WinGate高級設置和應用技巧集萃

WinGate是由Qbik軟件公司推出的一個完整的代理服務器/防火墻解決方案，運行在Windows95和WindowsNT環境下。通過在與Internet已建立連接的機器上運行WinGate代理服務器，局域網（甚至可以是具有TCP/IP連通性的廣域網）上的多個用戶可以通過該代理服務器訪問Internet，連接可以是撥號或ISDN，以太網絡接口等。對于中小企業或公司的內部網絡以及互聯網吧等，通過WinGate代理實現對Internet的訪問，是一個經濟實用的方案。WinGate目前流行的版本是WinGate4.3，分為簡版和專業版（其免費試用版可以從Internet站點：http://webnz.com/qbik/等處下載）。本文就使用最廣泛的WinGate4.3forNT專業版，談一談其配置和使用過程中的一些技巧。

WinGate4.3安裝完成后,使用GateKeeper進行配置和監控。GateKeeper是一個功能強大的遠程控制和配置程序，通過建立加密的TCP/IP連接，和WinGate核心引擎進行通信，實現對WinGate的遠程操作。有兩種方式在客戶端安裝GateKeeper，一是在WinGate2安裝完成以后，將如下文件拷貝至需要進行WinGate遠程操作的客戶機上：GateKeeper.exe，.hlp，WinGate4.3.cnt，wg2util.exe，wg2auto.ini。另一種更為簡便的方式是將服務器上WinGate目錄設為共享（根據你的需要設置共享屬性，如設置只讀口令），通過文件共享方式來使用GateKeeper。

WinGate本身管理和維護一個用戶數據庫，存儲用戶和用戶組信息，用于針對性的設置及對單個用戶的日志和審計功能。WinGate具有防火墻的一般功能，安全策略完整靈活，對每個代理服務可單獨進行權限管理，授權可以基于用戶/組，時間或指定工作站地址等。這意味著管理員不僅可以指定誰具有某種權限，也可以指定在何時，從何處訪問時，具有這種權限。通過各種訪問限制條件的組合，管理員可對內部網與Internet之間的信息交換進行有效的過濾和限制。

一般用戶主要使用WWW代理服務，其實WinGate具有很強的代理功能，對Internet上多數常見的網絡應用，WinGate都可以提供代理支持。一些應用能夠告訴網關連接至哪個服務器(如IE，CuteFtp等)，但有些則不行(如新聞，電子郵件等等)。如果應用無法告訴，用戶必須在WinGate中預先配置映射代理（MappingProxy），通過這種方式，告訴WinGate與哪個服務器連接。雖然與其他代理相比，映射代理可能有些限制，因為它們只是簡單的數據通過管道。因為這個原因，需要在配置映射代理服務時，指定要連接的目標主機，你可以指定一個缺省的主機和端口號。但這種方式卻更具通用性，它提供了對一般的基于TCP或UDP連接的網絡應用的支持。

有時，希望具有較靈活的映射方式。如：一些用戶可能希望使用某一個新聞服務器，而另外的用戶可能希望使用另一個新聞服務器。WinGate2允許基于用戶或工作站地址來提供特定的映射鏈接，即對于滿足映射條件的用戶或工作站不使用缺省映射。

WinGate_WWW_Proxy_ServerWinGate4.3WWW代理服務器是WinGate_WWW_Proxy_Server一個具有緩沖功能的CERN兼容的HTTP代理服務器。它支持HTTP請求，FTP請求以及SSLTunneling。SOCKS服務器WinGate_SOCKS5_Proxy_server是一個遵循SOCKS4和SOCKS5(RFC1928)標準的代理服務器。通過使用WinGate用戶數據庫來支持RFC1929認證(明文認證)。WinGateSOCKS服務器也可以識別HTTP請求，并用內置的WinGate代理服務器來處理這些請求。WinGate大多數代理服務可以進行級聯，即作為另一個同類型代理服務器的前端。在和企業內部網的Web服務器一同使用時，有兩種方式：改變WinGateWWW代理服務器的端口，或采用更好的方式，即改變Web服務器端口。配置WinGate4.3的WWW代理服務時，在Non-proxyrequest（非代理請求）標簽中，選擇：Pipetopredeterminedserver（定向到預先設定的服務器）。在Server項中，輸入企業內部網絡WEB服務器的主機名或IP地址，端口項輸入WEB服務器偵聽的端口號。

WinGate4.3WWW代理提供了HTTP緩沖。HTTP緩沖意即將最近訪問過的圖形，HTML文檔或其他文件存儲在WINGATE機器上，使得下次局域網用戶再次訪問相同內容時，可以更快的存取。WinGate只緩存HTTP請求（即不緩存FTPURL）,WinGate也不緩存任何包括查詢串的請求（例如對于表格查詢的響應）。此外，管理員還可以指定緩存規則。

FTP代理服務提供了對FTP服務器的訪問，但要求FTP客戶程序能夠使用“用戶名@主機名”方法透過防火墻以存取遠程FTP服務器的文件，如使用頗為廣泛的CuteFTP,GetRight等FTP客戶程序。

如果WinGate機器上同時安裝運行了FTP服務器或WEB服務器等，則必須保證相應的代理服務使用了不同的端口號。這是因為，在任一時間，一臺機器上只能有一個應用在一個特定端口上偵聽。

下面介紹一些廣泛使用的Internet應用的代理服務配置。

FTP代理服務

WinGate配置：進入FTP代理服務器屬性屏幕，在代理端口選項里輸入端口號，如果21端口被NT的FTP服務器使用，可以選擇一個未用的端口，如：8021，對于所有的FTP客戶應用來說，則增加了一個8021防火墻端口。

客戶端的配置隨客戶端使用的軟件不同而不同，這里以最常使用的CuteFTP2.0和GetRightV3.1為例說明。

在CuteFTP2.0的選單條中，選擇FTP選單下的Settings，再選擇Options...，彈出一個選項對話框，點擊firewall標簽，在主機和端口項中輸入FTP代理服務器的地址和端口號（應與WinGate中配置一致）。在Type組框多選一按鈕中，選擇“USERuser@site”項，打勾選中"Enablefirewallaclearcase/" target="_blank" >ccess"方框。需要注意的是在其SiteManager（站點管理程序）設置主機屬性時，需要在其高級屬性中，選擇usefirewall（使用防火墻）。

使用“ConfigureGetRight”對話框配置GetRight。選擇Proxy標簽，打勾選中Useproxyserver方框，再選擇下一級FTPProxy標簽，在server:port項中輸入FTP代理服務器的主機名（或IP地址）:端口號，如：172.24.156.6:8021。在otheroptions...的FTPProxy下拉選單中選擇USERwithnologin。設置好以后，再選擇Login標簽，在UsernameandPasswordstotrywhenlogin中，增加一項：Server/Path:*Username:anonymous(或可用的用戶名)Password:輸入電子郵件地址或相應口令。

POP3電子郵件系統代理服務

POP3電子郵件系統，有兩個重要協議，一個是SMTP，即簡單郵件傳輸協議，用于向郵件服務器發送郵件，另一個是POP3協議，即郵局協議版本3，用于從郵件服務器獲取郵件。WinGatePOP3代理可以訪問INTERNET上的POP3服務器以檢獲郵件，SMTP代理可以訪問SMTP服務器以發送郵件。

如下設置POP3郵件代理服務：

進入POP3服務的配置對話框，輸入POP3代理服務器所使用的端口號，一般是110端口，如果110端口已經被本機的POP3服務器使用，則需要另外分配一個端口給POP3代理服務器使用。Delimiter（分隔符）缺省為#，一般不需要改變。如果本地內部網使用了POP3服務器，在非代理請求標簽中，可以將非代理請求定向到內部網的POP3服務器。

這里以筆者所使用的163郵件帳號（huang_yuehua@163.net）為例，說明在OutlookExpress中POP3郵件客戶程序的設置。從OutlookExpress菜單條上的“工具”項中，選取“帳號”，彈出Internet帳號對話框，選中“郵件”標簽，帳號屬性中郵件接收服務器應該輸入WinGate代理服務器的主機名或地址。這樣，對于郵件客戶程序來說，POP3服務器變成了WinGate機器，那么，如何告訴WinGate目標POP3服務器呢？WinGate通過引入分隔符從郵件客戶程序處獲得。即在OutlookExpress中，POP3用戶名應設置為：

POP3用戶名+分隔符+POP3服務器（這點特別需要注意）

從前面的舉例來說，用戶名項中應輸入：huang_yuehua#163.net，在口令項中輸入對應該帳號的口令。至此，就可以通過POP3代理服務器獲取郵件了。

SMTP代理服務則是通過TCPMappingService來實現的。在WinGate設置中，添加一個TCP映射服務，進入其配置對話框。在Acceptconnectionsonport項中輸入SMTP代理服務器使用的端口號，一般使用端口25。如果要使用缺省映射，可以打勾選擇Enabledefaultmapping，并在server中輸入遠程SMTP服務器地址，如163的smtp.163.net，端口號輸入SMTP服務器所使用端口，如163的端口25。

這樣，WinGate的SMTP代理服務就基本設置完畢了。如果客戶端要訪問多個SMTP服務器，則需要在mapping標簽中增加相應的映射項，映射可以根據地址，用戶名或工作站IP地址來進行。如筆者的ISPEmail帳號為：gzgmsdzs@public1.guangzhou.gd.cn，為了使用該帳號發送Email，筆者增加了一個按用戶名的映射，即先建立一個WinGate的用戶gzgmsdzs，并映射到SMTP服務器public1.guangzhou.gd.cn（端口：25）。通過該映射，當用戶gzgmsdzs發送郵件時，WinGateSMTP代理服務器將用public1.guangzhou.gd.cn來作為遠程的SMTP代理服務器。而客戶端的設置則非常簡單，只需要將SMTP服務器設置為WinGate主機名即可。

新聞映射代理

Internet/Usenet新聞服務使用TCP端口119。所以先在WinGate上增加一個TCP映射服務，在端口119接受連接請求，可以選擇使用缺省映射，在缺省映射服務器項中填入最常訪問的新聞服務器主機名或IP地址，端口號為119。

在OutlookExpress中設置新聞帳號時，應該將其新聞服務器設置為WinGate主機的地址。由WinGate的映射服務確定真正的目標新聞服務器。要設置多個新聞服務器時，可以設置映射表，根據工作站主機地址或用戶名來進行映射。

Telnet代理服務

因為Telnet是從一個基于命令行的服務演變來的，所以對于Telnet客戶來說，可以不經過特別的設置。使用時首先Telnet到WinGate機器上，在提示符狀態下（WinGate>）輸入要登錄的主機名即可，可附加端口號。

如果經常登錄同一個主機，也可以在WinGate中配置一個固定的映射鏈接，簡化登錄步驟。

對于象NetTerm一類支持防火墻的客戶程序，通過附帶的登錄WinGate的命令腳本，配置方便直觀。使用時不再需要手工登錄至WinGate的Telnet服務器，更加簡便。

IRC代理

IRC是InternetRelayChat的縮寫，是一個廣泛使用的網上聊天的標準，其代理配置是通過映射鏈接實現的。IRC有多種客戶端軟件，這里以使用較多的Microsoftchat作為IRC客戶端軟件說明其配置。

配置WinGate服務時，只要在端口6667上建立一個TCP映射代理即可，映射服務器項輸入要登錄的IRC服務器，使用MicrosoftChat時，可以使用：mschat.msn.com，端口設置為6667。

而MicrosoftChat客戶端不需要附加的設置，只要在登錄的服務器項中，輸入運行WinGate的主機名字或地址即可。

配置ICQ代理

ICQ有人將其稱為“網上尋呼機”，其配置要復雜一些。在WinGate上，需要增加一個UDP映射服務，選擇General標簽，在端口3333上接受連接，缺省映射到ICQ服務器icq.mirabilis.com，端口：4000。

ICQ客戶端設置（以ICQ98a為例）：運行ICQ，點擊ICQ按鈕，選擇Preferences，彈出一個設置窗口。設置Connection標簽，選擇"Iamusingapermanentinternetconnection(LAN)"以及"Iambehindafirewallorproxy"。點擊Firewall設置按鈕，選擇"IamusingaSOCKS4proxyserver"，不選擇"Firewallsessionstimeoutafter..."方框，然后點擊Next繼續設置，在SOCKS4主機項內輸入WinGate主機名或地址，端口號設置為1080（應與WinGate所設置的一致）。選擇"UseamappedportonaProxy"，在此輸入WinGate主機名及ICQ代理使用的端口號3333。

WinGate可以在映射的鏈接上進行加密，以建立一個安全的WinGate到WinGate映射鏈接的數據通道。通過這種方式，企業的兩個內部的局域網可以通過互聯網進行安全的數據傳輸。

WinGate撥號程序用于管理Internet連接性?？梢耘渲枚鄠€不同的ISP帳號。訪問也可以通過用戶/組來進行限制，或者通過其他參數，如用戶連接哪個服務器來限制。通過設置WinGate的撥號屬性，采用撥號方式與互聯網連接時，可以使用NT撥號網絡將其設置成自動撥號，即當客戶端訪問互聯網時，無須用戶手工啟動撥號服務，WinGate自動利用NT的撥號程序撥出并登錄到ISP的主機上。

如果一個工作站通過路由器與WinGate所在的LAN具有TCP/IP連通性，通過適當設置，仍然可以使用WinGate作為代理服務器訪問Internet。需要注意的問題是當通過撥號與ISP建立PPP連接時，一般需要使用遠程網絡（即ISP）的網關作為缺省網關。這樣，不在局域網上的工作站由于路由無法抵達，仍然無法訪問Internet。解決的方法是在WinGate機器上增加一個靜態的路由表項。即通過route命令來修改路由表。

通過運行Regedit.exe程序修改WinGate在注冊表中的值（該操作要小心，修改錯誤可能導致某些致命的問題），可以完成一些高級操作。如要將WinGate給出的提示信息"AccessDenied"漢化成“訪問拒絕”，可以修改注冊表中鍵值AccessDeniedTitle的數據，即查找到該鍵值，將其從AccessDeniedTitle="AccessDenied"修改成：AccessDeniedTitle=“訪問拒絕”,其他有關錯誤提示可參見：[HKEY_LOCAL_MACHINE\SOFTWARE\QbikSoftware\WinGate4.3\ErrorStrings\HTTP]下的鍵值。

　

WinGate4.3popeye的補充：

　

1、Wingate缺省封鎖所有的服務，需要一項項的打開。

2、我的wingate與mdaemon，IIS在同一臺機器上，mdameon使用了端口25，110，IIS使用了端口80，21，因此在配置時將其WWW的端口改為了800，ftp端口為210，pop3端口為1100。同樣，每臺機器上的IE的代理服務器設置必須將端口號改為800。

3、wingate的功能也有很多欠缺，如缺乏記帳功能，不能限制登錄時間，但它工作很穩定，確實值得使用。

,

原文轉自：http://www.kjueaiud.com