为了提供对代理控制器的访问控制,配置文件(serviceconfig.xml)提供了 <Hosts> 元素及其子元素 <Allow> 和 <Deny>。如果 <Hosts> 元素处于活动配置中,则枚举 <Allow> 和 <Deny> 子元素以确定是否授权主机连接至代理控制器。如果枚举了所有子元素,但没有任何规则符合入局连接,则缺省情况下将拒绝连接。有两种方法描述 <Allow> 或 <Deny> 规则:按主机名或按网络掩码。
如果按主机名进行,请求连接的主机的 IP 地址将遵从逆向 DNS 查找原则。如果名称精确匹配,则会根据属性名允许或拒绝连接。有两个通配符用于主机名,ALL 和 LOCAL。与主机名进行比较时,ALL 总是返回一个匹配。如果连接至代理控制器的主机的 IP 地址与本地主机上任何网络接口的任何 IP 地址相匹配,则 LOCAL 返回一个匹配。
网络连接规则用来根据一组机器在网络上的位置来允许或拒绝从这组机器进行访问。为使用网络连接规则,代理控制器使用两个数字,网络 net 属性和子网掩码 mask 属性。当从主机请求连接时,其 IP 地址就与 mask 属性进行逻辑与(AND)。如果逻辑与(AND)的结果与 net 属性相等,则表示规则匹配。
下列示例说明如何配置测试客户机访问:
预备步骤:
示例 1
要在缺省配置活动时允许从网络上的所有机器访问代理控制器,请在配置文件中添加以下片段:
<Hosts configuration="default"> <Allow host="ALL"/> </Hosts>
示例 2
要在调试配置活动时允许从本地主机访问并拒绝所有其他与代理控制器的连接,请在配置文件中添加以下片段:
<Hosts configuration="debug"> <Allow host="LOCAL"/> </Hosts>
示例 3
要允许属于 192.168.0.0 C 类网络(除 192.168.0.1 外)的所有机器访问代理控制器,还允许从主机 steamboat 进行访问,并且拒绝所有配置中的所有其他主机,请在配置文件中添加以下片段:
<Hosts> <Deny net="192.168.0.1" mask="255.255.255.255"/> <Allow net="192.168.0.0" mask="255.255.0.0"/> <Allow host="steamboat"/> </Hosts>
相关任务
查找配置文件
创建配置及设置活动配置
管理代理控制器