代理服务器与网络安全.doc

说 明本表需在指导教师和有关领导审查批准的情况下，要求学生认真填写。说明课题的来源（自拟题目或指导教师承担的科研任务）、课题研究的目的和意义、课题在国内外研究现状和发展趋势。若课题因故变动时，应向指导教师提出申请，提交题目变动论证报告。课题来源：指导老师制定的科研任务课题研究的目的和意义：目的：它可用于多个目的，最基本的功能是连接；此外还包括安全性、缓存、内容过滤、访问控制管理等功能。在代理服务器的众多功能中，安全性是一个突出且敏感的功能。绝大多数企业、部门在使用代理服务器的时候，都会考虑这个问题，把它作为选购代理服务器产品的重要依据。目前市场上流行的代理服务器，像Microsoft ，Proxy Server、Netscape Proxy Server、Win Gate等国外的产品，功能和性能等方面都还不错，我们正好可以通过借鉴它们进行课题研究，加深对代理服务器的理解，了解代理服务器特点，安全方面的优势，分析代理服务器的安全特点，并利用其提升网络安全性并了解其在网络安全上的应用，为以后更深课题的研究打好基础。现实意义：随着Internet与Intranet的飞速发展，作为连接Internet与Intranet的桥梁，代理服务器在实际应用中发挥着极其重要的作用。国内外同类课题研究现状及发展趋势：随着计算机技术的广泛应用，企业内部网络（Intranet）发展非常迅速。企业内部网络是采用TCP/IP网络体系建立的支持企业内部业务流程和信息交换的一种综合信息系统，为确保内部网络的安全，可通过防火墙技术将内部网络与互联网进行逻辑隔离。防火墙是一组在受保护内部网络与互联网指尖强制执行企业安全策略的系统，由软件或硬件设备组合而成、通过处于企业内部网络与互联网之间、对两个网络之间的通信进行控制。通过强制实施统一的安全策略，限制互联网用户对企业内部网络的访问以及管理企业内部网络用户访问外界的权限、防止对重要信息资源的存取和访问，达到保护系统安全的目的。防火墙分为包过滤防火墙、代理服务器、状态检测防火墙等3个类别，代理服务器是第二代防火墙、可提供网络服务级的控制，当互联网向受保护的内部网络申请服务时，进行中间转接、可以有效防止对内部网络的直接攻讦、安全性较高。在代理服务器的众多功能中，安全性是一个突出且敏感的功能。绝大多数企业、部门在使用代理服务器的时候，都会考虑这个问题，把它作为选购代理服务器产品的重要依据。课题研究的主要内容和方法，研究过程中的主要问题和解决办法：主要内容为代理服务器的基本概念，包括代理服务器的原理，代理服务器阵列，代理服务器的功能及网络管理员面临的问题；常用的代理服务器软件 ：WinGate、MS Proxy Server、Netscape Proxy Server，掌握其安装方法和基本的功能配置；代理服务器应用实例：代理服务器的应用：局域网共享拨号连接、基于校园网络的应用；了解网络安全和防火墙技术的基本概念，网络完全性规划和配置，Internet服务器的安全防范，基于Windows NT的安全技术；防火墙技术，防火墙的主要功能，IP通道（IP Tunnels），防火墙存在的主要问题以及防火墙存在问题的解决方案；防火墙软件：Conseal PC Firewall，网络级防火墙的访问控制规则实例。文献法并采用规范分析对全文进行构思。课题研究起止时间和进度安排：起止时间：2012年1月2012年5月2011-12-292012-3-1 确定论文题目，查找资料，撰写开题报告2012-3-2 2012-3-20 查找资料，进一步分析题目研究内容2012-3-212012-4-10并交予老师批阅，听取老师的意见，进行修改。2012-4-112012-5-4 交予老师批阅并定稿。2012-5-5 交论文，答辩课题研究所需主要设备、仪器及药品：计算机等外出调研主要单位，访问学者姓名：指导教师审查意见：指导教师 （签字） 年 月 教研室（研究室）评审意见：_教研室（研究室）主任 （签字） 年 月院（系）审查意见：_院（系）主任 （签字） 年 月摘要：代理型防火墙也可以被称为代理服务器，它的安全性要高于包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。关键词：代理服务器；网络安全；防火墙目 录第一章 引言11.1课题背景11.2 本课题研究的意义1第二章 代理服务器22.1 代理服务器的基本概念22.2 目前的代理服务技术22.3 代理服务器的原理32.3.1 网关与代理服务器32.3.2 代理服务器工作流程32.4缓存42.5 代理服务器的分布式缓存42.5.1 阵列型缓存42.5.2 层次型缓存52.5.3组合型缓存5第三章 常用代理服务器软件73.1常用代理服务器软件 WinGate73.2 WinGate的主要功能83.2.1 WinGate专业版独有的功能83.2.2 WinGate标准版和专业版共有的功能83.2.3WinGate各种版本共有的功能93.3 WinGate配置方案93.4 WinGate的使用与购买103.5 WinGate 3不同版本功能比较103.6 WinGate使用说明123.7 常用代理服务器软件 Microsoft Proxy Server153.7.1 微软公司代理服务器 MS Proxy Server 2.0153.7.2 MS Proxy Server的网络访问性能153.7.3 MS Proxy Server的缓存性能163.7.4 MS Proxy Server的防火墙性能163.7.5 MS Proxy Server的逆向信息服务性能173.7.6 MS Proxy Server的可管理性173.7.7 MS Proxy Server的Web代理服务173.7.8 MS Proxy Server的WinSock代理服务183.7.9 MS Proxy Server的Socks代理服务193.8 代理服务器软件MS Proxy Server的安装、配置与管理203.8.1 软件的安装在安装之前需要注意以下几个方面的问题：203.8.2 软件的管理203.9代理服务器MS Proxy Server的应用213.9.1 各种网络软件如何设置代理服务器213.9.2浏览器软件中的代理服务器设置213.9.3 电子邮件代理服务器设置243.9.4 Outlook Express 5 代理设置253.9.5 网络寻呼机的代理服务器设置253.9.6 ICQ9x 的设置方法253.9.7一劳永逸的解决方法： SocksCap263.10常用代理服务器软件 Netscape Proxy Server273.10.1 导论273.10.2 Netscape代理服务器的功能283.10.3 Netscape代理服务器的软硬件平台293.11 Netscape代理服务器的安装303.11.1安装前的准备工作303.11.2安装Netscape代理服务器32第四章 代理服务器的应用344.1 局域网共享拨号连接344.1.1网络结构344.1.2软硬件环境要求344.1.3注意事项354.1.4总结354.2 基于校园网络的应用354.2.1反向代理服务器的原理和在校园网中的作用354.2.2反向代理服务器在高校校园网中的应用设计36第五章 网络安全与防火墙385.1网络安全性规划和配置385.2 Internet服务器的安全防范385.2.1 恶意攻击和破坏385.2.2 假冒和I P欺骗385.2.3 不要成为攻击者395.3 基于Windows NT的安全技术395.3.1 尽可能少地安装组件395.3.2 建立合理的安全目录结构395.3.3 保持干净的服务器405.3.4 加强R D S的安全性405.3.5 不要给后端( Back - End )代码编索引405.3.6 设置Web日志文件并保护日志文件415.3.7 过滤IP地址限制对站点的访问415.3.8 认真配置Web应用程序415.4 防火墙技术425.4.1防火墙的定义425.4.2 防火墙的主要功能435.5 防火墙的种类435.5.1包过滤(Packet Filtering)技术435.5.2代理服务(Proxy Service)技术435.5.3状态检测(State Inspection)技术445.6防火墙存在的主要问题及解决方案44参考文献：45Abstract：.46 第一章 引言随着计算机网络技术的广泛应用，企业内部网络（Intranet）发展非常迅速，企业内部网络采用TCP/IP网络体系建立的支持企业内部业务流程和信息交换的一种综合信息系统，为确保内部网络的安全，可通过防火墙技术将内部网络与互联网进行逻辑隔离，防火墙是一组在受保护内部网络与互联网之间强制执行企业安全策略的系统，由软件或硬件设备组合而成，通过处于企业内部网络与互联网之间，对两个网络之间的通信进行控制，通过强制实施统一的安全策略，限制互联网用户对企业内部网络的访问以及管理企业内部网络用户访问外界的权限，防止对重要信息资源的存取和访问，达到保护系统安全的目的。防火墙分为包过滤防火墙、代理服务器、状态检测防火墙等3个类别，代理服务器是第二代防火墙，可提供网络服务级的控制，当互联网向受保护的内部网络申请服务时，进行中间转接 ，可以有效地防止对内部网络的直接攻击，安全性较高。1.1课题背景普通的因特网访问是一种典型的客户机与服务器结构，而代理服务器将运行于客户机与服务器之间，它作为Internet/Intranet上常用的一种服务器，通常配置在Intranet连接Internet的出口处，主要实现代理传输服务。可以这样认为，代理是双向的。即对于内部网上的用户来说，代理服务器可看作是一个外部网的代理；对于外部网络来说，代理服务器可以看作一个要访问外部网的客户。正是由于代理服务器的这种控制方式，可以使用它提高客户访问外网的效率、节省网络带宽，增强网络安全性以及减少网络投资等。代理服务器从提出到现在，不断的经历着内容更进和技术的革新，各种代理服务器产品更是层出不穷。不难看出，代理服务器在我们信息时代的生活中扮演着越来越重要的作用。1.2 本课题研究的意义随着Internet与Intranet的飞速发展，作为连接Internet与Intranet的桥梁，代理服务器在实际应用中发挥着极其重要的作用。它可用于多个目的，最基本的功能是连接；此外还包括安全性、缓存、内容过滤、访问控制管理等功能。在代理服务器的众多功能中，安全性是一个突出且敏感的功能。绝大多数企业、部门在使用代理服务器的时候，都会考虑这个问题，把它作为选购代理服务器产品的重要依据。目前市场上流行的代理服务器，像Microsoft ，Proxy Server、Netscape Proxy Server、Win Gate等国外的产品，功能和性能等方面都还不错，我们正好可以通过借鉴它们进行课题研究，加深对代理服务器的理解，了解代理服务器特点，安全方面的优势，分析代理服务器的安全特点，并利用其提升网络安全性并了解其在网络安全上的应用，为以后更深课题的研究打好基础。第二章 代理服务器2.1 代理服务器的基本概念代理服务器的英文全称是Proxy Server，其功能就是代理网络用户去取得网络信息。形象的说：它是网络信息的中转站。很多人不知不觉中就在用代理服务器共享上网，比如sygate,wingate,isa,ccproxy,NT系统自带的网络共享等，它们可以提供企业级的文件缓存，复制和地址过滤等服务。在一般情况下，我们使用网络浏览器直接去连接其他Internet站点取得网络信息时，须送出Request信号来得到回答，然后对方再把信息以bit方式传送回来。代理服务器是介于浏览器和Web服务器之间的一台服务器，有了它之后，浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求， Request信号会先送到代理服务器，由代理服务器来取回浏览器所需要的信息并传送给你的浏览器。而且，大部分代理服务器都具有缓冲的功能，就好像一个大的Cache，它有很大的存储空间，它不断将新取得数据储存到它本机的存储器上，如果浏览器所请求的数据在它本机的存储器上已经存在而且是最新的，那么它就不重新从Web服务器取数据，而直接将存储器上的数据传送给用户的浏览器，这样就能显著提高浏览速度和效率。更重要的是：Proxy Server (代理服务器)是 Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联(OSI)模型的对话层。代理服务器有许多种，大体来说有HTTP,FTP,SOCKS代理三种，其中又分透明代理和不透明代理。其中透明代理一般是网关，是硬件,所以不讨论透明代理。当机器通过代理服务器上网时。通讯是分两次的，先是机器和代理服务器通讯，再是代理服务器和目的地址通讯。机器和代理服务器通讯时，目的IP是代理服务器的IP。代理服务器和目的地址通讯时，源IP是代理服务器的IP，当然外部的数据也是一样的。在内网中，出现的IP数据，全是内网和代理服务器的IP。因此，从IP包头是看不出任何与外面通讯的信息的。只有从数据中才能看到。2.2 目前的代理服务技术代理服务技术是在一台PC机上安装一套代理软件，主要用于用户对Internet资源的访问。ICS即Internet连接共享（Internet Connection Sharing）的英文简称，是Windows系统针对家庭网络或小型的Intranet网络提供的一种Internet连接共享服务。它实际上相当于一种网络地址转换器，所谓网络地址转换器就是当数据包向前传递的过程中，可以转换数据包中的IP地址和TCP/UCP端口等地址信息。有了网络地址转换器，家庭网络或小型的办公网络中的电脑就可以使用私有地址，并且通过网络地址转换器将私有地址转换成ISP分配的单一的公用IP地址从而实现对Internet的连接。ICS方式也称之为Internet转换连接。例如有软件：Wingate，Winproxy等。NAT即网络地址转换（Network Address Translator），从广义上讲，ICS也是使用了一种NAT技术，不过我们这里讨论的NAT是指将运行Windows 2000 Server的计算机作为IP路由器，通过它在局域网和Internet主机间转发数据包从而实现Internet的共享。NAT方式也称之为Internet的路由连接。网络地址转换NAT通过将专用内部地址转换为公共外部地址，对外隐藏了内部管理的IP地址。这样，通过在内部使用非注册的IP地址，并将它们转换为一小部分外部注册的IP 地址，从而减少了IP 地址注册的费用。同时，这也隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。例如有软件：WinRoute，Sygate。2.3 代理服务器的原理2.3.1 网关与代理服务器网关是一种网络互连设备，可将网络之间的应用连接起来。在C/S模式中，网关是指运行在特定服务的客户端和提供此特定服务的服务器之间的中间进程。在该模式中，从客户端角度看，网关像是服务器；从服务器端看，网关又像是客户。网关可以运行在应用层和传输层，运行在应用层的网关成为应用层网关或代理服务器。 代理服务器适用于特定的互联网服务，使连接到本地主机的计算机能够访问本地的主机所能访问的网络，可将内部网络通过装有代理服务器的主机连接到互联网，使得网络管理员能够实现比包过滤路由器更加严格的安全策略，具有更强的身份验证与日志功能。2.3.2 代理服务器工作流程通过在一台Web主机上运行代理服务器软件，监测与侦听来自网络上各种信息，过滤访问内部网络的数据，保护内部网络不受破坏。在代理方式下，内部网络的数据包不能直接进入互联网，而互联网的数据包也不可直接进入内部网络，均要经过代理服务器的处理，通过网关复制传递数据，因此代理服务器可以进行访问控制和地址转换，如图2.1所示。代理服务器 外部网络 内部网络 客户代理连接 代理服务器连接 外部客户机 内部客户机图2.1 代理服务器当代理服务器接收到用户对某站点的访问请求后将检查该请求是否符合规定，若允许用户访问该站点，代理服务器便以客户的身份去该站点取出信息转发给用户。代理服务器通常具有一个高速缓存，该高速缓存存储了用户经常访问的站点信息，若下一位用户需要访问同一站点信息是，代理服务器不需要重新从站点获取信息，可直接将高速缓存中的内容发出饥渴，这样可以提高网络速度，并且使得网络资源可以高效地被利用。代理服务器封装并保护了内部网络资源，互联网用户不能直接访问。代理服务器进行网络传输的过程如下：（1）内部网络主机若要访问远程服务器上的一个网页，先生成一个请求并将请求信息传送给与网络间接的网关，即代理服务器；（2）代理服务器接收到请求后，先识别内部主机试图访问的类型，若是Web网页，则代理服务器将请求传送到只处理HTTP会话的应用程序；（3）当HTTP应用程序收到请求时，需验证ACL是否允许此类传输，若允许，则代理服务器将产生一个新请求发送给远程服务器；（4）新请求被送到远程服务器，远程服务器向代理服务器发出回复信息，代理服务器收到回复信息后，再次将回复信息传送给HTTP应用程序；（5）HTTP应用程序接着详细查看远程服务器发送的信息有无特殊情况，若可以接受，则将申城一个新的分组，并把信息发送给内部主机。即简单的说，当位于内部局域网上的计算机请求访问Internet时，先通过局域网将访问请求提交给充当代理服务器的计算机，在由这台计算机转发到Internet上去。当代理服务器从Internet上收到用户所需的信息时，代理服务器软件（有时也简称为代理服务器）能够识别这是局域网中哪台计算机请求的内容，并将它正确地传送给该计算机2.4缓存 缓存机制是各种代理服务器的基本功能，是代理服务器能够有效提高多个用户访问效率和节约经费的关键配置。代理服务器通常将从Internet上代理用户接收的内容，复制保存在缓存区中。这样，当一个用户请求访问的内容在代理服务器的缓存区中能够找到时，代理服务器就将缓存下来的内容直接传送给这个用户，避免了已有内容的重复请求和传送。由于一个机构内工作人员业务性质的类似性，各个用户向Internet发出的访问请求常常相同，通过代理服务器的缓存功能，不但可以提高用户端在访问重复信息时的响应速度，还可以有效地节约网络通信费用。代理服务器缓存区在存满内容以后，将根据网络管理员配置的某种策略进行更新，通常先淘汰那些重复使用率低的内容。可以设置代理服务器的缓存按照被动方式工作或按照主动方式工作。在被动工作模式下，所有经过代理服务器从Internet上获得的内容，只要能够被存入缓存区的，都被缓存。代理服务器为缓存区中的内容计算时效期。一旦超过了失效期，下一次对该内同的用户访问请求就被送到Internet上去，而不是用缓存中的内容提供给用户。在主动工作模式下，用户经常访问内容的更新得到了及时保证。在不需要客户发出信息查询请求的情况下，只要被缓存的内容到达或接近失效期，缓存区就会主动到Internet上获取更新信息。内容是否被主动缓存，与它的被调阅频度和更新频度有关。有的代理服务器还引入了与服务器负载相关的算法，以便尽量在其与Internet通信负载较轻的期间处理访问请求。对于一个由多个局域网连接成的大规模企业内部网来说，往往需要设立多个代理服务器协同工作。根据这些代理服务器的相连关系，代理服务器的缓存区类型也从独立型向分布式发展。分布式缓存主要有层次、阵列和组合等类型。2.5 代理服务器的分布式缓存根据需要，设立多个代理服务器协同工作从代理服务器的互联关系，可以分成以下类型：阵列型缓存层次型缓存组合型缓存2.5.1 阵列型缓存所谓分布式阵列缓存，就是将一个网络中的多个代理服务器配置成为一个大型的代理服务器缓存阵列。它在逻辑上是一个单独的缓存，具有很强的可伸缩性，即阵列成员可以根据需求随时随意增减。参加阵列的每台代理服务器，都有相同的配置与逻辑缓存，并知道阵列中成员的名单以及它们缓存区中的内容。这样，当网络中某个用户要求进行Internet访问时，如果在向它平时提供代理服务的MS Proxy Server的缓存区中找不到所希望得到的内容，但是这个内容存在于阵列中的其它代理服务器中，就可以迅速得到它，而不用逐台查询或到Internet上获取。分布式阵列缓存适用于以下环境：l 一个机构有许多分支部门。这些部门需要通过机构的网络中心连接和访问Internet。l 联合体性质的Internet服务供应商：将地理上分布于各个不同地点的服务器连接到一个中心服务器后接入Internet。l 代理服务型防火墙后面的代理服务器合作运行环境。l 业务量特别大的公司或Internet服务供应商。由于一个Internet连接不能够满足要。2.5.2 层次型缓存层次型缓存是由独立的代理服务器连接组成的。例如，对于一个分支机构遍布各地的大型或者跨地区企业，可以先将位于同一地区各个部门的代理服务器通过一个代理服务器连接起来，建立地区代理服务器，然后再把这些地区代理服务器通过一个代理服务器连接起来，建立整个机构的代理服务器。来自客户端的信息访问请求，将沿着代理服务器间的连接向上传递，知道找到所需要的内容。层次型缓存的连接成员可以是独立的代理服务器，也可以是阵列缓存。层次型缓存方案同样是分担缓存负载和提高容错能力的有效方法。现在，层次型缓存还支持安全套接层SSL（Secure Sockets Layer）功能。实际网络中，层次型缓存代理服务器一般不超过两层。2.5.3组合型缓存所谓组合型缓存，是组合了阵列型缓存和层次型缓存形成的一个阵列。2.6代理服务器的主要功能更重要的是：Proxy Server (代理服务器)是 Internet链路级网关所提供的一种重要的安全功能，它的工作主要在开放系统互联(OSI)模型的对话层。除了对访问权限控制和信息流量计费管理和对访问内容进行控制的基本功能外，其主要的功能有：1、连接Internet与Intranet充当防火墙：因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限；另外，两个没有互联的内部网，也可以通过第三方的代理服务器进行互联来交换信息。2、节省IP开销：前面所讲，所有用户对外只占用一个IP，所以不必租用过多的IP地址，降低网络的维护成本。这样，局域局内没有与外网相连的众多机器就可以通过内网的一台代理服务器连接到外网，大大减少费用。当然也有它不利的一面，如许多网络黑客通过这种方法隐藏自己的真实IP地址，而逃过监视。3、提高访问速度：本身带宽较小，通过带宽较大的proxy与目标主机连接。而且通常代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，从而达到提高访问速度的目的。4、防止攻击：隐藏自己的真实地址信息，还可隐藏自己的IP，防止被黑客攻击。通过分析指定IP地址，可以查询到网络用户的目前所在地。例如，大家在一些论坛上看到，论坛中明确标出了发帖用户目前所在地，这就是根据论坛会员登录时的IP地址解析的。还有平日里我们最为常用的显IP版QQ，在“发送消息”窗口中，可以查看对方的IP及解析出的地理位置。而当我们使用相应协议的代理服务器后，就可以达到隐藏自己当前所在地地址的目的了。5、突破IP访问限制：使用它可以访问一些有IP禁止访问的服务器，因为封锁只禁止了你和目标服务器的连接，但并没有禁止你与代理服务器的连接 以及代理服务器与目标服务器的连接。6、反向代理功能：反向代理方式是指以代理服务器来接受Internet上的连接请求，然后将请求转发给内部网络上的服务器，并将从服务器上得到的结果返回给Internet上请求连接的客户端，此时代理服务器对外就表现为一个服务器。7、降低网络通信资费：通过缓存区的使用降低网络通信费用。缓存机制是各种代理服务器的基本功能，是代理服务器能够提高多个用户访问效率和节约经费的关键配置。起到避免以后内容的重复请求和传送。2.7 Internet访问管理面临的问题随着Internet在全世界的普及，越来越多的用户正在将自己的个人计算机连入这个人类有史依赖创造的最庞大的网络中。连入Internet主要通过两种方式：专线连入和电话拨号接入。采用前者的主要是一些中型以上的用户群体，如一个机构建立了的广域网或局域网用户；后者则主要应用于小型用户群或家庭用户。在具备专线连接条件的局域网中，要求访问Internet信息资源的用户日益增多；在电话拨号中，希望多台计算机通过一条电话线同时入网访问Internet的需求也在不断增加。然而，Internet访问范围的扩大，对于网络管理者来说，是一个必须在经济上投入，在经费上控制，在网络上安全防护，在内容上管理的综合性决策，在实施Internet访问服务范围扩大之前，网络管理员通常要面临以下一系列问题：l 如何解决多台联网计算机同时访问Internet的最基本条件：具备足够的有效IP地址；l 如何对用户使用Internet的情况进行信息流量统计和计费，以便进行访问自费核算；l 如何对所有用户访问Internet进行总体经费控制和管理；l 如何根据国家的法规和业务范围，管理用户的访问内容；l 如何在不牺牲内部网安全性能的情况下进行Internet信息发布；l 如何实现对用户访问内容的监察与审计；l 如何阻止局域网内非授权用户或计算机对Internet的访问；l 如何阻止Internet上非授权用户对局域网资源的非法访问。通过代理服务器软件Proxy Serner，便可以解决这些问题。代理服务器实质是一个假设在内部网络用户群体与Internet之间的桥梁，用以实现内部网络用户对Internet的访问。第三章 常用代理服务器软件常用的代理服务器软件有以下三种：l WinGate l Microsoft Proxy Server l SyGate 3.1常用代理服务器软件 WinGate WinGate代理服务器（以下简称WinGate）由Qbik新西兰有限公司（Qbik New Zealand Ltd.）开发，是一个被评价为适用于中小型局域网的优秀代理服务器和防火墙产品。WinGate在支持TCP/IP的网络环境中运行。采用WinGate之后，不但可以为用户访问Internet节约一笔可观的网络通信费用，还可以提高局域网络的安全性和管理控制的灵活性。WinGate支持多协议代理服务，可以在Windows 95、Window 98、Windows NT工作站和Windows NT服务器等多种平台上运行。使用WinGate，通过一提哦啊Internet连接线路，便可以实现多个用户Internet的同时访问。对于拨号入网用户，这意味着一组计算接不再需要各自通过自己专用的调制解调器分别连入Internet，而可以共用一条电话线和一台调制解调器同时入网；对于专线连接的用户，这意味着一组计算机可以共用一个有效的IP地址入网。WinGate服务器软件运行时，并不需要独占一台计算机。运行WinGate的计算接在向其他用户提供联网服务的同时，仍然可以作为一台普通计算机和服务器正常使用。WinGate对许多流行的Internet软件提供对用户完全透明的访问服务，这些软件包括：浏览器Netscape Navigator和MS Internet Explorer、电子邮件软件Eudora和Netscape Mail，以及许多常用的Telnet和FTP软件等。根据用户购买的版权及得到密码（Licence Key）的不同，可供使用的WinGate主要有三种版本：WinGate 专业版（WinGate Pro）、WinGate标准版（WinGate standard）和WinGate家庭版（WinGate Home）。WinGate专业版提供全功能的代理服务；WinGate标准版提供除用户数据库外的WinGate专业版的全部功能；WinGate家庭版主要面向家庭用户，提供标准的代理服务功能，但是不允许用户修改和删除这些功能。目前WinGate的正式版本为3.0版。WinGate代理服务器支持的协议包括HTTP客户、SOCKS 4和SOCKS 5 HTTP请求、文件传输协议 FTP、邮局协议POP3、远程登录协议Telnet、网络新闻协议NNTP、网上交谈协议IRC、实时音频协议RealAudio、实时视频协议 VDOLive和Xing Streamworks等。WinGate在连入Internet方式上，支持调制解调器拨号入网、ISDN连接和局域网直接接入Internet。对内部网，WinGate支持静态IP地址和动态IP地址。如果用户决定在内部网使用动态分配IP地址的方式管理入网计算机，还可以通过WinGate提供的DHCP功能自动配置IP地址。WinGate服务器实际上由两个部分构成：一个是运行于系统后台的代理服务程序，或称为WinGate引擎（WinGate engine）。用户虽然看不见它的运行，但是与Internet的连接和对用户的信息服务，世界上是由它完成的。另一个是WinGate的用户服务界面，称为GateKeeper的远程管理功能。任何一台支持TCP/IP协议的入网计算接，只要它能够访问运行WinGate引擎的服务器，就可以安装GateKeeper，实现对代理服务器的远程管理和监控。另外，WinGate还提供一个称为WGIC的WinGate客户软件（WinGate Internet Client），在网络的客户端运行，提供Winsock重定向访问能力。3.2 WinGate的主要功能3.2.1 WinGate专业版独有的功能1.远端管理（Remote Administration）系统管理员可以通过称为GateKeeper的远端管理工具对WinGate3进行系统配置、系统监察和系统控制操作。任何使用TCP/IP协议与WinGate服务器联网的计算机都可以运行GateKeeper。Gatekeeper仅仅用于WinGate管理，单纯访问Internet并不需要它的支持。2.用户数据库（Extended User Database）利用WinGate专业版的用户数据库共功能，系统管理员可以实现用户级代理服务使用申请登陆和审计管理。可以将用户组成用户组。可以针对用户或用户组赋予Internet访问权限。WinGate3还允许嵌套设置用户组，即定义用户组下的用户组。WinGate的WWW代理服务器还提供了使用Java语言编写的用户身份验证客户程序，当一个未得到授权的用户试图通过WinGate访问Web网站时，一个提请用户提供自己用户名和口令的窗口就会弹出。3.多重Internet链接组合能力（Multiple Internet Capability）WinGate可以将服务器的多重Internet链接（如多个调制解调器、多个ISDN连接或多个网卡）组合使用，提供宽带高速网络访问能力。4.定时控制（Scheduler）定时控制功能使得系统管理员可以预先设定系统的许多操作，包括定时自动关闭WinGate代理服务。5.客户端认证（Client Authentication）可以通过WGIC进行基于用户名或计算机名称的用户身份认证。3.2.2 WinGate标准版和专业版共有的功能1.安全管理（Security Policies）按照服务对用户进行赋权。可以按照用户组、用户使用的计算机、用户使用时间定义用户的访问权限，也可以对特殊的需求设置专门的参数。2.WWW代理服务（WWW Proxy）WinGate3提供的代理服务是遵循HTTP/1.0标准的缓存式HTTP代理服务，支持的网络服务包括HTTP、FTP和SSL通道。同时，WinGate本身也是一个Web服务器，提供常规的Web访问服务功能和多级代理服务功能。3.