希望此文能夠對渴望了解ADSL技術、微軟PROXY軟件以及思科防火墻的網(wǎng)友有所幫助。

　　　　　　　　　　　浙江人民廣播電臺寬帶上網(wǎng)解決方案

sczd/文

　　浙江廣電采用adsl寬帶上網(wǎng)，一共是兩路線，每路512k，動態(tài)分配地址。解
決方案要求做到：
1、鑒于高帶寬帶來的潛在風險，要求方案中必須包含防火墻的功能，以保障
內部網(wǎng)絡的安全。
2、對于內部網(wǎng)的出去情況應能實現(xiàn)最大程度的監(jiān)控。其中控制部分應能實現(xiàn)
ip地址與用戶級雙重控制，如果能夠控制到具體的應用則更好。監(jiān)視部分應能對
用戶的訪問情況進行詳細的記錄。
3、對目前的兩路線應能進行統(tǒng)一、靈活的管理，還應考慮日后線路可能增加
的問題。
實際中采用MS PROXY2.0代理與CISCO PIX520防火墻相結合的設計，較好
的實現(xiàn)了安全性與可控性。
具體方案如下：
將整個網(wǎng)絡劃為三個部分：內部區(qū)、隔離區(qū)、外部區(qū)。內部區(qū)即電臺采編網(wǎng)，
為172.16.0.0/16網(wǎng)段，靜態(tài)地址。內部區(qū)與隔離區(qū)由pix防火墻隔開（內部網(wǎng)交換
機通過普通網(wǎng)線連接到防火墻的內網(wǎng)卡），這里防火墻的作用是阻隔向內的任何訪
問，并可在ip地址級對向外的訪問進行控制，同時將可以出去的ip地址轉化為隔
離區(qū)的網(wǎng)段地址10.0.0.0/8。隔離區(qū)是一個小hub，向內連接防火墻的外網(wǎng)卡，向
外連接兩臺代理服務器的兩個內網(wǎng)卡，隔離區(qū)主要起到緩沖區(qū)的作用，以實現(xiàn)縱深
防御。隔離區(qū)通過代理服務器連到外部區(qū)，其中代理服務器的內網(wǎng)卡連接到隔離區(qū)
的hub，外網(wǎng)卡與adsl modem相連，代理服務器能夠實現(xiàn)用戶級的訪問控制，并
將來自內部合法用戶的ip地址（已經被pix防火墻轉化過一次）轉化為代理本身
的地址與外部區(qū)即互聯(lián)網(wǎng)相連。

以下是具體的參數(shù)配置：
防火墻部分配置參數(shù)清單（通過超級終端進入后，在配置模式下鍵入write
terminal命令或show configure命令可以查看配置清單。其中沒有注釋三個星號的
命令行均為系統(tǒng)默認設置）

命令行 注釋

nameif ethernet0 outside security0 *** /*定義防火墻外網(wǎng)卡名為
outside，密級為最低的0級*/
nameif ethernet1 inside security100 *** /*定義防火墻內網(wǎng)卡名為
inside，密級為最高的100級*/
enable password 8Ry2YjIyt7RRXU24 encrypted /*顯示特權模式的密碼，
因為設置密碼時沒有特別說明是明文顯示，所以這里以密文方式顯示*/
passwd 2KFQnbNIdI.2KYOU encrypted /*密文顯示telnet遠
程訪問密碼*/
hostname pixfirewall /*防火墻主機的名字*/
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol smtp 25
fixup protocol sqlnet 1521
names /*執(zhí)行該命令后即可
對每個端口的ip地址定義一個字符串的名字*/
access-list acl_in permit tcp any any *** /*允許由內向外的tcp數(shù)據(jù)
，
其中最后的兩個any表示不對源和目標地址做任何限制，本命令必須與后面的
access-group命令捆綁起來才能生效*/
access-list acl_in permit udp any any *** /*允許由內向外的udp數(shù)據(jù)
，
其中最后的兩個any表示不對源和目標地址做任何限制，本命令必須與后面的
access-group命令捆綁起來才能生效*/
pager lines 24 /*一屏顯示的行數(shù)*/
logging on /*啟用日志服務，可以
具體配置將哪些事件寫入到pix本身的緩存或者專門的日志服務器中*/
no logging timestamp
no logging standby
no logging console
no logging monitor
no logging buffered
no logging trap
no logging history
logging facility 23
logging queue 512
interface ethernet0 auto /*設置網(wǎng)卡雙工模式為
auto*/
interface ethernet1 auto
mtu outside 1500 /*定義通過網(wǎng)卡的最大
ip包長度，超過此長度的包將被分割成幾個包*/
mtu inside 1500
ip address outside 10.0.0.1 255.0.0.0 *** /*定義外網(wǎng)卡ip地址和掩碼
*/
ip address inside 172.16.0.240 255.255.0.0 *** /*定義內網(wǎng)卡ip地址和掩碼
*/
no failover /*沒有第二臺雙機熱備
pix防火墻*/
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
arp timeout 14400
global (outside) 1 10.0.0.20-10.0.0.254 *** /*所有允許出去的ip地址都

被轉化為10.0.0.20-10.0.0.254這個網(wǎng)段里的某個地址。當并發(fā)用戶超過這段的地址
數(shù)時，pix會自動啟動pat服務，使每個轉換地址最多可“容納”65536個內部地址
*/
nat (inside) 1 0.0.0.0 0.0.0.0 0 0 *** /*啟用內部任意ip地址出去
，
注意此命令好像一個開關，必須打開，內部才能訪問外部。此命令與上一條global
命令捆綁使用，捆綁識別號為1*/
access-group acl_in in interface inside *** /*與前面的access-list命
令捆
綁使用，捆綁代號為acl_in，表示將access-list命令作用于內網(wǎng)卡*/
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
no floodguard enable
isakmp identity hostname
telnet 172.16.0.0 255.255.0.0 inside *** /*允許從172.16.0.0/16這
個
網(wǎng)段遠程管理*/
telnet timeout 5
terminal width 80
Cryptochecksum:d852888555e9d445dd4017c90645595a

說明：1、按照配置手冊的說明，pix出廠時由內向外已經是完全打開的，事
實是無論內到外還是外到內都沒有打開，需要手工配置。
2、如果想實現(xiàn)ping，需再加入允許icmp包通過的access-list的命令，
然后將這個命令通過access-group捆綁到內外兩個端口，這樣才能夠從內部區(qū)主機
ping到隔離區(qū)主機，反過來ping亦可。也就是說，ping命令一定是雙向的，只捆
綁在內網(wǎng)卡上是不行的。
3、即便按照上一條的配置，從防火墻一個網(wǎng)卡ping另一個網(wǎng)卡仍然是
ping不通的。
4、上面的配置實際是允許內部所有主機出去，如果想限制只有特定地
址的主機可以出去，可以通過修改nat命令。首先no nat 1 0 0將所有內部地址關
閉，然后逐條加入可開啟的內部地址，比如：nat 1 172.16.0.1 255.255.255.255即可
，
注意這里掩碼是4個255，以表示主機。nat命令的調整需要先保存(write memory)，
再重啟(reload)才能生效。
5、事實上pix防火墻也提供了用戶級控制機制，考慮到在proxy中通
過軟件實現(xiàn)起來更加方便，就沒有啟用該機制。

代理服務器部分設置：
MS PROXY2.0必須運行在WINNT的IIS之上，安裝完畢后默認代理用戶列
表是空的，需要從NT的用戶管理器中選擇用戶手工添加。安裝設置adsl及proxy
的步驟如下：
1、將從電信局端拉來的adsl電話線插入adsl modem入口，再從adsl modem
出口引出一根交*網(wǎng)線插入代理服務器的外網(wǎng)卡，開啟adsl modem電源。首先配
置adsl modem，通過瀏覽器訪問出廠時內置的http://92.168.0.1，即可進入配置界
面，adsl modem既可以工作在虛擬撥號的動態(tài)地址狀態(tài)下，也可以工作在專線的
固定地址之下。這個配置通常由電信的工作人員上門來完成。
2、接著安裝PPPOE軟件ENTERNET300 V1.41，安裝完畢后網(wǎng)絡屬性中會自
動添加一塊PPPOE的網(wǎng)卡。
3、運行ENTERNET300軟件，跟隨配置向導相繼填寫賬號名、密碼等參數(shù)，
建立一個“我的連接”。
4、雙擊新建的連接，即可連入Internet，然后開始安裝MS PROXY2.0，安裝
中注意將10.0.0.0/8加入內部網(wǎng)地址表中即可。
5、配置proxy：MS PROXY2.0主要包括web proxy,socks proxy,winsock proxy
三部分代理功能。
web proxy:只提供http、ftp代理服務,無需安裝proxy客戶端,使用ie瀏覽器
的客戶端只需在ie中設好代理服務器的ip地址和端口號80即可。
socks proxy:提供socks代理服務，默認關閉，設置較多，因本軟件已提供
功能更強的winsock功能，所以socks代理可以不用。
winsock proxy:winsock是Microsoft對socks在windows系統(tǒng)上的加強，可
以實現(xiàn)socks的所有服務，比如smtp、pop3、telnet等更多的代理服務，對于每種
服務都可在用戶級加以控制。必須安裝proxy客戶端。

說明：1、代理服務器外網(wǎng)卡ip地址可以任意設置，比如10.10.0.2/8，內網(wǎng)卡
地址可為10.0.0.2/8至10.0.0.19/8（20以后為內部區(qū)地址出防火墻后進入隔離區(qū)的
轉化地址），以保證和pix防火墻的外網(wǎng)卡為同一網(wǎng)段。之所以留出2-19這么多地
址，是考慮到今后電臺可能會再申請若干條adsl線路，作為預留。
2、注意一定要在adsl撥入在線時安裝proxy軟件。安裝完畢后注意檢
查IIS中默認web站點的屬性，該屬性中站點地址一欄一定要選擇內網(wǎng)卡地址，否
則proxy服務不能正常運行。
3、adsl虛擬撥號成功后，正常情況PPPOE網(wǎng)卡會獲得一個動態(tài)分配的
ip地址和DNS地址，有時動態(tài)分配的DNS不起作用，就需要到網(wǎng)絡屬性中手工添
加DNS服務器地址。
4、不要將代理服務器放到采編服務器所在的NT域中，因為二者相隔
一個防火墻，數(shù)據(jù)流是單向的，因此域用戶數(shù)據(jù)庫無法同步，可將兩臺代理服務器
安裝為主備NT域控制器，共享同一個用戶賬號庫。
5、事實上PROXY2.0軟件也提供了地址級控制機制，但由于內部區(qū)地
址通過防火墻后統(tǒng)統(tǒng)被轉化為10.0.0.20-10.0.0.254網(wǎng)段的地址，其轉換是隨機的，
因此在proxy上控制地址就沒有實質意義了，何況這個控制已經可以由pix防火墻
來完成。同樣道理,它的web日志功能在這個方案中也用不上，而它的winsock日
志因為記錄的是客戶機名與用戶名，還是有意義的。
6、安裝proxy服務器端后會在服務器上自動建立一個共享的客戶端安
裝包。安裝客戶端時應注意：在內部區(qū)主機的網(wǎng)上鄰居是看不到代理服務器的，也
ping不通，必須通過查找計算機的ip地址這種方式才能找到（先要配好網(wǎng)關）。此
外，注意必須在開機登錄網(wǎng)絡時即輸入winsock正確的用戶名和密碼。
下面通過一個具體的例子來說明內網(wǎng)的主機如何訪問到互聯(lián)網(wǎng)：
比如采編網(wǎng)中有一臺主機，地址為172.16.0.15/16，如果想寬帶上網(wǎng)，首先的
基本前提就是要把網(wǎng)關設為防火墻的內網(wǎng)卡地址172.16.0.240。在這個前提下，如
果pix沒有封掉172.16.0.15這個地址，而操作者又獲得了web proxy的一個用戶名
和密碼（注意二者缺一不可），則只需在ie當中正確設置代理服務器參數(shù)，就可以
通過瀏覽器上網(wǎng)了。其數(shù)據(jù)流轉經過是首先通過網(wǎng)關的指引發(fā)送到防火墻內網(wǎng)卡，
通過防火墻的訪問控制列表檢驗后，被轉換為隔離區(qū)網(wǎng)段里的某個地址，比如
10.0.0.21，然后從外網(wǎng)卡發(fā)出，再經過隔離區(qū)的hub，發(fā)送到代理服務器的內網(wǎng)卡，
經過代理軟件的用戶級檢驗后，又被轉化為代理服務器內網(wǎng)卡的地址10.0.0.2，最
后以代理服務器上pppoe網(wǎng)卡獲得的動態(tài)真ip地址發(fā)到互聯(lián)網(wǎng)。
如果還想獲得更多的服務，比如通過outlook收發(fā)郵件，則必須安裝proxy客
戶端。當然還必須獲得winsock各項服務的相應用戶名和密碼才行。