên cho chính xác.
⇒ Nếu hộp kiểm tra Enable Access Control được chọn, Winsock
Proxy Service security được cho phép, và chỉ những client nào có
quyền mới sử dụng được dịch vụ Winsock Proxy Service trên
server, còn nếu không chọn, tất cả mọi máy bên trong đều có
quyền sử dụng Microsoft Proxy Server trên server.
14. Dùng các chọn lựa trong Web Proxy Client để mô tả các
thông tin cấu hình dùng khi cài đặt Web Proxy client.
⇒ Chọn Set Client Setup to Configure Browser Proxy Settings để
trình Setup cấu hình browser của client như là một Web Proxy
client (browser phải là Netscape Navigator hoặc Microsoft
Internet Explorer). Khi chọn tùy chọn này, kiểm tra lại tên trong
Proxy to be Used by Client có chính xác không. Đồng thời kiểm
Cài đặt và quản trị Microsoft Proxy Server Trang 8
tra trong Client Connects to Proxy via Port xem giá trị port mà
Web proxy client dùng .
⇒ Khi hộp kiểm tra Enable Access Control được chọn, thì nếu
client kết nối với server, server sẽ kiểm tra client này có hợp lệ
hay không.
15. Sau khi cấu hình xong nhấn OK. Trình Setup sẽ cài đặt
Microsoft Proxy Server.
c) Cài đặt lại Microsoft Proxy Server
• Thêm hoặc loại bỏ các thành phần trong Microsoft Proxy Server
1. Từ thư mục chứa trình cài đặt, chạy Setup. Hộp thoại Setup xuất
hiện.
2. Chọn Add/Remove, và theo các hướng dẫn trên màn hình
• Khôi phục các file bị lỗi : chạy trình Setup, chọn Reinstall
d) Loại bỏ Microsoft Proxy Server
+ Từ nhóm chương trình của Microsoft Proxy Server, chọn Uninstall
+ Hoặc chạy trình Setup, chọn Remove All
+ Hoặc dùng mục Add/Remove Program trong Control Panel để loại bỏ
e) Cài đặt Microsoft Proxy Client
• Cài đặt Client dùng trình Setup
⇒ 1. Từ máy client, kết nối vào thư mục share Mspclnt trên server.
Ví dụ nếu tên server là Proxy, thì kết nối đến \\Proxy\Mspclnt.
⇒ 2. Từ thư mục share Mspclnt, chạy trình Setup.
• Cài đặt Client từ Web browser
⇒ Từ Web browser trên client, kết nối vào trang cài đặt bằng cách
gõ vào URL http://server_name/Msproxy
⇒ Theo các hướng dẫn trên màn hình để cài đặt: đầu tiên file
Setup.exe sẽ được download về client, sau đó cho chạy trình
Setup. Việc cài đặt rất đơn giản, chỉ có một thao tác là chọn
folder để chứa các file được cài đặt.
4. Cấu hình Microsoft Proxy Server
a) Cấu hình Web Proxy Service
Sử dụng ISM để cấu hình Web Proxy Service
+ Khởi động ISM. Nhấn đúp vào service Web Proxy Service. Các mục cấu hình
Web Proxy Service bao gồm:
Cài đặt và quản trị Microsoft Proxy Server Trang 9
+
• Web Proxy Service Properties:
Các thông tin cấu hình trong phần này là:
⇒ Product ID: ID của Microsoft Proxy Server này.
⇒ Comment: chú thích cho service này.
⇒ Enable Internet Publishing: chọn tùy chọn để cho phép IIS
publish thông tin lên Internet, ngược lại chỉ publish trong mạng
nội bộ.
⇒ Current Sessions: cho xem các user đang gửi yêu cầu Internet đến
proxy server.
⇒ Edit Local Address Table: hiệu chỉnh bảng LAT.
• Permission: xác định các user và group được cho phép sử dụng Web
Proxy Service.
Cài đặt và quản trị Microsoft Proxy Server Trang 10
⇒ Enable Access Control: cho phép điều khiển kết nối từ client đến
proxy server. Nếu không chọn, mọi client đều cho quyền sử
dụng proxy service.
⇒ Protocol: Các giao thức tương ứng với các dịch vụ mà client có
thể dùng trên server này.
⇒ Grant Access To: Liệt kê các user, group được quyền sử dụng
protocol đã chọn.
⇒ Add: Thêm user, group vào danh sách.
⇒ Remove: Loại bỏ user, group khỏi danh sách.
• Caching: dùng mục này để cho phép cache hoặc không, và cấu hình các
tham số. Cache là lưu các thông tin (ví dụ một trang Web, hình ảnh …)
trên Internet mà người dùng đã truy cập trước đó vào đĩa cứng. Sau đó
nếu người dùng có truy xuất lại các thông tin này, thì Microsoft Proxy
Server sẽ lấy chúng từ đĩa cứng, do đó giảm được thời gian truy cập và
băng thông.
Cài đặt và quản trị Microsoft Proxy Server Trang 11
⇒ Enable Caching: cho phép cache hay không.
⇒ Cache Expiration: mô tả thời gian cache. Sử dụng thanh kéo để
chỉ ra mức độ cache. Always request update: các thông tin trong
cache sẽ được “làm tươi” thường xuyên từ nguồn trên Internet,
còn Fewest Internet Request: không “làm tươi” thường xuyên.
⇒ Enable Active Caching: mô tả điều kiện cache. Most client cache
hit: cache các thông tin thường xuyên mà các client hay yêu cầu,
còn Fewest Internet request không cập nhật thường xuyên.
⇒ Total Cache: dung lượng đĩa dùng để cache. Để thay đổi kích
thước cache, dùng nút Change Cache Size để thay đổi.
⇒ Reset Default: Đặt lại các thiết lập ngầm định trong Cache
Expiration Policy vàActive Caching Policy.
• Việc cấu hình các thông tin trong Logging
Cho phép log vào file hoặc vào một CSDL SQL Server hoặc Access. Để log vào
một CSDL, phải mô tả ODBC Data Source Name tham chiếu đến CSDL, tên
bảng chứa dữ liệu trong CSDL, tên user và mật khẩu truy cập vào CSDL. Cấu
trúc bảng khi dùng CSDL SQL Server như sau:
Tên field Kiểu Đ Mô tả
dữ ộ
Cài đặt và quản trị Microsoft Proxy Server Trang 12
liệu d
ài
ClientIP varc 5 Địa chỉ IP của client
har 0
ClientUsername varc 5 Tên account logon vào Windows NT
har 0
ClientAgent varc 1 Nếu là Web Proxy Service, đây là thông
har 0 tin header mà browser gửi đến server.
0 Nếu là Winsock Proxy Service, là tên của
ứng dụng phát ra yêu cầu.
ClientAuthentica char 5 Loại authenticate mà client sử dụng.
te
logTime datet Thời gian phát sinh biến cố log.
ime
service varc 2 Tên của service được dùng.
har 5
servername varc 5 Tên của server chạy proxy service.
har 0
referredserver varc 1 Sử dụng trong trường hợp có nhiều proxy
har 0 server tham chiếu lẫn nhau.
0
DestHost varc 2 Tên DNS của server ở mạng ngoài phục
har 5 vụ các yêu cầu của client bên trong.
5
DestHostIP varc 5 Địa chỉ IP của server bên ngoài.
har 0
DestHostPort int Chỉ số cổng của server bên ngoài.
processingtime int Thời gian xử lý một yêu cầu.
bytessent int Số byte gửi.
bytesrecvd int Số byte nhận.
protocol varc 2 Tên giao thức được dùng (HTTP, FTP…)
har 5
transport varc 2 Tên giao thức truyền : TCP, UDP
har 5
operation varc 2 Phương thức hoặc hàm API được dùng.
har 5
5
uri varc 2 Nội dung của URL
har 5
5
mimetype varc 2 Kiểu của Multi-purpose Internet Mail
har 5 Extension.
objectsource varc 2 Chỉ ra cách lấy các thông tin được yêu
har 5 cầu.
resultcode int Mã lỗi trả về:
200: thành công (Successful).
Cài đặt và quản trị Microsoft Proxy Server Trang 13
10060: lỗi quá hạn (Connection timed out)
10061: Kết nối bị từ chối (Connection
refused by destination).
10065: Đích không đạt được.
11001: Đích không tìm thấy.
Cấu trúc bảng khi dùng CSDL Access như sau:
Tên field Kiểu dữ Đ Mô tả
liệu ộ
d
à
i
ClientIP text 5 (Tương tự bảng trên)
0
ClientUsername text 5
0
ClientAgent text 1
0
0
ClientAuthentica text 5
te
logTime datetime
service text 2
5
servername text 5
0
referredserver text 1
0
0
DestHost text 2
5
5
DestHostIP text 5
0
DestHostPort Long
Integer
processingtime Long
Integer
bytessent Long
Integer
Cài đặt và quản trị Microsoft Proxy Server Trang 14
bytesrecvd Long
Integer
protocol text 2
5
transport text 2
5
operation text 2
5
5
uri text 2
5
5
mimetype text 2
5
objectsource text 2
5
resultcode Long
Integer
Có hai tùy chọn khi log là :
⇒ Regular: chỉ log một số các field.
⇒ Verbose: log toàn bộ các field.
• Cấu hình chức năng Filter của Web Proxy Service giống như trong dịch
vụ mail.
b) Cấu hình Winsock Proxy Service
Để cấu hình các thuộc tính của Winsock Proxy Service, khởi động IIS, nhấn
đúp chuột vào service. Các mục cấu hình Winsock Proxy Service bao gồm:
• Winsock Proxy Service Properties:
Cài đặt và quản trị Microsoft Proxy Server Trang 15
Chú thích cho
service này.
Xem và hiệu
chỉnh bảng LAT
• Protocol: xác định các giao thức mà các ứng dụng Windows Socket có
thể được dùng để truy cập Internet thông qua Winsock Proxy Service
trên server này. Với mỗi giao thức, các cổng nào sẽ được dùng cho các
kết nối vào/ra.
Thêm một giao thức
vào danh sách
Các giao
thức mà Thay đổi các
ứng dụng thông số cấu
Windows hình cho một
Socket sử giao thức.
dụng
Loại bỏ giao
thức đang
chọn khỏi
danh sách
Cài đặt và quản trị Microsoft Proxy Server Trang 16
Khi nhấn vào nút Add để thêm một giao thức, phải cung cấp các thông tin:
⇒ Protocol name: tên của protocol được thêm vào.
⇒ Port: số của cổng trên server dùng cho các kết nối ban đầu.
⇒ Type: kiểu giao thức được dùng cho các kết nối ban đầu: TCP
hoặc UDP.
⇒ Direction: nếu kiểu là TCP, chọn Outbound cho phép client khởi
động kết nối với server ở xa, còn chọn Inbound thì server ở xa
sẽ khởi động việc nối kết quả cổng mô tả. Nếu kiểu là UDP,
chọn Outbound cho phép cổng này chuyển các packet được gửi
từ client đến một một server bên ngoài, chọn Inbound cho phép
cổng này chuyển các packet được gửi từ server bên ngoài đến
client.
• Cấu hình các thông tin trong Permission, Logging và Advanced giống
như trong Web Proxy Service.
c) Sử dụng Microsoft Proxy Server và Remote Access Service
Cài đặt RAS lên server Microsoft Proxy Server cho phép sử dụng đường dial-up
kết nối với ISP. Đồng thời Microsoft Proxy Server hoạt động như một RAS
server khi phục vụ cho các user ở xa dial-up vào hệ thống. Khi sử dụng
Microsoft Proxy Server như là RAS client để dial-up vào ISP, Microsoft Proxy
Server cung cấp một tiện ích là Microsoft Proxy Auto Dial để quản lý việc sử
dụng.
Để dùng công cụ Microsoft Proxy Auto Dial này, từ menu Start, vào
Program\Microsoft Proxy Server và chọn Auto Dial Configuration.
Cài đặt và quản trị Microsoft Proxy Server Trang 17
• Dialing Hours: thiết lập thời gian theo giờ trong ngày, theo ngày trong
tuần mà dịch vụ dial được cho phép. Để thiết lập thời gian gọi, thực
hiện các bước sau:
⇒ Chọn tuỳ chọn Enable Dial on Demand.
⇒ Chọn thời điểm cho phép/.không cho phép tương ứng các ô trên
bảng thời gian. Nếu cho phép thì nhấn Enable (ô đổi thành màu
xanh), ngược lại chọn Disable (ô có màu trắng).
• Credential: dùng để thiết lập các thông tin mà ISP yêu cầu khi thiết lập
kết nối từ Microsoft Proxy Server đến ISP như user name, password và
domain. Các thông tin này do ISP cung cấp. Để dùng được Credential,
phải cài đặt Dial-Up Networking và tạo một phone book entry. Tham
khảo tài liệu Windows NT về cách cài đặt, cấu hình và sử dụng Remote
Access Service, Dial-Up Networking.
Cài đặt và quản trị Microsoft Proxy Server Trang 18
Bài tập - Quản trị dịch vụ Proxy
Bài thực hành 1
Cấu hình hệ thống mạng dùng proxy service.
1. Cấu hình lại hệ thống mạng tách làm hai mạng con, một mạng con dùng một
lớp địa chỉ IP từ 192.168.128.1 trở đi, đóng vai trò là mạng bên ngoài, một đóng
vai trò là mạng bên trong, dùng các địa chỉ IP từ 192.168.129.1 trở đi. Server
DNS đặt ở mạng bên trong. Mạng bên ngoài cũng có một server Windows NT.
Chuẩn bị một server Windows NT sẽ cài proxy service, hoạt động như một
gateway giữa hai mạng, đặt tên là gateway.
2. Cài đặt giao thức RIP lên server Windows NT gateway, bật và tắt tùy chọn IP
Forwarding. Dùng tiện ích Ping để kiểm tra việc liên thông giữa hai mạng.
Bài thực hành 2
Cài đặt Microsoft Proxy Server
1. Cài đặt Proxy service trên server Windows NT gateway. Cấu hình bảng LAT.
2. Tắt tùy chọn IP Forwarding, dùng Ping để kiểm tra.
3. Cấu hình để sử dụng dịch vụ proxy cho Web browser như Nescape Navigator
hoặc Internet Explorer cho các máy client thuộc mạng bên trong. Dùng các
browser để truy cập một server bên mạng ngoài kiểm tra.
Bài thực hành 3
Quản lý cấp quyền cho các user sử dụng Web Proxy Service và
1. Tạo thêm một số nhóm user mới.
2. Cấp quyền cho các user/nhóm user sử dụng Web Proxy Service : WWW, FTP.
3. Cấp quyền cho các user/nhóm user sử dụng Winsock Proxy Service. Cấu hình
mail client để dùng proxy service.
Bài thực hành 4
1. Dùng Logging để lại ghi lại việc sử dụng các dịch vụ Internet.
2. Logging vào file.
3. Logging vào CSDL SQL đặt trên server SQL. Viết chương trình thống kê việc
sử dụng dịch vụ Internet dựa trên CSDL này.
Bài thực hành 5
Sử dụng Microsoft Proxy Server kết hợp với RAS.
1. Không dùng đường LAN để nối 2 mạng mà sử dụng dial-up với modem
analog. Cài đặt RAS lên 2 server, một server bên ngoài giả lập ISP và server
Microsoft Proxy Server.
2. Sử dụng RAS và Dial-Up Networking truy cập vào server bên ngoài.