В соответствии с политикой безопасности организации отдельным пользователям может быть разрешен полный доступ в Интернет, отдельным – доступ только к FTP ресурсам, или, например, электронной почте. MS Proxy Server 2.0 тесно интегрирован с системой безопасности Windows NT и может использовать список пользователей и групп для разрешения им доступа в Интернет по различным протоколам.

Рекомендуется завести отдельные локальные группы для пользователей различных протоколов, например – «Users of FTP Proxy», «Users of WWW Proxy» и т.п. Далее, в настройках Permissions службы Web Proxy или WinSock Proxy нужно дать каждой группе право пользования соответствующим протоколом. Теперь, чтобы дать конкретному пользователю право работать по данному протоколу, достаточно просто включить его в соответствующую группу. И наоборот, чтобы запретить использование протокола – удалить его из группы.

Чтобы включить контроль доступа, необходимо на вкладке Permissions соответствующей службы Proxy (Web Proxy или WinSock Proxy) поставить галочку в поле Enable access control. Кнопка Edit позволяет редактировать список пользователей, которым разрешен доступ к данному протоколу.

Для аутентификации пользователя могут применяться протоколы Basic и Windows NT Challenge / Response. Задать использование протокола можно в свойствах службы WWW.

Протокол аутентификации Basic плох тем, что пароль в нем по сети передается в открытом, т.е. не зашифрованном, виде. В отличие от Basic, протокол Windows NT Challenge / Response всегда передает пароль только в зашифрованном виде. Его преимуществом также является то, что пользователю при доступе не нужно вводить имя / пароль – используются значения, указанные им при входе в сеть. Но этот протокол поддерживается только Microsoft Internet Explorer 2.0 и выше. Т.о., если во внутренней сети функционируют приложения, не поддерживающие Windows NT Challenge / Response, и необходимо ограничить отдельным пользователям доступ в Интернет, единственным выходом остается использование протокола Basic.

В случае, если разрешен анонимный доступ, то пользователи, не указывающие имя / пароль, олицетворяются аккаунтом, указанном в поле Anonymous Logon. Этот тип доступа включать не рекомендуется.

Служба Socks Proxy не поддерживает аутентификацию на уровне пользователей. Для этой службы можно задать фильтр, в котором присутствуют адрес источника, приемника и номер порта.

В поле Action выбирается deny (запретить) или permit (разрешить). В качестве параметров для фильтра указываются:

- в поле Source (отправитель) и Destination (получатель): ALL – все компьютеры; Domain / Zone – домен или зона, указываемая в форме полного доменного имени (например, mycompany.com); IP Address – конкретный IP-адрес с маской подсети;

- в поле Port: операция над номером порта (EQ – равно, NEQ – не равно, GT – больше, LT – меньше, GE – больше или равно, LE – меньше или равно). В поле Port number or service name – номер порта или название службы TCP/IP, с которым происходит сравнение при выполнении указанной операции.

- Порт и получатель учитываются только, если поставить соответствующие галочки.

Т.о., для протокола Socks можно запретить доступ к определенным службам отдельным компьютерам. Вообще, если в сети все клиенты работают под управлением MS Windows, то применять протокол Socks не рекомендуется, – его вполне заменяет WinSock.

Для нашей типовой сети рекомендуется следующая политика разграничения доступа:

- служба Socks Proxy отключена;

- включена аутентификация с помощью протокола Windows NT Challenge / Response, аутентификация с помощью протокола Basic отключена, анонимный доступ также отключен;

- для служб Web Proxy и WinSock Proxy включен контроль доступа;

- созданы глобальные группы “Users of Proxy – unlimited”, “Users of WWW Proxy”, “Users of FTP Proxy”, “Users of Gopher Proxy”, “Users of SSL Proxy”, “Users of Email”, “Users of News” и т.п.;

- для Web Proxy разрешен доступ соответствующим группам по четырем поддерживаемым службой протоколам;

- для WinSock Proxy соответствующим группам разрешен доступ к соответствующим протоколам;

- группе “Users of Proxy – unlimited” разрешен доступ ко всем протоколам Web Proxy и Unlimited Access для WinSock Proxy. В эту группу рекомендуется включать только администраторов и руководителей;

- в службе WinSock Proxy доступ к протоколу DNS разрешен группе “Everyone”.