WinGate是由Qbik软件公司推出的一个完整的代理服务器 防火墙解决方案运行在Windows95 和Windows NT 环 境 下。 通过 在与Internet 已 建立连接 的 机器 上 运行WinGate 代 理 服务器，局域网（甚至可以是具有TCP/IP 连通性的广域网）上的多个用户可以通过该代理服务器访问Internet,连接可以是拨号或ISDN，以太网络接口等。对于中小企业或公司的内部网络以及互联网吧等，通过WinGate代理实现对Internet的访问，是 一个经济实用 的 方案。WinGate 目 前 流 行 的 版 本 是WinGate 2，分 为 简 版 和 专 业 版（ 其 免 费 试 用 版可以从Internet 站 点http://webnz.com/qbik/ 等 处 下 载）。 本 文 就 使 用 最 广 泛 的WinGate 2 for NT 专 业 版， 谈 一 谈 其 配 置 和 使 用 过 程 中 的一 些 技 巧。  
★ WinGate 2 安 装 完 成 后, 使 用GateKeeper 进 行 配 置 和 监 控。GateKeeper 是 一 个功 能 强 大 的 远 程 控 制 和 配 置 程 序，通 过建 立 加 密 的TCP/IP 连 接，和WinGate 核 心 引 擎 进 行 通 信， 实现对WinGate 的 远 程 操作。有两种方式在客户端安装GateKeeper，  
一 是 在WinGate 2 安 装 完 成 以 后， 将 如 下 文 件 拷 贝 至 需 要进行WinGate 远 程操 作 的 客 户 机 上：GateKeeper.exe，wingate2.hlp，wingate2.cnt，wg2util.exe，wg2auto.ini。另 一 种 更 为 简 便 的 方 式 是 将 服 务 器 上WinGate 目 录 设 为共 享（ 根 据 你 的 需 要 设 置 共 享 属 性， 如 设 置 只 读 口 令），通 过 文 件 共 享 方 式来使用GateKeeper。  
★ WinGate 本 身 管 理 和 维 护 一 个 用 户 数 据 库， 存 储 用 户和 用 户 组 信 息， 用 于 针 对 性 的 设 置 及 对 单 个 用 户 的 日 志 和审 计 功 能。WinGate 具 有 防 火 墙 的 一 般 功 能， 安 全 策 略 完 整 灵活，对 每 个 代 理 服 务 可 单 独 进 行权 限 管 理， 授 权 可 以 基 于用 户/ 组， 时 间 或 指 定 工 作 站 地 址 等。 这 意 味 着管 理 员 不 仅可 以 指 定 谁 具 有 某 种 权 限， 也 可 以 指 定 在 何 时， 从 何 处 访问 时， 具 有 这 种 权 限。 通 过 各 种 访 问 限 制 条 件 的 组 合， 管 理员 可 对内 部 网 与Internet 之 间 的 信 息 交 换 进 行 有 效 的 过 滤 和限 制。  
★ 一 般 用 户 主 要 使 用WWW 代 理 服 务， 其 实WinGate 具 有 很强 的 代 理 功能， 对Internet 上 多 数 常 见 的 网 络 应 用，WinGate 都 可 以 提 供 代 理 支 持。 一 些 应 用 能 够 告 诉 网 关 连 接 至 哪 个服 务 器 ( 如IE，CuteFtp 等)， 但 有 些 则 不 行 ( 如 新 闻， 电 子 邮 件等 等)。 如 果 应 用 无 法 告 诉， 用 户 必 须 在WinGate 中 预先 配 置映 射 代 理（Mapping Proxy）， 通 过 这 种 方 式， 告 诉WinGate 与 哪个 服 务 器 连 接。 虽 然 与 其 他 代 理 相 比， 映 射 代 理 可 能 有些 限 制， 因 为 它 们 只 是简 单 的 数 据 通 过 管 道。 因 为 这 个 原因， 需 要 在 配 置 映 射 代 理 服 务 时，指 定 要 连 接 的 目 标 主 机，你 可 以 指 定 一 个 缺 省 的 主 机 和 端 口 号。 但 这 种 方 式 却 更 具通 用 性， 它 提 供 了 对 一 般 的 基 于TCP 或UDP 连 接 的 网 络 应 用 的支 持。  
---- 有 时， 希 望 具 有 较 灵 活 的 映 射 方 式。 如： 一 些 用 户可 能 希 望 使 用某 一 个 新 闻 服 务 器， 而 另 外 的 用 户 可 能 希 望使 用 另 一 个新闻服务器。WinGate 2 允 许 基 于 用 户 或 工 作 站 地址 来提 供 特 定 的 映 射 链 接， 即 对 于 满 足 映 射 条 件 的 用 户 或工 作 站 不 使 用 缺 省 映 射。  
---- WinGate_WWW_Proxy_ServerWinGate 2 WWW 代 理 服 务 器是WinGate_WWW_Proxy_Server 一 个 具 有 缓 冲 功 能 的CERN 兼 容 的HTTP 代 理 服 务 器。它 支 持HTTP 请 求，FTP 请 求 以 及SSLTunneling。SOCKS 服 务 器WinGate_SOCKS5_Proxy_server 是 一 遵循SOCKS 4 和SOCKS 5 (RFC 1928) 标 准 的 代 理 服 务 器。 通 过 使 用WinGate 用 户 数 据 库 来 支 持RFC1929 认 证( 明 文 认 证)。WinGate SOCKS 服 务 器 也 可 以 识 别HTTP 请 求， 并用 内 置 的WinGate 代理 服 务 器 来 处 理 这 些 请 求。WinGate 大 多 数 代 理 服 务 可 以 进行 级 联， 即 作 为 另 一 个 同 类 型 代 理 服 务 器 的 前 端。 在 和企 业 内 部网 的Web 服 务 器 一 同 使 用 时， 有 两 种 方 式： 改 变WinGate WWW 代 理 服 务 器 的 端 口， 或 采 用 更 好 的 方 式， 即 改 变Web 服 务 器 端 口。 配 置WinGate 2 的WWW 代 理 服 务 时， 在Non-proxy request（非 代 理 请 求) 标 签 中，选 择：Pipe topredetermined server（ 定 向 到 预 先 设 定 的 服 务 器）。 在Server 项 中， 输 入 企 业 内部网络WEB 服 务 器 的 主 机 名 或IP 地 址， 端 口 项 输 入WEB 服 务 器侦 听 的 端 口 号。  
---- WinGate 2 WWW 代 理 提 供 了HTTP 缓 冲。HTTP 缓 冲 意 即 将 最 近 访 问 过 的 图 形，HTML 文 档 或 其 他 文 件 存 储 在WINGATE 机器 上， 使 得 下 次 局 域 网 用 户 再 次 访 问 相 同 内 容 时， 可以 更 快 的 存 取。WinGate 只 缓 存HTTP 请 求（ 即 不 缓 存FTP URL）,WinGate 也 不 缓 存 任 何 包 括 查 询 串 的 请 求（ 例 如 对于 表 格查 询 的 响 应）。 此 外， 管 理 员 还 可 以 指 定 缓 存 规 则。  
---- FTP 代 理 服 务 提 供 了 对FTP 服 务 器 的 访 问， 但 要 求FTP 客 户 程 序 能 够 使 用“ 用 户 名@ 主 机 名” 方 法 透 过 防 火 墙 以 存取 远程FTP 服 务 器 的 文 件， 如 使 用 颇 为 广 泛 的CuteFTP,GetRight 等FTP 客 户 程 序。  
---- 如 果WinGate 机 器 上 同 时 安 装 运 行 了FTP 服 务 器 或WEB 服务 器 等， 则 必须 保 证 相 应 的 代 理 服 务 使 用 了 不 同 的 端 口号。这 是 因 为， 在 任 一 时 间， 一 台 机 器 上 只 能 有 一 个 应 用在 一 个 特 定 端 口 上 侦 听。  
---- 下 面 介 绍 一 些 广 泛 使 用 的Internet 应 用 的 代 理 服 务配 置。 
FTP 代 理 服 务  
---- WinGate 配 置： 进 入FTP 代 理 服 务 器 属 性 屏 幕， 在 代 理端 口 选 项 里 输 入 端 口 号， 如 果21 端 口 被NT 的FTP 服 务 器 使 用，可 以 选 择 一 个 未 用 的 端 口， 如：8021， 对 于 所 有 的FTP 客 户应 用 来 说， 则 增 加 了 一 个8021 防 火 墙 端 口。  
---- 客 户 端 的 配 置 随 客 户 端 使 用 的 软 件 不 同 而 不 同，这 里 以最 常 使 用 的CuteFTP 2.0 和GetRight V3.1 为 例 说 明。  
---- 在CuteFTP 2.0 的 选 单 条 中， 选 择FTP 选 单 下 的Settings，再 选 择Options...， 弹 出 一 个 选 项 对 话 框， 点 击firewall 标 签， 在主 机 和 端 口 项 中 输 入FTP 代 理 服 务 器 的 地 址 和 端 口 号（ 应 与WinGate 中 配 置 一 致）。 在Type 组 框 多 选 一 按 钮 中， 选 择“USER user@site” 项， 打 勾 选 中"Enable firewall access" 方 框。需 要 注 意 的 是 在 其Site Manager（ 站 点 管 理 程 序） 设 置 主 机 属性 时， 需 要 在 其 高 级 属 性 中， 选 择use firewall（ 使 用 防 火 墙）。  
---- 使 用“Configure GetRight” 对 话 框 配 置GetRight。 选 择Proxy 标 签， 打 勾 选 中Use proxy server 方 框，再 选 择 下 一 级FTP Proxy 标 签， 在server:port 项 中 输 入FTP 代理服务 器 的主 机 名（ 或IP 地 址）: 端 口 号，如：172.24.156.6:8021。在other options...的FTPProxy 下拉 选 单 中 选 择USER with no login。 设 置 好 以 后， 再 选 择Login 标 签，在Username and Passwords to try when login 中， 增 加 一 项：Server/Path: * Username: anonymous( 或 可 用 的 用 户 名) Password: 输 入 电 子 邮 件 地 址 或 相 应 口 令。  
POP3 电 子 邮 件 系 统 代 理 服 务  
---- POP3 电 子 邮 件 系 统， 有 两 个 重 要 协 议， 一 个 是SMTP，即简 单 邮 件 传 输 协 议， 用 于 向 邮 件 服 务 器 发 送 邮 件， 另一 个是POP3 协 议， 即 邮 局 协 议 版 本3， 用 于 从 邮 件 服 务 器获取邮 件。WinGate POP3 代 理 可 以 访 问INTERNET 上 的POP3 服 务 器 以 检 获 邮 件，SMTP 代 理 可 以 访 问SMTP 服 务 器 以 发 送 邮 件。  
---- 如 下 设 置POP3 邮 件 代 理 服 务：  
---- 进 入POP3 服 务 的 配 置 对 话 框， 输 入POP3 代 理 服 务 器 所使 用 的 端口号, 一 般 是110 端 口， 如 果110 端 口 已 经 被 本 机 的POP3 服 务 器 使 用， 则 需 要 另 外 分 配 一 个 端 口 给POP3 代理 服 务 器 使 用。Delimiter（ 分 隔 符） 缺 省 为#， 一 般 不 需 要 改变。 如 果 本 地 内 部 网 使 用 了POP3 服 务 器， 在 非 代 理 请 求 标 签 中， 可 以 将 非 代 理 请 求 定 向 到 内 部 网 的POP3 服 务 器。  
---- 这 里 以 笔 者 所 使 用 的163 邮 件 帐 号（huang_yuehua@163.net）  
为 例， 说 明 在Outlook Express 中POP3 邮 件 客 户 程 序 的 设 置。从Outlook Express 菜 单 条 上 的“ 工 具” 项 中， 选 取“ 帐 号”，弹 出Internet 帐 号 对 话 框， 选 中“ 邮件” 标 签， 帐 号 属 性 中邮 件 接 收 服 务 器 应 该 输 入WinGate 代 理 服 务 器 的 主 机 名 或 地址。 这 样， 对 于 邮 件 客 户 程 序 来 说，POP3 服 务 器 变 成 了WinGate 机  
器， 那 么， 如 何 告 诉WinGate 目 标POP3 服 务 器 呢 ？WinGate 通过 引 入 分 隔 符 从 邮 件 客 户 程 序 处 获 得。 即 在Outlook Express 中，POP3 用 户 名 应 设 置 为：  
---- POP3 用 户 名+ 分 隔 符+ POP3 服 务 器（ 这 点 特 别 需 要 注意）  
---- 从 前 面 的 举 例 来 说， 用 户 名 项 中 应 输 入： huang_yuehua#163.net， 在 口 令 项 中 输 入 对 应 该 帐 号 的 口 令。至 此， 就 可 以 通 过POP3 代 理 服 务 器 获 取 邮 件 了。  
---- SMTP 代 理 服 务 则 是 通 过TCP Mapping Service 来 实 现 的。在WinGate 设 置 中， 添 加 一 个TCP 映 射 服 务， 进 入 其 配 置 对话 框。 在Accept connections on port 项 中 输入SMTP 代 理 服 务 器 使用 的 端 口 号， 一 般 使 用 端 口25。 如 果 要 使 用 缺 省 映 射， 可 以打 勾 选 择Enable default mapping， 并 在server 中 输 入 远 程SMTP 服 务器地址， 如163 的smtp.163.net， 端 口 号 输 入SMTP 服 务 器 所 使 用 端 口， 如163 的 端 口25。  
---- 这 样，WinGate 的SMTP 代 理 服 务 就 基 本 设 置 完 毕 了。 如果 客 户 端 要 访 问 多 个SMTP 服 务 器， 则 需 要 在mapping 标 签 中增 加 相 应 的 映 射 项， 映 射 可 以 根 据 地 址， 用 户 名 或 工 作 站IP 地 址 来 进 行。 如 笔 者 的ISP Email 帐号 为：gzgmsdzs@public1.guangzhou.gd.cn， 为 了 使 用 该 帐 号 发 送Email，笔 者 增 加 了 一 个 按 用 户 名 的 映 射， 即 先 建 立 一 个WinGate 的用 户gzgmsdzs， 并 映 射 到SMTP 服 务 器public1.guangzhou.gd.cn（ 端 口：25）。 通 过 该 映 射， 当 用 户gzgmsdzs 发 送 邮 件 时，WinGate SMTP 代 理 服 务 器 将 用public1.guangzhou.gd.cn 来 作 为 远 程 的SMTP 代 理 服 务 器 。 而 客 户 端 的 设 置 则 非 常 简 单， 只 需 要 将 SMTP 服 务 器 设 置 为WinGate 主 机 名 即 可。  
新 闻 映 射 代 理  
---- Internet/Usenet 新 闻 服 务 使 用TCP 端 口119。 所 以 先 在WinGate 上增 加 一 个TCP映 射 服 务， 在 端 口119 接 受 连 接 请 求， 可 以选 择 使 用 缺 省 映 射， 在 缺 省 映 射 服 务 器 项 中 填 入 最 常 访 问的 新 闻 服 务 器 主 机 名 或IP 地 址， 端 口 号为119。  
---- 在Outlook Express 中 设 置 新 闻 帐 号 时， 应 该 将 其 新 闻服 务 器设 置 为WinGate 主 机 的 地 址。 由WinGate 的 映 射 服 务 确 定 真正 的 目 标 新 闻 服 务 器。 要 设 置 多 个 新 闻 服 务 器 时， 可 以 设置 映射 表， 根 据 工 作 站 主 机 地 址 或 用户 名 来 进 行 映 射。  
Telnet 代 理 服 务  
---- 因 为Telnet 是 从 一 个 基 于 命 令 行 的 服 务 演 变 来 的，所 以 对 于Telnet 客 户 来 说， 可 以 不 经 过 特 别 的 设 置。 使 用 时 首先Telnet 到WinGate 机 器 上， 在 提 示 符 状 态 下（WinGate>） 输 入 要 登 录的主 机 名 即 可， 可 附 加 端 口 号。  
---- 如 果 经 常 登 录 同 一 个 主 机， 也 可 以 在WinGate 中 配 置一 个 固 定 的 映 射 链 接， 简 化 登 录 步 骤。  
---- 对 于 象NetTerm 一 类 支 持 防 火 墙 的 客 户 程 序， 通 过 附带 的 登 录WinGate的 命 令 脚 本， 配 置 方 便 直 观。 使 用 时 不 再 需要 手 工 登 录 至WinGate 的Telnet 服 务 器， 更 加 简 便。  
IRC 代 理  
---- IRC 是Internet Relay Chat 的 缩 写， 是 一 个 广 泛 使 用 的 网上 聊 天 的 标 准， 其 代 理 配 置 是 通 过 映 射 链 接 实 现 的。IRC 有多 种 客 户 端 软 件， 这 里 以 使 用 较 多 的Microsoft chat 作 为IRC 客户 端 软 件 说 明 其 配 置。  
---- 配 置WinGate 服 务 时， 只 要 在 端 口6667 上 建 立 一 个TCP 映射 代 理 即 可， 映 射服务器项输入要登录 的IRC 服 务 器，使用Microsoft Chat 时，可 以 使 用：mschat.msn.com， 端 口 设 置 为6667。  
---- 而Microsoft Chat 客 户 端 不 需 要 附 加 的 设 置， 只 要 在 登录 的 服 务 器 项中， 输 入 运 行WinGate 的 主 机 名 字 或 地 址 即 可。  
配 置ICQ 代 理  
---- ICQ 有 人 将 其 称 为“ 网 上 寻 呼 机”， 其 配 置 要 复 杂 一些。在WinGate 上，需 要 增 加 一 个UDP 映 射 服 务， 选 择General 标 签， 在 端 口3333 上 接 受 连 接， 缺 省 映 射 到ICQ 服 务器icq.mirabilis.com， 端 口：4000。  
---- ICQ 客 户 端 设 置（ 以ICQ 98a 为 例）： 运 行ICQ，点击ICQ 按 钮，选择Preferences， 弹 出 一 个 设 置 窗 口。 设 置Connection 标签， 选 择"I am using a permanent internet connection (LAN)" 以 及"I am behind a firewall or proxy"。 点击Firewall 设置 按 钮， 选 择"I am using aSOCKS4  
proxy server"， 不 选 择"Firewall sessions time out after..." 方 框，然 后 点击Next 继 续 设 置， 在SOCKS4 主 机 项 内 输 入WinGate 主 机 名 或地 址， 端 口 号 设 置为1080应与WinGate 所 设 置 的 一 致）。 选 择"Use a mapped port on a Proxy"， 在 此 输 入WinGate 主 机 名 及ICQ 代 理 使 用 的 端 口 号3333。  
---- WinGate 可 以 在 映 射 的 链 接 上 进 行 加 密， 以 建 立 一 个安 全 的 WinGate 到WinGate 映 射 链 接 的 数 据 通 道。 通 过 这 种 方 式，企业 的 两 个 内 部 的 局域网 可 以 通 过 互 联 网 进 行 安 全 的 数据 传 输。  
---- WinGate 拨 号 程 序 用 于 管 理Internet 连 接 性。 可 以 配 置多 个 不 同 的ISP帐号。 访 问 也 可 以 通 过 用 户/ 组 来 进 行 限 制， 或者 通 过 其 他 参 数， 如 用 户 连 接 哪 个 服 务 器 来 限 制。 通 过 设 置WinGate 的 拨 号 属 性， 采 用 拨 号 方 式 与 互 联 网 连 接 时，可 以 使 用NT 拨 号 网 络 将 其 设 置 成 自 动 拨 号， 即 当客 户 端 访问 互 联 网 时， 无 须 用 户 手 工 启 动 拨 号 服 务，WinGate 自 动 利 用NT 的拨 号 程 序 拨 出 并 登 录 到ISP 的 主 机 上。  
---- 如 果 一 个 工 作 站 通 过 路 由 器 与WinGate 所 在 的LAN 具  
有TCP/IP 连 通 性， 通 过 适 当 设 置， 仍 然 可 以 使 用WinGate 作为 代 理 服 务器 访 问Internet。 需 要 注 意 的 问 题 是 当 通 过 拨号 与ISP 建 立PPP 连 接 时， 一 般需 要 使 用 远 程 网 络（ 即ISP） 的 网 关作 为 缺 省 网 关。 这 样， 不 在 局 域 网 上 的 工 作 站 由 于 路 由无 法抵 达， 仍 然 无 法 访 问Internet。 解 决 的 方 法是 在WinGate 机器 上 增 加 一 个 静 态 的 路 由 表 项。 即 通 过route 命 令 来 修 改 路由 表。  
---- 通 过 运 行Regedit.exe 程 序 修 改WinGate 在 注 册 表 中 的 值（该 操作 要 小 心，修 改 错 误 可 能 导 致 某 些 致 命 的 问 题）， 可 以完 成一 些 高 级 操 作。 如 要 将WinGate 给 出 的 提 示 信 息"Access Denied" 汉 化 成“ 访 问 拒 绝”， 可 以 修 改 注 册 表 中 键 值AccessDeniedTitle 的 数 据，即查找 该 键 值， 将 其 从AccessDeniedTitle="Access  
Denied" 修 改 成：AccessDeniedTitle=“ 访 问 拒 绝”, 其 他 有 关 错误 提 示 可 参 见：[HKEY_LOCAL_MACHINE\SOFTWARE\Qbik Software\WinGate 2\ErrorStrings\HTTP] 下 的 键 值。