授予PRoxy權限給新用戶組

　　打開IIS Service Manager，然后打開Web Proxy屬性頁。我將討論在MS Proxy Server里如何授予權限給一個組。打開Web Proxy Server屬性頁，選Permissions頁。

　　缺省情況下，MS Proxy Server沒有為任何協議配置權限許可。因此，沒有用戶能通過WebProxy(或WinSock Proxy)出站訪問Internet，要給一個新的Proxy用戶組授予訪問權限，需進行如下操作：

1. 在Protocol下拉框中選擇一個你希望指定訪問權限的協議。
2. 點"Add"鈕，將彈出一個對話框來把組或用戶加入到這個協議的訪問列表中。


1. 下拉表里的名字列表答應你選擇任何域，外部域可以通過信任連接或其他域的并行帳號。
2. 缺省情況下僅列出本地組和全局組，你也可以列出全部用戶，單獨配置用戶，但這對于大中型網絡的治理來說，將是一場惡夢。可能的話，盡量用工作組來配置用戶。


　　在Add Users and Groups對話框上的"Members"按鈕可以顯示出當前選中的組的成員列表




　　控制來自于Internet的進站訪問

　　安裝了Proxy Server后，NT有兩處改動來擴展安全。第一個改變是ip轉發。IP轉發是在TCP/IP屬性里的一項設置，這是關閉的。它控制NT是否在網絡接口間轉發IP包（例如：從網卡到RAS連接之間）。當為一個網絡配置永久性的Internet連接的前提下，并且局網上的每一個工作站配置了它們自己的Internet直接訪問時，IP轉發必須設置為有效，以便工作站可以把它們的包發向Internet，反之亦然。在連接到Internet的那臺NT Server上，它自己將鎖住所有的進站流量

　　更進一步地限制從Internet上連到NT Server的客戶機，MS Proxy Server禁止了所有沒有權限設置IP端口的偵聽，這意味著任何運行在NT Server上的Internet服務應用程序（例如FTP服務器，Telnet服務器，或POP3服務器）都不能聽到任何外部的進站流量，除非給這些協議設置了WinSock Proxy權限。Web Proxy僅偵聽80端口的流量，假如在Web Proxy里給任何被支持的協議設置的權限，80端口也可以偵聽進站流量。

　　在MS Proxy Server自己的域里隔離它

　　假如你想為你的代理訪問設置非常高的網絡安全特性，有一個方法，就是設置運行Proxy Server的NT服務器作為它自己域 里的基本域控制器。然后在Proxy域和網絡域之間建一個單向信任關系。Proxy域設? 信任網絡域，但是網絡域不要信任Proxy域，這種設置將更好的限制發生在Proxy服務器和網絡域所有其他系統之間的訪問。

　　當網絡未被設置成一個域時，這種方法也能工作量很好。但相對于工作而言，運行Proxy Server的NT服務器可以被設置成它自己域的基本域控制器，這可以提供更好的安全控制，并且對于將來的擴充也會更輕易。

　　監視Proxy Server活動

　　兩種基本方法：第一種，也是最常用的一種日志記錄是標準的逗號分割的文本文件，或是通過ODBC驅動程序連接到SQL上。第二種方法，是通過SNMP來監視。這需要在NT上安裝SNMP服務。SNMP的目的是分布式，并且有時控制數據到一個遠程工作站上，以便于運行在NT Server上的服務能從外部地方被監視并被控制

　　Proxy Server可以記錄日記信息到一個文本文件，或通過ODBC驅動程序把信息記錄到一個數據引擎。文本日志是一個非常簡單的處理過程，而且讓網絡治理員有一個快速的方法查看關于Proxy Server部件所發生的事件(Web Proxy and WinSock Proxy)。日志可以用于生成日、星期或月的報告。

　　文本文件記錄

　　缺省情況下，Proxy Server記錄所有的事件信息到一個文本文件，該文件存在下面的地方：
n Web Proxy Logs: c:/winnt/system32/w3plogs
n WinSock Proxy Logs: c:/winnt/system32/wsplogs

　　通常天天會自動建立新的日志文件，可以改為每星期或每月。當使用中的日志文件達到指定尺寸時，會建一個新的日志文件

　　在Web Proxy and WinSock Proxy services的屬性設置中，有一個日志表。兩個服務的表都是一樣的。

　　當一個日志文件建好后，它的名字是基于當前日期的。例如，日志文件是1996年12月5日建的，日志文件名就是：w3961205。日志文件有兩種格式：常規和具體，常規日志是短格式，不包括所有的數據元素，具體日志包含了完整的數據常規日志樣板。

　　具體日志樣例

　　數據字段的定義