WinGate代理伺服器使用技巧綜述

對於中小企業或公司的內部網路以及互聯網吧等，通過WinGate代理實現對Internet的訪問，是一個經濟實用的方案。 WinGate目前流行的版本是WinGate5.0.1，分為簡版和專業版（其免費試用版可以從Internet網站：HTTP://www.wingate.com.cn等處下載）。 本文就使用最廣泛的WinGate5.0.1專業版，談一談其配置和使用過程中的一些技巧。 WinGate5.0.1安裝完成後,使用GateKeeper進行配置和監控。 GateKeeper是一個功能強大的遠端控制和配置程式，通過建立加密的TCP/IP連接，和WinGate核心引擎進行通信，實現對WinGate的遠端操作。 有兩種方式在用戶端安裝GateKeeper，一是在WinGate5.0.1安裝完成以後，將如下檔拷貝至需要進行WinGate遠端操作的客戶機上：GateKeeper.exe，wingate WinGate5.0.1.hlp，wingate WinGate5.0.1.cnt， WinGate5.0.1util.exe， WinGate5.0.1auto.ini。 另一種更為簡便的方式是將伺服器上WinGate目錄設為共用（根據你的需要設置共用屬性，如設置唯讀口令），通過檔共用方式來使用GateKeeper。 WinGate本身管理和維護一個使用者資料庫，存儲使用者和使用者組資訊，用於針對性的設置及對單個使用者的日誌和審計功能。 WinGate具有防火牆的一般功能，安全性原則完整靈活，對每個代理服務可單獨進行版權管理，授權可以基於使用者/組，時間或指定工作站位址等。 這意味著管理員不僅可以指定誰具有某種許可權，也可以指定在何時，從何處訪問時，具有這種許可權。 通過各種訪問限制條件的組合，管理員可對內部網與Internet之間的資訊交換進行有效的過濾和限制。 一般使用者主要使用WWW代理服務，其實WinGate具有很強的代理功能，對Internet上多數常見的網路應用，WinGate都可以提供代理支援。 一些應用能夠告訴閘道連接至哪個伺服器(如IE，CuteFtp等)，但有些則不行(如新聞，電子郵件等等)。 如果應用無法告訴，使用者必須在WinGate中預先配置映射代理（MappingProxy），通過這種方式，告訴WinGate與哪個伺服器連接。 雖然與其他代理相比，映射代理可能有些限制，因為它們只是簡單的資料通過管道。 因為這個原因，需要在配置映射代理服務時，指定要連接的目標主機，你可以指定一個缺省的主機和埠號。 但這種方式卻更具通用性，它提供了對一般的基於TCP或UDP連接的網路應用的支援。 有時，希望具有較靈活的映射方式。 如：一些使用者可能希望使用某一個新聞伺服器，而另外的使用者可能希望使用另一個新聞伺服器。 WinGate2允許基於使用者或工作站位址來提供特定的映射連結，即對於滿足映射條件的使用者或工作站不使用缺省映射。 WinGate_WWW_Proxy_ServerWinGate WWW代理伺服器是WinGate_WWW_Proxy_Server一個具有緩衝功能的CERN相容的HTTP代理伺服器。 它支援HTTP請求，FTP請求以及SSLTunneling。 SOCKS伺服器WinGate_SOCKS5_Proxy_server是一個遵循SOCKS4和SOCKS5(RFC1928)標準的代理伺服器。 通過使用WinGate使用者資料庫來支援RFC1929認證(明文認證)。 WinGateSOCKS伺服器也可以識別HTTP請求，並用內置的WinGate代理伺服器來處理這些請求。 WinGate大多數代理服務可以進行級聯，即作為另一個同類型代理伺服器的前端。 在和企業內部網的Web伺服器一同使用時，有兩種方式：改變WinGateWWW代理伺服器的埠，或採用更好的方式，即改變Web伺服器埠。 配置WinGate WinGate5.0.1的WWW代理服務時，在Non-proxyrequest（非代理請求）標籤中，選擇：Pipetopredeterminedserver（定向到預先設定的伺服器）。 在Server項中，輸入企業內部網路WEB伺服器的主機名稱或IP位址，埠項輸入WEB伺服器偵聽的埠號。 WinGate5.0.1WWW代理提供了HTTP緩衝。 HTTP緩衝意即將最近訪問過的圖形，HTML文檔或其他檔存儲在WINGATE機器上，使得下次局域網使用者再次訪問相同內容時，可以更快的存取。 此外，管理員還可以指定緩存規則。 FTP代理服務提供了對FTP伺服器的訪問，但要求FTP客戶程式能夠使用"使用者名@主機名稱"方法透過防火牆以存取遠端FTP伺服器的檔，如使用頗為廣泛的CuteFTP,GetRight等FTP客戶程式。 如果WinGate機器上同時安裝運行了FTP伺服器或WEB伺服器等，則必須保證相應的代理服務使用了不同的埠號。 這是因為，在任一時間，一台機器上只能有一個應用在一個特定埠上偵聽。 下面介紹一些廣泛使用的Internet應用的代理服務配置。 按鈕中，選擇"USERuser@site"項，打勾選中"Enablefirewallaccess"方框。 需要注意的是在其SiteManager（網站管理程式）設置主機屬性時，需要在其高級屬性中，選擇usefirewall（使用防火牆）。 使用"ConfigureGetRight"對話方塊配置GetRight。 選擇Proxy標籤，打勾選中Useproxyserver方框，再選擇下一級FTPProxy標籤，在server:port項中輸入FTP代理伺服器的主機名稱（或IP位址）:埠號，如：172.24.156.6:8021。 在otheroptions... 的FTPProxy下拉選單中選擇USERwithnologin。 設置好以後，再選擇Login標籤，在UsernameandPassWordstotrywhenlogin中，增加一項：Server/Path:*Username:anonymous(或可用的使用者名)Password: 輸入電子郵件地址或相應口令。 POP3電子郵件系統代理服務POP3電子郵件系統，有兩個重要協定，一個是SMTP，即簡單郵件傳輸協議，用於向郵件伺服器發送郵件，另一個是POP3協定，即郵局協定版本3，用於從郵件伺服器獲取郵件。 WinGatePOP3代理可以訪問INTERNET上的POP3伺服器以檢獲郵件，SMTP代理可以訪問SMTP伺服器以發送郵件。 如下設置POP3郵件代理服務：進入POP3服務的配置對話方塊，輸入POP3代理伺服器所使用的埠號，一般是110埠，如果110埠已經被本機的POP3伺服器使用，則需要另外分配一個埠給POP3代理伺服器使用。 Delimiter（分隔符號）缺省為#，一般不需要改變。 如果本地內部網使用了POP3伺服器，在非代理請求標籤中，可以將非代理請求定向到內部網的POP3伺服器。 這裡以在OutlookExpress中POP3郵件客戶程式的設置說明。 從OutlookExpress功能表條上的"工具"項中，選取"帳號"，彈出Internet帳號對話方塊，選中"郵件"標籤，帳號屬性中郵件接收伺服器應該輸入WinGate代理伺服器的主機名稱或位址。 這樣，對於郵件客戶程式來說，POP3伺服器變成了WinGate機器，那麼，如何告訴WinGate目標POP3伺服器呢？ WinGate通過引入分隔符號從郵件客戶程式處獲得。 即在OutlookExpress中，POP3使用者名應設置為：POP3使用者名+分隔符號+POP3伺服器（這點特別需要注意）SMTP代理服務則是通過TCPMappingService來實現的。 在WinGate設置中，添加一個TCP映射服務，進入其配置對話方塊。 在Acceptconnectionsonport項中輸入SMTP代理伺服器使用的埠號，一般使用埠25。 如果要使用缺省映射，可以打勾選擇Enabledefaultmapping，並在server中輸入遠端SMTP伺服器位址，如163的smtp.163.net，埠號輸入SMTP伺服器所使用埠，如163的埠25。 這樣，WinGate的SMTP代理服務就基本設置完畢了。 如果用戶端要訪問多個SMTP伺服器，則需要在mapping標籤中增加相應的映射項，映射可以根據地址，使用者名或工作站IP位址來進行。 如筆者的ISPEmail帳號為：gzgmsdzs@public1.guangzhou.gd.cn，為了使用該帳號發送Email，筆者增加了一個按使用者名的映射，即先建立一個WinGate的使用者gzgmsdzs，並映射到SMTP伺服器public 1.guangzhou.gd.cn（埠：25）。 通過該映射，當使用者gzgmsdzs發送郵件時，WinGateSMTP代理伺服器將用public1.guangzhou.gd.cn來作為遠端的SMTP代理伺服器。 而用戶端的設置則非常簡單，只需要將SMTP伺服器設置為WinGate主機名稱即可。 新聞映射代理Internet/Usenet新聞服務使用TCP埠119。 所以先在WinGate上增加一個TCP映射服務，在埠119接受連接請求，可以選擇使用缺省映射，在缺省映射伺服器項中填入最常訪問的新聞伺服器主機名稱或IP位址，埠號為119。 在OutlookExpress中設置新聞帳號時，應該將其新聞伺服器設置為WinGate主機的位址。 由WinGate的映射服務確定真正的目標新聞伺服器。 要設置多個新聞伺服器時，可以設置映射表，根據工作站主機位址或使用者名來進行映射。 Telnet代理服務因為Telnet是從一個基於命令列的服務演變來的，所以對於Telnet客戶來說，可以不經過特別的設置。 使用時首先Telnet到WinGate機器上，在提示符狀態下（WinGate>）輸入要登錄的主機名稱即可，可附加埠號。 如果經常登錄同一個主機，也可以在WinGate中配置一個固定的映射連結，簡化登錄步驟。 配置ICQ代理在WinGate上，需要增加一個UDP映射服務，選擇General標籤，在埠3333上接受連接，缺省映射到ICQ伺服器icq.mirabilis.com，埠：4000。 ICQ用戶端設置：運行ICQ，點擊ICQ按鈕，選擇Preferences，彈出一個設置視窗。 設置Connection標籤，選擇"Iamusingapermanentinternetconnection(LAN)"以及"Iambehindafirewallorproxy"。 點擊Firewall設置按鈕，選擇"IamusingaSOCKS4proxyserver"，不選擇"Firewallsessionstimeoutafter..."方框，然後點擊Next繼續設置， 在SOCKS4主項目內輸入WinGate主機名稱或位址，埠號設置為1080（應與WinGate所設置的一致）。 選擇"UseamappedportonaProxy"，在此輸入WinGate主機名稱及ICQ代理使用的埠號3333。 WinGate可以在映射的連結上進行加密，以建立一個安全的WinGate到WinGate映射連結的資料通道。 通過這種方式，企業的兩個內部的局域網可以通過互聯網進行安全的資料傳輸。 WinGate撥號程式用於管理Internet連線性。 可以配置多個不同的ISP帳號。 訪問也可以通過使用者/組來進行限制，或者通過其他參數，如使用者連接哪個伺服器來限制。 通過設置WinGate的撥號屬性，採用撥號方式與互聯網連接時，可以使用NT撥號網路將其設置成自動撥號，即當用戶端存取互聯網時，無須使用者手工啟動撥號服務，WinGate自動利用NT的撥號程式撥出並登錄到ISP的主機上。 如果一個工作站通過路由器與WinGate所在的LAN具有TCP/IP連通性，通過適當設置，仍然可以使用WinGate作為代理伺服器訪問Internet。 需要注意的問題是當通過撥號與ISP建立PPP連接時，一般需要使用遠端網路（即ISP）的閘道作為缺省閘道。 這樣，不在局域網上的工作站由於路由無法抵達，仍然無法訪問Internet。解決的方法是在WinGate機器上增加一個靜態的路由表項。 即通過route命令來修改路由表。