WinGate的高级设置和使用技巧.pdf

WinGate 的高级设置和使用技巧ChinaCCNA.com 2005-12-8 17:41:13 445 WinGate 是由 Qbik 软件公司推出的一个完整的代理服务器防火墙 解决方案运行在Windows95 和 WindowsNT环境下。通过在与Internet已建立连接的机器上运行WinGate 代理服务器，局域网（甚至可以是具有TCP/IP 连通性的广域网）上的多个用户可以通过该代理 服务器 访问 Internet,连接可以是拨号或ISDN，以太网络接口等。对于中小企业或公司的内部网络以及互联网吧等，通过WinGate 代理实现对Internet的访问，是一个经济实用的方案。WinGate 目前流行的版本是WinGate2，分为简版和专业版（其免费试用版可以从Internet站点：http:/ 专业版，谈一谈其配置和使用过程中的一些技巧。WinGate2 安装完成后,使用 GateKeeper 进行配置和监控。GateKeeper 是一个功能强大的远程控制和配置程序，通过建立加密的TCP/IP 连接，和WinGate 核心引擎进行通信，实现对 WinGate 的远程操作。有两种方式在客户端安装GateKeeper，一是在 WinGate2 安装完成以后，将如下文件拷贝至需要进行WinGate 远程操作的客户机上：GateKeeper.exe，wingate2.hlp，t，wg2util.exe，wg2auto.ini。另一种更为简便的方式是将服务器 上 WinGate 目录设为共享（根据你的需要设置共享属性，如设置只读口令），通过文件共享方式来使用GateKeeper。WinGate 本身管理和维护一个用户数据库，存储用户和用户组信息，用于针对性的设置及对单个用户的日志和审计功能。WinGate 具有 防火墙 的一般功能，安全策略完整灵活，对每个代理服务可单独进行权限管理，授权可以基于用户/组，时间或指定工作站地址等。这意味着管理员不仅可以指定谁具有某种权限，也可以指定在何时，从何处访问时，具有这种权限。通过各种访问限制条件的组合，管理员可对内部网与Internet之间的信息交换进行有效的过滤和限制。一般用户主要使用WWW代理服务，其实 WinGate 具有很强的代理功能，对 Internet上多数常见的网络应用，WinGate 都可以提供代理支持。一些应用能够告诉网关连接至哪个服务器(如 IE，CuteFtp 等)，但有些则不行(如新闻，电子邮件等等)。如果应用无法告诉，用户必须在WinGate 中预先配置映射代理（MappingProxy），通过这种方式，告诉WinGate 与哪个 服务器 连接。虽然与其他代理相比，映射代理可能有些限制，因为它们只是简单的数据通过管道。因为这个原因，需要在配置映射代理服务时，指定要连接的目标主机，你可以指定一个缺省的主机和端口号。但这种方式却更具通用性，它提供了对一般的基于TCP或 UDP连接的网络应用的支持。有时，希望具有较灵活的映射方式。如：一些用户可能希望使用某一个新闻服务器，而另外的用户可能希望使用另一个新闻服务器。WinGate2 允许基于用户或工作站地址来提供特定的映射链接，即对于满足映射条件的用户或工作站不使用缺省映射。WinGate_WWW_Proxy_ServerWinGate2WWW代理服务器是WinGate_WWW_Proxy_Server一个具有缓冲功能的CERN 兼容的 HTTP代理服务器。它支持HTTP请求，FTP请求以及 SSLTunneling。SOCKS 服务器 WinGate_SOCKS5_Proxy_server 是一遵循SOCKS4 和 SOCKS5(RFC1928)标准的代理服务器。通过使用WinGate 用户数据库来支持RFC1929认证(明文认证)。WinGateSOCKS服务器也可以识别HTTP请求，并用内置的WinGate 代理服务器来处理这些请求。WinGate 大多数代理服务可以进行级联，即作为另一个同类型代理服务器的前端。在和企业内部网的Web服务器一同使用时，有两种方式：改变WinGateWWW 代理服务器的端口，或采用更好的方式，即改变Web服务器端口。配置WinGate2 的 WWW代理服务时，在Non-proxyrequest（非代理请求)标签中，选择：Pipetopredeterminedserver（定向到预先设定的服务器）。在 Server 项中，输入企业内部网络WEB 服务器 的主机名或IP 地址，端口项输入WEB服务器 侦听的端口号。WinGate2WWW代理提供了HTTP缓冲。HTTP缓冲意即将最近访问过的图形，HTML文档或其他文件存储在WINGATE 机器上，使得下次局域网用户再次访问相同内容时，可以更快的存取。WinGate 只缓存 HTTP请求（即不缓存FTPURL）,WinGate 也不缓存任何包括查询串的请求（例如对于表格查询的响应）。此外，管理员还可以指定缓存规则。FTP代理服务提供了对FTP服务器的访问，但要求 FTP客户程序能够使用“用户名 主机名”方法透过防火墙 以存取远程FTP服务器 的文件，如使用颇为广泛的CuteFTP,GetRight 等 FTP客户程序。如果 WinGate 机器上同时安装运行了FTP服务器 或 WEB 服务器 等，则必须保证相应的代理服务使用了不同的端口号。这是因为，在任一时间，一台机器上只能有一个应用在一个特定端口上侦听。下面介绍一些广泛使用的Internet应用的代理服务配置。FTP代理服务WinGate 配置：进入 FTP代理服务器属性屏幕，在代理端口选项里输入端口号，如果 21 端口被 NT的 FTP服务器 使用，可以选择一个未用的端口，如：8021，对于所有的FTP客户应用来说，则增加了一个8021 防火墙 端口。客户端的配置随客户端使用的软件不同而不同，这里以最常使用的CuteFTP2.0 和 GetRightV3.1为例说明。在 CuteFTP2.0 的选单条中，选择FTP选单下的Settings，再选择Options.，弹出一个选项对话框，点击firewall标签，在主机和端口项中输入FTP代理 服务器 的地址和端口号（应与WinGate 中配置一致）。在Type 组框多选一按钮中，选择“USERusersite”项，打勾选中 EnablefirewallAccess 方框。需要注意的是在其SiteManager（站点管理程序）设置主机属性时，需要在其高级属性中，选择usefirewall（使用 防火墙）。使用“ConfigureGetRight”对话框配置GetRight。选择 Proxy 标签，打勾选中Useproxyserver方框，再选择下一级FTPProxy 标签，在 server:port项中输入FTP代理 服务器的主机名（或IP 地址）:端口号，如：172.24.156.6:8021。在 otheroptions.的 FTPProxy 下拉选单中选择USERwithnologin。设置好以后，再选择Login 标签，在UsernameandPasswordstotrywhenlogin中，增加一项：Server/Path:*Username:anonymous(或可用的用户名)Password:输入电子邮件地址或相应口令。POP3电子邮件系统代理服务POP3电子邮件系统，有两个重要协议，一个是 SMTP，即简单邮件传输协议，用于向邮件服务器发送邮件，另一个是 POP3协议，即邮局协议版本3，用于从邮件服务器获取邮件。WinGatePOP3代理可以访问INTERNET 上的 POP3服务器以检获邮件，SMTP 代理可以访问SMTP服务器 以发送邮件。如下设置POP3邮件代理服务：进入 POP3 服务的配置对话框，输入 POP3 代理服务器所使用的端口号,一般是 110端口，如果 110 端口已经被本机的POP3 服务器使用，则需要另外分配一个端口给POP3代理服务器使用。Delimiter（分隔符）缺省为#，一般不需要改变。如果本地内部网使用了POP3 服务器，在非代理请求标签中，可以将非代理请求定向到内部网的POP3 服务器。这里以笔者所使用的163 邮件帐号（huang_）为例，说明在OutlookExpress 中 POP3 邮件客户程序的设置。从OutlookExpress菜单条上的“工具”项中，选取“帐号”，弹出Internet帐号对话框，选中“邮件”标签，帐号属性中邮件接收服务器应该输入 WinGate 代理服务器的主机名或地址。这样，对于邮件客户程序来说，POP3服务器变成了 WinGate 机 器，那么，如何告诉WinGate 目标 POP3服务器 呢？WinGate 通过引入分隔符从邮件客户程序处获得。即在OutlookExpress中，POP3 用户名应设置为：POP3用户名+分隔符+POP3服务器（这点特别需要注意）从前面的举例来说，用户名项中应输入：huang_yuehua#，在口令项中输入对应该帐号的口令。至此，就可以通过POP3代理 服务器 获取邮件了。SMTP 代理服务则是通过TCPMappingService 来实现的。在 WinGate 设置中，添加一个TCP映射服务，进入其配置对话框。在Acceptconnectionsonport项中输入SMTP 代理服务器使用的端口号，一般使用端口25。如果要使用缺省映射，可以打勾选择Enabledefaultmapping，并在 server中输入远程SMTP服务器地址，如163 的 ，端口号输入SMTP 服务器 所使用端口，如163 的端口 25。这样，WinGate 的 SMTP 代理服务就基本设置完毕了。如果客户端要访问多个SMTP服务器，则需要在mapping 标签中增加相应的映射项，映射可以根据地址，用户名或工作站IP地址来进行。如笔者的ISPEmail 帐号为：，为了使用该帐号发送Email，笔者增加了一个按用户名的映射，即先建立一个WinGate 的用户 gzgmsdzs，并映射到SMTP 服务器 （端口：25）。通过该映射，当用户 gzgmsdzs 发送邮件时，WinGateSMTP 代理服务器将用来作为远程的 SMTP 代理服务器。而客户端的设置则非常简单，只需要将SMTP 服务器 设置为 WinGate 主机名即可。新闻映射代理Internet/Usenet新闻服务使用TCP端口 119。所以先在WinGate 上增加一个TCP映射服务，在端口119 接受连接请求，可以选择使用缺省映射，在缺省映射服务器项中填入最常访问的新闻 服务器 主机名或IP 地址，端口号为119。在 OutlookExpress中设置新闻帐号时，应该将其新闻服务器设置为WinGate 主机的地址。由 WinGate 的映射服务确定真正的目标新闻服务器。要设置多个新闻服务器 时，可以设置映射表，根据工作站主机地址或用户名来进行映射。Telnet代理服务因为 Telnet是从一个基于命令行的服务演变来的，所以对于Telnet客户来说，可以不经过特别的设置。使用时首先Telnet到 WinGate 机器上，在提示符状态下（WinGate）输入要登录的主机名即可，可附加端口号。如果经常登录同一个主机，也可以在WinGate 中配置一个固定的映射链接，简化登录步骤。对于象 NetTerm 一类支持 防火墙 的客户程序，通过附带的登录WinGate 的命令脚本，配置方便直观。使用时不再需要手工登录至WinGate 的 Telnet服务器，更加简便。IRC 代理IRC 是 InternetRelayChat的缩写，是一个广泛使用的网上聊天的标准，其代理配置是通过映射链接实现的。IRC 有多种客户端软件，这里以使用较多的Microsoftchat作为 IRC客户端软件说明其配置。配置 WinGate 服务时，只要在端口6667 上建立一个TCP映射代理即可，映射服务器项输入要登录的IRC 服务器，使用 MicrosoftChat时，可以使用：，端口设置为 6667。而 MicrosoftChat客户端不需要附加的设置，只要在登录的服务器 项中，输入运行WinGate 的主机名字或地址即可。配置 ICQ 代理ICQ有人将其称为“网上寻呼机”，其配置要复杂一些。在WinGate 上，需要增加一个 UDP映射服务，选择General 标签，在端口3333 上接受连接，缺省映射到ICQ 服务器 ，端口：4000。ICQ客户端设置（以ICQ98a 为例）：运行ICQ，点击 ICQ 按钮，选择Preferences，弹出一个设置窗口。设置Connection标签，选择 Iamusingapermanentinternetconnection(LAN)以及 Iambehindafirewallorproxy。点击 Firewall设置按钮，选择 IamusingaSOCKS4 proxyserver，不选择 Firewallsessionstimeoutafter.方框，然后点击Next 继续设置，在SOCKS4 主机项内输入WinGate 主机名或地址，端口号设置为1080 应与 WinGate 所设置的一致）。选择 UseamappedportonaProxy，在此输入WinGate 主机名及ICQ代理使用的端口号3333。WinGate 可以在映射的链接上进行加密，以建立一个安全的WinGate 到 WinGate 映射链接的数据通道。通过这种方式，企业的两个内部的局域网可以通过互联网进行安全的数据传输。WinGate 拨号程序用于管理Internet连接性。可以配置多个不同的ISP 帐号。访问也可以通过用户/组来进行限制，或者通过其他参数，如用户连接哪个服务器 来限制。通过设置 WinGate 的拨号属性，采用拨号方式与互联网连接时，可以使用NT拨号网络将其设置成自动拨号，即当客户端访问互联网时，无须用户手工启动拨号服务，WinGate 自动利用NT的拨号程序拨出并登录到ISP 的主机上。如果一个工作站通过路由器与WinGate 所在的 LAN具有 TCP/IP 连通性，通过适当设置，仍然可以使用WinGate 作为代理 服务器 访问 Internet。需要注意的问题是当通过拨号与ISP建立 PPP连接时，一般需要使用远程网络（即ISP）的网关作为缺省网关。这样，不在局域网上的工作站由于路由无法抵达，仍然无法访问Internet。解决的方法是在WinGate 机器上增加一个静态的路由表项。即通过route 命令来修改路由表。通过运行Regedit.exe程序修改 WinGate 在注册表中的值（该操作要小心，修改错误可能导致某些致命的问题），可以完成一些高级操作。如要将WinGate 给出的提示信息AccessDenied 汉化成“访问拒绝”，可以修改注册表中键值AccessDeniedTitle的数据，即查找该键值，将其从AccessDeniedTitle=Access Denied修改成：AccessDeniedTitle=“访问拒绝”,其他有关错误提示可参见：WinGate2ErrorStringsHTTP下的键值。