15.4.3Helix Server访问控制设置实例
自 Real serVer8开始,许多用户就在寻找关于访问控制的教程,但内容多半模棱两可,或太过简单,以致一些用户在多次失败以后放弃了对公网的开放而完全转入局域网。其实Helix SerVer访问控制设置的难点仅在于网络范围的确定和权限次序的设置。
1.实例背景
现以某网吧一台实际的服务器为例。此机为双网卡,局域网IP地址是192.168.0.1,公网IP地址是218.112.66.33,已安装好Helix SerVer并试运行正常,Helix SerVer未绑定IP地址。
2.要求
(1)希望企业内部用户在看电影时,数据在局域网内流通,不占用外网带宽。
(2)可以给固定IP地址的亲友或自愿交费的网友开放,他们分布在不同的公网IP地址段。
(3)对一个东北的业务客户开放,他用ADSL访问 Internet,IP地址不固定。
(4)其他未经允许的IP地址都不允许访问。
3.设置过程
(1)打开Helix SerVer Administrator窗口
打开Helix SerVer Administratr窗口,在窗口左边的树型列表框中,单击“SerVer Setup”→“IPBinding”,进入地址绑定界面。当服务器安装在一个多IP地址的系统上时,需要指定服务器所使用的IP地址,如果想保留系统中所有IP地址供服务器使用,那么在右边编辑区域设置IP地址为0.0.0.0,单击“Apply”按钮保存配置,单击右上方的“Restart SerVer”按钮重启服务器,使修改生效。
提示:Helix SerVer 同时使用本机的两个或多个IP地址,此时局域网内的客户端可以访问以下两个地址:rtsp://192.168.0.1/Vod/moVies/star.rmVb和rtsp://218.112.66.33/Vod/moVies/star.rmVb。
(2)进行安全设置
在窗口左边的树型列表框中,单击“Security”→“Access Control”,右边框架出现访问控制相关内容,其中有两条默认的访问规则。访问规则是对网络资源开放和防御而制定的策略,一般对这两条默认规则不做修改。
(3)添加访问规则
单击“Access Rules”右边的“+”按钮,增加一条新的访问规则,在“Edit Rule De-ion”文本框中输入规则描述,如“admin”;在“Access Type”下拉列表框中选择访问类型,如“AlloW(允许)”;在“Client Hostname or IPAddress/Netmask”文本框中输入客户机名或 IP地址/子网掩码,如“localhost”;在“SerVer Hostname or IPAddress”文本框中输入服务器的主机名或IP地址,如“Any”;在“Ports”文本框中输入管理端口号,如“11508”。
每次安装Helix SerVer都会随机取得一个管理端口号,在服务器设置中的端口窗口中可找到,在IE地址栏中也可以清晰地看到。
使用“↑”和“↓”按钮调整新增加的规则到第二位,单击“Apply”按钮保存配置,单击“Restart SerVer”按钮重启服务器,使改变生效。
提示:这一条Admin规则非常重要,其作用是确保本机能顺利进入管理界面,以后无论增加什么规则请保持前两条规则次序不变,并保持最后一条规则的位置不变。
(4)加入允许访问的IP地址或IP地址段
①单击“+”按钮,增加一条规则,在“Edit Rule Deion”文本框中输入规则描述,如“Rule1”;在“Access Type”文本框中输入访问类型,如“AlloW”;在“Client Hostname orIPAddress/Netmask”文本框中输入客户机名或 IP地址/子网掩码,如“192.168.1.0/24”;在“SerVer Hostname or IPAddress/Netmask”文本框中输入服务器主机名或 IP地址/子网掩码,如“Any”;在“Ports”文本框中输入端口,如“554,7070,1755”。
这条规则用于允许局域网内192.168.1.0/24这个网络内主机的访问Helix SerVer的三个点播171项目15流媒体服务器网络的构建端口。
②单击“+”按钮,增加一条规则,在“Edit Rule Deion”文本框中输入规则描述,如“Rule2”;在“Access Type”文本框中输入访问类型,如“AlloW”;在“Client Hostname orIPAddress/Netmask”文本框中输入客户机名或 IP地址/子网掩码,如“218.112.66.33”,这是交费会员的IP地址,客户机的子网掩码可以不输入;在“SerVer Hostname or IPAddress/Net-mask”文本框中输入服务器主机名或IP地址/子网掩码,如“Any”;在“Ports”文本框中输入端口,如“554,7070,1755”。这条规则允许该交费会员以固定的IP地址访问 Helix的三个点播端口。这是单个IP地址开放的例子,可自行增加更多的IP地址,一条规则可以开放一个IP地址,也可以开放一个子网。
③单击“+”按钮,增加一条规则,方法同前。这条规则表示许可东北一客户访问流媒体服务器的资源。通过观察,东北客户的IP地址总在61.83.55.1~61.83.55.14之间变化,所以可为该用户开放此子网 IP地址段。
④规则添加完成后,使用“↑”和“↓”按钮调整上述三条新增规则的次序,排列到Admin规则及AlloW all other connections规则之间,单击“Apply”按钮保存配置,单击“Restart SerVer”按钮重启服务器,使改变生效。
⑤编辑AlloW all other connections规则,在“Edit Rule Deion”文本框中输入规则描述,如“Deny all other connections”;在“Access Type”文本框中输入访问类型,如“De-ny”;在“Client Hostname or IPAddress/Netmask”文本框中输入客户机名或 IP地址/子网掩码,如“any”;在“SerVer Hostname or IPAddress/Netmask”文本框中输入服务器主机名或IP地址/子网掩码,如“any”;在“Ports”文本框中输入端口,如“any”。单击“Apply”按钮保存配置,单击“Restart SerVer”按钮重启服务器,使改变生效。这条规则用于拒绝其他未经授权的所有的TCP/IP连接访问Helix SerVer。
至此,按照三项任务要求完成访问控制设置工作,所有功能均已实现。
15.5实训总结
本实训难点和重点在如何设置访问控制。首先流媒体服务器对单个地址的开放和对一个网段的开放并不难,难在如何为拨号接入Internet的用户开放;其次重点掌握访问控制设置的顺序,它与思科路由器访问控制列表的设置方法一致。通过本实训,无论是整体还是局部对流媒体网络的构建都应有非常清楚的把握,特别是应对Helix SerVer流媒体服务器软件的安装、配置与应用有较全面的掌握。