Wingate的安装、配置、管理

一、Wingate的安装、配置、管理
   Wingate的安装
安装Wingate之前需要保证以下三项工作已经完成，(1)局域网中TCP/IP协议的添加，为使Wingate良好的运行需要保证局域网已经安装了TCP/IP协议，如果局域网没有足够合法的IP地址，则可以使用以10开头的IP地址，形式为10.*.*.*。（2）代理服务器到Internet的连接已经建立（3）代理服务器要有足够的磁盘空间作为缓存，一般至少应有200M空间做缓存，如果网络用户较多（如50个以上）则应考虑1G以上的缓存空间Wingate有Windows  95/NT两个版本，以下以Windows  95版为例。

运行Wingate的安装程序(wg21b295.exe)文件开始安装，安装期间要输入代理服务器的IP地址，SMTP服务器，NEWS服务器等的IP地址，同时要指定缓存空间的大小。安装过程很快就结束了，安装之后在“程序”菜单中会增加“Wingate  2.1”程序项，其中Gatekeeper是Wingate的管理工具，Wingate的大部分管理工作都要在这里进行。Gatekeeper界面如图1，其中左面是当前状态，如当前连接者，本图中当前连接者IP为202.115.5.5，右面是服务列表及管理。

Wingate的客户端配置与管理

(1)  客户端浏览器的配置:为使客户端可以通过代理方式实现浏览,需

(2)  要在浏览器中进行相应的设置,假设代理服务器的IP地址为:

图  1

202.115.5.2，Web代理端口为80,则在Internet  Explore  3中设置方法为：打开“查看/选项/连接/代理服务器”，在“HTTP代理服务器地址”中添入202.115.5.2,在端口栏中添入“80”，如果要使用其它代理服务，如FTP服务，则端口需要改为“25”，而IP地址不需改变，如果浏览器为Netscape  Navigator  4，设置方法为打开“Edit/Preference/Advanced/proxies"，选择“manual  proxy  configuration"，点击“View"，然后在HTTP服务器中输入代理服务器的IP地址，端口栏输入“80”，其他服务只需改变相应的端口设置。

（2）客户端使用电子邮件的设置：Wingate支持SMTP和POP3邮件协议，SMTP(简单邮件传输协议)用于发送电子邮件，而POP3(邮局协议)用于收取电子邮件，Wingate客户端使用电子邮件的设置较特殊，在客户端配置之前要保证Wingate所在代理服务器上SMTP地址已经正确设置。之后在客户端配置E-mail时，注意要在邮件程序中将SMTP和POP3服务器都设置为代理服务器所在的IP地址，而POP3帐号须将原有帐号中的“@”改为井字符号“#”，例如：

假设代理服务器IP地址为202.115.5.1，则在邮件程序中将SMTP服务器栏设置为202.115.5.1，POP3服务器栏也设置为202.115.5.1，但注意POP3帐号的设置方法，比如客户电子邮件帐号为zhangxl@postoff1.uestc.edu.cn，则在邮件程序中POP3帐号应该设置为zhangxl#postoff1.uestc.edu.cn，而不是zhangxl，也不是zhangxl@postoff1.uestc.edu.cn，这一点设置很容易出错，应予以注意。

正确设置后，客户端就可以正常收发电子邮件了。

（3）客户端TELNET程序的设置：Wingate支持TELNET代理，但在客户端不能直接使用TELNET连接到目的地址，而应首先TELNET到代理服务器上之后才可以连接到目的服务器，例如在客户端要连接到清华大学BBS(bbs.tsinghua.edu.cn)，且代理服务器IP为202.115.5.1，则在WIN  95中选择运行，在运行栏中添入telnet  202.115.5.2(不是telnet  bbs.tsinghua.edu.cn)，之后在TELNET程序中会出现"WINGATE>"的提示符，则在该提示符后面输入bbs.tsinghua.edu.cn，这样就可以连接到清华大学BBS了。该过程如

图2：

（4）客户端其他程序的设置：除上述三种代理服务外，WINGATE还支持多种代理服务，许多Internet应用程序都支持代理方式连接，可以在这些软件的相应设置栏目找到并正确设置。

图  2

Wingate服务器端的配置与管理:

一般说在Wingate安装期间服务器端的设置都已完成，但在实际使用时常常需要对服务器端的设置做出改动。

（1）  服务端口的改变：如果服务器上还运行有其他服务，如还运行有WWW服务，一般WWW服务的端口为80，而Wingate的WWW  代理服务端口也为80，如果出现这种情况就会发生服务器端口冲突，不过在Wingate中可以很容易改变服务的端口，要改变WWW代理服务的端口只需在Gatekeeper中选择"www  service"，在“accept  connections  on"栏中添入新的端口，如改为8080，这样就不会与WWW服务发生冲突。对于Wingate中其它代理服务如FTP、SOCKS等都可以按照类似的方法改变窗口。

(2)  实现用户授权登录：Wingate安装后缺省情况下将允许任何用户使用代理服务，为了实现用户授权登录，防止非法用户使用代理服务，则应启用授权登录方式，方法是在WWW代理服务中选择“use  java  client  authentic",则此后只有系统授权合法用户才可以只用WWW代理服务。

(3)  用户帐号的建立：在实现授权登录方式后就要为用户建立相应的帐号，Wingate帐号的建立和管理与Windows  NT十分相似，可以建立单个用户帐号，也可以通过组方式为多个用户建立帐号，比如为某一个部门的所有成员建立一个公共帐号。

帐号的建立也在Gatekeeper中进行，用鼠标右击“USERS”选择NEW/USER（或GROUP）,可以建立单个用户或组用户并给定相应的用户名和口令。结合授权登录方式，Wingate可以为每一个用户建立流量记录，这对于某些要根据流量对代理用户进行收费的情况十分适用。

　

二、MS  PROXY  2.0的安装、配置、管理

1  安装要求及准备工作

MS  PROXY  2.0需要以下系统软件，否则无法安装：

（1）  Windows  NT  Server  4.0（中/英版）

（2）  Microsoft  Internet  Information  Server  2.0或更高版本

（3）  Windows  NT  Server  4.0  Service  Pack  3或更高

MS  PPROXY  2.0所在的服务器推荐配置成独立(stand-alone)服务器、主域服务器（PDC）或备份域服务器（BDC），不过推荐使用独立（stand-alone）服务器模式，而且必须有一个格式为NTFS的硬盘做为缓存（CACHE），使用NTFS有许多益处，如果硬盘当前为FAT格式，可以在命令符方式下用CONVERT命令将FAT格式的硬盘转换为NTFS格式。

安装前确保服务器到INTERNET的连接已经建立，MS  PROXY对于与INTERNET的连接方式没什么特殊的要求，可以是MODEM、ISDN甚至T1等方式，此外还应保证局域网中TCP/IP协议已经添加配置完毕。缺省情况下局域网将采用TCP/IP协议进行通讯。

此外为保证局域网的安全，防止非法访问和恶意攻击，应注意以

下几点：

（1）  如果局域网运行了TCP/IP协议，应该禁止IP协议转发（IP   

（2）  Forwarding）,这样可以禁止未授权的IP包。这可以在“控

（3）  制面板”中“TCP/IP”的属性栏中设置。

(2)尽量使用NTFS格式的文件系统

（4）  只运行必要的服务，比如Gopher服务如不需要则可以终

（5）  止其运行。

(4)限制管理员组的成员数量

　

2  MS  PROXY  2.0的安装

运行MS  PROXY的安装程序，在MS  PROXY安装期间，安装程序会要求你输入内部局域网的IP地址范围，并以此建立LAT（Local  Address  Table）,这就定义了你的内部网络，MS  PROXY会以此表确定内部网络和外部网络的界限。LAT表的内容保存在msplat.txt文件中，缺省路径为c:\msp\clients，同时安装程序会生成一个客户端软件，客户端必须运行该软件才能使用代理，该软件一般位于\CLIENTS目录下，在局域网上也可以在\\servername\mspclnt  下找到。安装过程中会要求设置缓存（CACHE）的大小，CACHE一般应在200兆以上，而且必须使用NTFS格式的文件系统。

3  MS  PROXY客户端程序的安装

客户机要使用代理服务则必须安装MS  PROXY的客户端程序，客户端安装程序位于代理服务器的mspclnt共享目录，该目录可以在网络中找到，运行该目录下的SETUP程序开始安装。安装时有几个选项，如下：

命令格式  setup  [/r][/k]

参数含义   

/r  重新安装MS  PROXY  SERVER

/u  将MS  PROXY  SERVER删除但保留共享目录

/k  直接输入MS  PROXY  的产品序列号（该选项只对有效）

4  MS  PROXY的配置

LAT文件的设置  LAT文件的功能前面已经做了介绍，它是用来区分内部网络和外部网络，一般在客户端运行了MSPCLNT程序后，该文件会自动复制到\CLIENTS目录下，如果要改动内部IP地址的范围可以直接修改该文件，但是服务器会定期用新的LAT文件覆盖客户端的LAT文件，因此这样的修改只能起到暂时的作用，MS  PROXY提供了一个解决办法，可以在客户端建立一个名为locallat.txt的文件，把它和msplat.txt文件放在一起，这样客户端计算机会自动同时使用这两个文件，通过这种方法可以增加内部IP地址的范围，这对于局域网内部的IP地址不是连贯的情况十分适合。

在建立Locallat.txt地址表是，输入IP地址的格式为：起始地址  终止地址，二者之间应有空格，每一行只能输入一对IP地址。

如以下Locallat.txt文件，有两组内部IP地址，则相应格式为：

10.51.0.0  10.51.255.255

10.52.144.103  10.52.144.103

注意第一行的结束地址是IP地址而不是子网掩码。

设置WEB  PROXY的端口

MS  PROXY  2.0的WEB代理缺省端口为80，如果要改为其他端口则应在安装前将WWW服务的端口改变，方法是：

从Internet  Service  Manager中双击计算机名，然后在WWW服务资源窗口的TCP  Port栏中添入新的端口，点击“OK”确定，此后停止并重新启动WWW服务则更改自动生效。更改代理端口一般是在原来端口上加8000,比如将WWW服务端口改为8080，将FTP的端口改为8021。

在MS  PROXY安装期间，安装程序会从Windows  NT注册表中读取该端口并保存在Mspclnt.ini文件中，当代理客户从Mspclnt共享目录中安装客户端软件时，该端口会被自动配置到客户端的浏览器中。

如果想在MS  PROXY安装后改变WWW代理服务的端口则可以直接在Mspclnt.ini文件中修改WebProxy的端口值。下面给出一个例子，如有以下Mspclnt.ini文件：

[Master  Config]

Path1=\\COLLIE2\Mspclnt\

[Servers  Ip  Addresses]

Name=COLLIE

[Servers  Ipx  Addresses]

Addr1=00002610-0080d830525f

[Common]

Port=1745

Configuration  Refresh  Time  (Hours)=6

Set  Browsers  to  use  Proxy=1

WWW-Proxy=COLLIE

WebProxyPort=80

现在对该文件中几个字段做个解释。

字段  名称  含义   

[Master  Config]  Path1  指向服务器共享目录的唯一网络路径   

[Servers  IP  addresses]  Name  计算机名称或是域名   

[Servers  IP  addresses]  Addr1  服务器的IP地址   

[Servers  Ipx  Addresses]  Addr1  代理服务器的IPX地址   

[Common]  Port  代理服务器的控制管道端口，该值很少改动   

[Common]  Configuration  Refresh  Time  代理服务器以次间隔做为更新LAT(Mspclnt.txt)文件的时间(单位：小时)   

[Common]  Localdomains  以域名后缀的形式指明本地域，可以是一个列表，以","格开   

[Common]  Set  Browser  To  Use  Proxy  该值为1时则客户端安装程序将在为客户浏览器配置WWW代理服务，为0时则相反   

[Common]  WWW-Proxy  如果Set  Browsers  to  Use  Proxy值被设为1，则该值将被设置为客户浏览器中代理服务器的计算机名   

[Common]  WebProxyPort  如果Set  Browsers  to  Use  Proxy值被设为1，则该值将被设置为客户浏览器中代理服务器的端口值   

如果要改变WWW代理服务的端口，可以在上面的Mspclnt.ini直接修改。

5  MS  PROXY的管理

MS  PROXY的管理工具集成在IIS(Internet  Information  Server)之中。

5.1用户帐号的管理

MS  Proxy的每一项代理都需要授权，只有合法用户才能够使用代理服务，  因此应该向要使用代理的用户分配许可权限，在IIS的管理工具中将其权限设为允许则用户就可以使用代理了。通过组方式可以简化用户的管理，可以在域用户管理器中为要使用代理的所有用户建立相应的组，如果网络用户较少则可以只建立一个组，如果网络规模较大或是用户较多，则应考虑按具体情况（如按部门）建立相应的组并分别赋予一定的权限，在组建立后应将用户添加入相应的组中，之后在IIS中WEB  代理或是WINSOCK代理管理器中将该组的使用权限设置为允许（Enable）。方法是打开WEB或WINSOCK代理的服务属性（Service  Properties），选择Permissions，点击ADD将组或是用户加入。

5.2用户访问站点的控制

Internet上的站点浩如烟海，有大量包含反动、淫秽的信息，如何控制或是禁止对这些站点的访问是一个十分重要的问题，MSPROXY提供了几种解决方法，可以通过IP地址、子网掩码、域名方式来控制访问站点，步骤如下：

1  rvice  Manager，在Web  Proxy  Service  Properties中打开Filters

2  选择Enable  Filtering  项   

3  选择Filtering模式，有两中基本方式可以选择，(1)如果要禁止访

4  问某些站点，首先选择Granted，然后在Except  to  those  listed   

5  below中添入要禁止访问的站点，则除了在Except  to  those  listed   

6  below添入的站点外，用户可以访问所有其他的Internet站点。(2)

7  如果要允许用户访问Internet站点，则首先选择Denied，然后在

8  Except  to  those  listed  below中添入允许访问的站点，则除了该表

9  中的站点外其他站点用户将不能访问到。   

10  要建立新的filter，选择Add。

(1)  如果选择Single  Computer，必须输入该计算机的IP地址

(2)  ，则可以禁止用户访问该计算机。

(3)  如果选择Group  of  Computers，则必须输入IP地址和子网码。

(4)  选择Domain  来过滤一个域，则输入域名。

选择OK  保存以上的更改。   

MS  PROXY的功能很多，还有诸如客户端自动拨号、服务器缓存阵列等，特别是服务器缓存阵列功能，它实际上是采用了缓存阵列路由选择协议，即Cache  Array  Routing  Protocol(CARP)，这是一个专门用于建立内容缓存服务器阵列的新协议，使用这个协议是，每个服务器的缓存均代表整个虚拟的一部分，在大多数时间里，缓存之间不存在重复信息。一组代理服务器组成一个阵列，当向阵列中添加一个新的服务器时，代理服务器会动态的将其资源重新分配到内容缓存中，由于阵列中的每个成员都能感知到其它成员的缓存中的内容，因而信息就不会有重复，这样就可以节省大量的存储空间，避免资源浪费。