Windows 版 (精华区)

发信人: wodeji (西西), 信区: OS
标  题: NT Chinese Help (2-06
发信站: 哈工大紫丁香 (Sun Mar 29 16:41:16 1998), 转信

标  题: NT Chinese Help (2-06)
发信站: 大红花的国度 (Sat Jan  3 04:39:31 1998), 转信

发信人: haha (快乐的小哈), 信区: WinNT
标  题: NT Chinese Help (2-06)
发信站: 可爱的家BBS站 (Tue Nov  4 14:59:18 1997)

(六) Proxy 应用的策略配置.

   每个 Proxy Server 的管理员都必须重视的是,一定要制定好一个合理而且
安全代理策略 (Policy). 不管你在用 NT Proxy,MS Proxy,GT Proxy,Wingate,
Netscape Proxy ,或是别的什么 Proxy Server, 都必须牢记这一点, 除非你本
来就是想做个全民共享的 Proxy, 呵呵, 不过我提醒一句, 好人做不得啊,你若
提供一个 Free Proxy, 就会有数百个 Proxy Searcher 找到你, 然后你的流量
大增, 速度大减,保不定还有个别人开恶意玩笑,利用里面的某个 Bug,弄死你的
机器.   
   我在前面提到,我们可以为每种 Service 分别定制不同的策略, 而且还可以
把公共的策略放在缺省策略中,或者把某些策略对 Group 有效而关掉 Default,
这样就可以管理同一组人了,不必一个一个手工去设。
   但是我个人认为,采用缺省策略是有害的, 就象 NT4 里对所有目录的安全性
都是 Every One, Full Control,必须改掉的.即使你仔细审查了 Default 里面
的内容, 把授权用户写进 Default Policy, 仍然无法保证在  Default Policy 
里有没有其他方面的安全隐患,例如前些天所说的 Telnet Proxy 安全问题, 就
是因采用 Default Policy 引起的,其具体内容,将来会在 NT Chinese Help 安
全手册里详细讲述.
  关于安全手册,我建议 Yuhj,Jonny 或 Lenx,Cde 来写, 他们对安全性的研究
比我多,虽然我也到过不少 Warez 及 Security 站,无奈速度太慢, 看起来非常
的不爽, 弄的我很不耐烦, 深入研究的就更少了.
  说正题吧,我拿网上比较常用的 Wingate 为例子,说一下基本的策略制定方法.
  首先一定要优先考虑 Authenticated User,即授权用户,
  你必须用 Administrator 登录, 到 Remote Control Service 上面点鼠标右
键,选 Properties,(或者是双击 Remote Control Service 也行), 选 General, 
然后把那个 Bind to ... 前面那个叉号再点一下,使选项无效,关掉内部绑定,从
而允许客户机登录.
  然后要建立你所需的各种 Service, 记住要把 Policies 里面的那个 Include 
Default 给关掉, 否则你就自动包括了缺省的策略,将来可能会有麻烦.
  接下来就是建立组.
  我主张采用三级制,也就是建三个组.
  在 Administrators 里只放 Administrator,以免管理员太多,造成管理混乱.
  在 Users 里只放 Guest,所有 Service 都不对其开放,实际上是将其禁止了.
  1. Admin Users
  到 System Policy 里为其加上 Monitor Activity 及 Delete Sessions 的权
限, 并且在各种 Service 里给授权的 Admin Users 赋予最大权限,即不限制.
  2. Power Users
  到 System Policy 里为其加上 Monitor Activity 的权限, 并且根据需要在各
种 Service 里给授权的 Power Users 赋予权限,但限制不必太严格, 否则人家怎
么还是 Power Users 呢.
  3. Group Users
  这是实际使用中最基本的用户组(因为 Users 组被禁止了), 泥可以尽情的为他
们加上各种限制,如 “从......来”、“在......时间”, “允许......操作”,
更进一步,可以到 Caching 里面设置 Filter 和 Criterion, 其中内容极其丰富,
可以限制 IP , Port , Username , Url 等等,大家亲自试试就明白了.

  需要补充说明的是,Wingate 里的配置信息不是存在于什么 Ini, 
Inf, Cfg 文件里的,它在注册表里,所以它也是可以保留的,只要会
用 Regedit 或 Regedt32 就行. 最简单的理由是,我们制定了各种 
Service 的 Policy , 并且定义了各种用户, 当然不想每次都重复
一遍,把数据存起来,万一用的上的时候就方便多了.
  我们只要到注册表里找到相应路径,再把它导出,
  将来需要时再导入,或者用鼠标双击 Reg 文件就行.
  对于 Services 的配置,路径是 :
[HKEY_LOCAL_MACHINE\SOFTWARE\Qbik Software\WinGate 2\Services]
  对于 UserDatabase 的配置,路径是 :
[HKEY_LOCAL_MACHINE\SOFTWARE\Qbik Software\WinGate 2\UserDatabase]
  最后,祝大家好运,不要让人家攻进你的 Proxy Server.


--
                                       ——小哈很严肃的说

※ 来源:．可爱的家BBS站 bbs.njtu.edu.cn．[IP: bbs]


--
☆ 来源:．冰城BBS public.share.hr.hl.cn．[FROM: qiyy@bbs.hr.hl.cn]

--
☆ 来源:．哈工大紫丁香 bbs.hit.edu.cn．[FROM: badcat.bbs@bbs.hr.hl]