代理服务器组建方案.docx

1、代理服务器组建方案代理服务器组建方案一、用户背景员工在上班期间上QQ聊天或玩游戏，严重影响了工作效率;员工在开网站查资料时，有些无意打开的网站感染病毒或木马导致电脑中毒，甚至影响公司网络正常运行。二、用户需求1、杜绝员工上QQ聊天或玩游戏。2、限定某些员工只上指定的网站。3、预防局域网内病毒横行。三、代理服务器1、软件简介通过CCProxy可以浏览网页，下载文件，收发电子邮件，QQ/RTX联络等等，网页缓冲功能还能提高低速网络的网页浏览速度。CCProxy在实现共享上网的同时，还提供了强大的管理功能。2、功能简介控制局域网用户的上网权限，多达7种控制方式 - IP地址，IP段，MAC地址，用户

2、名/密码，IP用户名/密码，MAC 用户名/密码，IP MAC，并且支持7种方式任意组合、混合控制；能控制用户的上网时段 可以使有些用户在规定时间上网，能对不同用户开放不同的上网权限可以使有些用户只能浏览网页，有些用户只能收发邮件，而同时有些用户则能使用所有上网功能；可以给不同用户分配不同带宽，控制其上网速度和所占用的带宽资源，可以有效的控制有些用户因为下载文件而影响其他用户上网的现象，还可以统计每个用户每天的网络总流量；可以给不同用户设置网站过滤，特别可以保护员工远离有病毒网站；可以只允许用户上规定的网站，特别适合管理严格的企业；同时强大的日志功能可以有效的监控局域网记录。四、网络结构设计1

3、、现在的网络结构( 路由器级联一台交换机并连接5台PC，再向下三级联，这样的连接严重影响到整个局域网的连接速度。通过ADSL直接连接互联网，把公司的网络完全暴露在外。)2、设计后的网络结构( 在代理服务器上配置双网卡，一网卡连接外网，一网卡连接内网的两个交换机，这样只要在服务器上安装了瑞星杀毒软件与防火墙或者Norton版本，就可以对所有通过代理服务器收发的邮件进行杀毒处理。为了ERP服务器的数据安全，可用一般PC机来代替)五、网络布线设计文档（参考网络结构图）品名规格单价数量网卡D-Link DFE-550TX2501网线（超）五类双绞线15元/米200交换机磊科 3824DNS4801代理

4、软件CCProxy网络下载1水晶头-120压线钳多功能（网线、电话线）301网线测试仪-801电脑硬件升级CPU（ADM 2200+ 462针）、内存6501预算总额1810元 公司以后网络拓展的规模不大，最多增加30台PC，采用磊科 3824DNS，网络拓展时，可把些交换机改为桌机型交换机。附磊科 3824DNS详细参数。六、功能设置1、代理服务器硬件和软件基本要求，服务器的配置和操作系统的选择。1.1 服务器的配置跟用户数有关。如果用户数在20人以内，一般的PC电脑就可以作为代理服务器了。推荐PII芯片，内存128M，硬盘10G。如果用户数在20人以上100人以下，需要选用专业的服务器作为

5、代理服务器，服务器一定要专用，即专门作为代理服务器来用。推荐PIII芯片，内存256M，硬盘20G。如果用户数在100人以上，需要选择高配置的服务器作为代理服务器，服务器一定要专用，即专门作为代理服务器来用。推荐双CPU，内存1G，硬盘40G。1.2 网卡配置。尽量选用性能比较稳定的网卡作为服务器网卡，100M网卡。推荐品牌：原装D-Link，3COM。由于是作为服务器网卡，尽量选用高性能中高价位的网卡。1.3 操作系统。如果客户端用户数在10人以上，我们推荐您安装Win2000 Advanced Server，并打好最新补丁。Win98只适合10用户网络环境，Win NT需要打太多的补丁，W

6、in2000 Professional只适合个人和家庭电脑，所以最好选用Win2000 Advanced Server。1.4 杀毒软件及防火墙软件。我们推荐您用Norton杀毒软件及Norton防火墙软件来保护您的服务器。2.局域网网络环境配置要求。确认局域网连接通畅，能够相互ping成功。服务器的IP设置有几个需要注意的地方：1) 检查服务器的网络属性，确保里面没有多余的无用的TCP/IP协议，如果服务器是Win98操作系统，操作系统安装过程中会自动添加一些无存在的拨号适配器及相应的TCP/IP协议，需要删除这些多余的网卡适配器和相应的TCP/IP协议。否则很容易引起网卡冲突。2) 如果服

7、务器安装了两块网卡或者多块，在网卡IP设置上需要注意，不要将网卡的IP设置在一个网段内，这样会造成路由混乱。比如一块网卡是192.168.0.1，另一块网卡就不要设置成192.168.0.2，可以设置为192.168.1.1。3) 服务器的网卡一般不要设置网关，尤其是连接局域网的网卡，不要设置网关，否则很容易造成路由冲突。如果没有配置好局域网，建议按照下面的方法配置局域网。分配好局域网机器的IP。一般是192.168.0.1、192.168.0.2、 192.168.0.3、192.168.0.254， 其中服务器是192.168.0.1，其他IP地址为客户端的IP地址。子网掩码为255.25

8、5.255.0，DNS为192.168.0.1。客户端的网络设置 (打开客户端的本地连接属性)，假设IP为192.168.0.2，其他客户端的网络设置只是IP不同而已。3缺省代理端口列表：HTTP: 808 用于浏览器上网FTP (Web): 808 用于浏览器连接FTP站点FTP: 2121用于FTP客户端软件连接FTP站点（如cuteftp）Gopher: 808用于浏览器连接Gopher站点Secure/SSL/HTTPS: 808 用于浏览器连接安全站点RTSP: 808用于realplayerSOCKS: 1080用于部分网络客户端软件（如QQ，联众）MMS: 1080用于media

9、playerNews (NNTP): 119用于outlook连接新闻服务器SMTP: 25用于邮件客户端软件发送邮件（如outlook，foxmail）POP3: 110用于邮件客户端软件接收邮件（如outlook，foxmail）Telnet: 23用于某些Telnet客户端软件，如（Cterm）4.高级功能设置详细说明4.1帐号管理基本概念代理服务器CCProxy的帐号管理分为三个部分。分别是允许范围，验证方式和帐号设置。允许范围有三种选择: 允许所有，允许部分和不允许部分。允许所有是缺省状态，表示允许所有客户端上网，此方法适用于不需对客户端进行上网管理的应用。允许部分表示只有加入用户列

10、表的用户可以上网，并可以实现对用户进行各种管理。不允许部分表示只有加入用户列表的用户不允许，其他都允许。验证类型有六种选择，此选项用来设置缺省帐号管理方式，编辑单个用户还可以对单个用户采用特别的帐号管理方式。1) IP地址是指用户的身份通过IP地址来验证;2) MAC地址是指用户的身份通过MAC地址(网卡的物理地址)来验证;3) 用户/密码是指用户的身份通过用户名和密码来验证;4) 用户/密码+IP地址是指用户的身份通过用户名、密码和IP地址三者同时来验证;5) 用户/密码+MAC地址是指用户的身份通过用户名、密码和MAC地址三者同时来验证;6) IP+MAC是指用户的身份通过IP地址和MAC

11、地址同时验证。帐号设置:新建: 可以新建一个帐号。编辑: 可以修改一个帐号。删除: 可以删除选中的帐号。全选: 选中所有的帐号。自动扫描: 这个功能是方便管理员初始化帐号信息的，当第一次设置帐号的时候，管理员可以打开所有的客户端机器，输入起始IP地址和结束IP地址，然后单击开始，可以自动获取局域网里所有客户端机器的IP地址、MAC地址和机器名。2.新建帐号说明帐号 - 新建用户名/组名: 用来标识不同的帐号。允许:用来设定帐号是否具备上网权限。密码:用来设定客户端上网需要的密码。IP地址/IP段: 可以是单个IP地址，也可以是IP段。比如 192.168.0.1 和 192.168.0.1-1

12、92.168.0.10 都是可以的。当设置成IP段时， 表明这个IP段的用户都共享这个帐号的权限。MAC地址: 是指客户端网卡的物理地址。作为组:用来建立组，可方便地将其他帐号共享其上网权限。属于组:用来设定帐号属于某个组，共享其所在组具备的各种上网权限。最大连接数: 是指客户端允许的最大同时活动的连接数。-1表示不限制客户端连接数。带宽(字节/秒): 是指客户端允许的最大带宽，可以用来限制客户端上网速度。-1表示不限制带宽。服务: 可以指定该帐号的允许服务项目。网站过滤: 可以选择在网站过滤中已经定义好的网站过滤。时间安排: 可以选择在时间安排中已经定义好的时间安排。时间安排: 可以选择在时

13、间安排中已经定义好的时间安排。使用到期时间:用来设定用户上网期限。3.用户名/密码验证方式的说明及注意事项这种管理方式主要对浏览器上网和SOCKS5代理上网进行用户身份验证。如果选择了包含用户/密码的验证类型，客户端通过浏览器上网时，浏览器会弹出要求输入用户名和密码的对话框，用户名和密码只是在启动浏览器第一次访问网站时需要输入用户名和密码，从已经打开的浏览器里访问新的网站和打开新的窗口不需要再次输入用户名和密码，但是启动新的浏览器访问网站会要求再次输入用户名和密码。通过SOCKS5协议上网的软件也需要在代理设置里填写用户名和密码。如QQ。注意: 如果要对客户端开放邮件代理，FTP代理，SOCK

14、S4代理等服务，必须结合IP地址、MAC地址等验证方式，或者建立一条新的帐号，采用IP地址或者IP段管理方式来开放其他服务。4.如何控制客户端上网速度?控制客户端上网速度需要帐号属性里的两个参数来限制：最大连接数和带宽最大连接数是指服务器同时响应的客户端的最多的连接数，该客户端多余的连接将被代理服务器自动挂起，直到该客户端释放出已经响应的连接。带宽(字节/秒)是指客户端最大的每秒钟的字节流量。通常情况下，我们可以设置客户端的最大连接数是10个，带宽为10240(即为10K)。如果要严格控制客户端使用网络蚂蚁的情况，可以适当减少带宽或者最大连接数5.网站过滤的说明网站过滤可以有效的控制客户端访问

15、的网址。操作：帐号 - 网站过滤可以定义不同的网站过滤规则。网站过滤名: 输入不同的网站过滤名，用来标识不同的网站过滤规则。网站过滤分为站点过滤、禁止连接、内容过滤。注意: 这里只是定义网站过滤规则，如果要应用该网站过滤规则，需要编辑相应的帐号，选择和应用该规则。站点过滤在编辑框里，可以输入多个过滤站点，以分号分隔。站点过滤支持通配符(*,?)。如：*;?;www.*.org如果站点包含多级域名，比如sina，包含了;，可用*.sina.*来过滤。如果在站点过滤规则中加入*.sina.*:443 可以过滤*.sina.*并且目标端口为443的网站。允许站点，禁止站点: 决定过滤的站点是允许访问

16、还是禁止访问。注意: 站点过滤中的允许站点仅适用于结构简单的站点(如本公司站点)，不适应如163、sina等站点，因为此类站点结构比较复杂，页面中有些图片等信息来自于其他站点，会造成页面显示不全等问题。禁止连接在编辑框里，可以输入多个禁止连接内容，用分号分隔。下面是一些参考的例子：如果要限制客户端下载文件可以用.exe;.zip;.rar;来过滤。如果要防止客户端用webmail收发邮件，可以用mail;来过滤。如果要防止客户端上网页BBS聊天，可以用chat;bbs;来过滤。内容过滤可以过滤含有特定文字的网页。只要该网页含有特定字符，就可禁止显示该网页。内容过滤: 实现此网站过滤的内容过滤，

17、可以过滤多个内容，内容之间以分号分隔。如：sex;chat;travel注意: 因为是进行全文内容过滤，此功能会对服务器资源造成一定压力。下面所列的为恶意的中文网站(为了安全，把http改成hxxp):hxxp:/ 打开后，重启时你的主页就变成它的，并通过 QQ 向他人传播，现在正飙行，奇坏无比！ hxxp:/ 打开后，重启时你的主页就变成它的，并通过 QQ 向他人传播，而且传波病毒，还狠些！现在正在飙行！ hxxp:/hxxp:/恶性：禁止注册表修改，禁止开始菜单运行项。开机自动运行他的主页，还有夹带病毒！ 等等！6.如何对帐号实行网站过滤及注意事项?首先，通过帐号-网站过滤来定义不同的网站

18、过滤规则。然后选择需要进行网站过滤的客户端的帐号，编辑该帐号，在网站过滤里选择先前定义好的网站过滤规则。注意: 站点过滤中的允许站点仅适用于结构简单的站点，不大适用于诸如163、sina等站点，因为此类站点结构比较复杂，页面中有些图片等信息来自于其他站点，会造成页面显示不全等问题。7.时间安排的说明控制客户端上网时间由时间安排功能来实现。时间安排用来设置客户端的上网时段。帐号 - 时间安排：定义不同的时间安排规则。时间安排名: 可以输入不同的时间安排名，来标识不同的时间安排。此标识名将用于每个用户的帐号设置里。星期天至星期六: 用来设置不同工作日的上网时间安排。如果需要将时间控制精确到分钟，可

19、以直接在编辑框里设置时间，时间段用起始时间-终止时间来表示，不同时间段之间用+连接。如07:30-11:30+13:30-17:30，表示上午7:30至11：30分和下午1:30分至5:30分的时段内可以上网。也可以点击编辑框旁边的按钮，弹出时间表对话框，可以用来设定相应工作日的时间安排。时间表里有24个时间选择，表示不同的时间段。如选择01:00，表示00:00至01:00可以上网。应用于表示该时段的时间控制只对所选的服务有效。注意：时间安排是以服务器时间为准，所以一定要注意服务器的时间是否正确。七、结束语公司网络办公的普及及办公人员的网络行为无法自律，形成了大量的不规范的网络行为, 造成员

20、工办公效率低下、感染病毒现象较多、影响正常的网络传输速率、网络维护和管理成本增加。公司已制定相应的网络管理标准，但从实际运行来看单靠制度约束、突击检查是不能很好的解决问题的。一个好的网络办公环境，拥有相应的工具及管理方式是非常有必要的。为了后续工作的顺利进行，可先购买一网卡，测试传输速率及相关数据。蔡岚峰07-03-24附磊科 3824DNS 详细参数：基本参数产品型号3824DNS产品类型桌面型交换机传输方式存储转发背板带宽4.8Gbps包转发率10Mbps:14,880pps,100Mbps:148,810pps,1000Mbps:1,488,100pps硬件参数接口类型RJ45接口数目2

21、4口传输速率10M/100Mbps模块化插槽数无网络与软件支持网络标准IEEE802.3/802.3u以太网标准VLAN支持/网管功能支持VLAN/支持WEB网管,支持SNMP管理是否支持全双工/MAC地址表支持全双工/4K其他性能超强纠错超长距离级联关于公司在水检区域安装监控装置事宜，经企管课与重庆双博数码科技有限公司询价得知：（每增加一个监控点，增加费用为720元）变焦摄像头（尼康）720元采集卡680元嵌入式录相机1230元预算总额2630元此工程由精通安防系统的专业人员进行布线，通过变焦摄像头可把所拍画面距离拉近或放大，领导也可在办公室PC上随时了解车间水检区域的实时生产情况，处理突发事件。