代理服务器上网全透视 代理服务器上网全透视 来 源： 赛迪网 作者：谷和启 目录 代理服务器的概念及工作原理 代理服务器的概念 代理服务器的工作原理 代理服务器的分类 代理服务器的其他有关说明 目前常用的代理软件简介 商业软件 共享软件 一、代理服务器的概念及工作原理 一）代理服务器的概念 随着Internet技术的迅速发展，越来越多的计算机连入了Internet。很多公司也将自己公司的局域网接入了Internet。如何快速地访问Internet站点，提高网络的安全性，成为了当今的热门话题。在这种情况下，代理服务器便应运而生了。 1、代理服务器的概念 代理服务器（Proxy Server）是个人网络和Internet服务商之间的中间代理机构，它负责转发合法的网络信息，对转发进行控制和登记。代理服务器作为连接Internet与Intranet的桥梁，在实际应用中发挥着极其重要的作用，它可用于多个目的，最基本的功能是连接，此外还包括安全性，缓存，内容过滤,访问控制管理等功能。代理服务器，顾名思义就是局域上不能直接上网的机器将上网请求（比如说，浏览某个主页）发给能够直接上网的代理服务器，然后代理服务器代理完成这个上网请求，将它所要浏览的主页调入代理服务器的缓存；然后将这个页面传给请求者。这样局域网上的机器使用起来就像能够直接访问网络一样。并且，代理服务器还可以进行一些网站的过滤和控制的功能，这样就实现了我们控制和节省上网费用。 代理服务器能够让多台没有IP地址的电脑使用其代理功能高速、安全地访问互联网资源。当代理服务器客户端发出一个对外的资源访问请求，该请求先被代理服务器识别并由代理服务器代为向外请求资源。由于一般代理服务器拥有较大的带宽，较高的性能，并且能够智能地缓存已浏览或未浏览的网站内容，因此，在一定情况下，客户端通过代理服务器能更快速地访问网络资源。代理服务器应用的常见例子：拥有上百台电脑的局域网通过一台能够访问外部网络资源的代理服务器而也能访问外部互联网。 2、代理服务器的功能 （1）作为防火墙 代理服务器．可以保护局域网的安全，起防火墙的作用。通过设置防火墙，为公司内部的网络提供安全边界，防止外界的侵入。 （2）实现网络地址转换 网络地址转换（NAT，Network Address Translation）最主要的功能是实现IP地址的多个对应多个或者多个对应一个的映射，从而节约IP地址空间。基于这种功能，通过代理服务器访问Internet便可以解决合法的IP地址不够用的问题。公司内部网的用户通过代理服务器访问外界时，只映射一个IP地址，这样公司就不必租用多个IP地址了。 （3）网址过滤和访问权限限制 代理服务器可以设置IP地址过滤，对外界或内部的Internet地址进行过滤，限制不同用户的访问权限。例如代理服务器可以用来限制封锁IP地址，禁止用户对某些网页进行浏览。 （4）提高访问速度 代理服务器将远程服务器提供的数据保存在自己的硬盘上，如果有许多用户同时使用这一个代理服务器，他们对Internet站点所有的访问都会经由这台代理服务器来实现。当有人访问过某一站点后，所访问站点的内容便会被保存在代理服务器的硬盘上，如果下一次有人再要访问这个站点时，这些内容便会直接从代理服务器磁盘中取得，而不必再次连接到远程服务器上去取。因此，它可以节约带宽、提高访问速度。 二）代理服务器的工作原理 代理服务器（Proxy Server）的工作原理是：当客户在浏览器中设置好Proxy Server后，你使用浏览器访问所有WWW站点的请求都不会直接发给目的主机，而是先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器向目的主机发出请求，并接受目的主机的数据，存于代理服务器的硬盘中，然后再由代理服务器将客户要求的数据发给客户。下面我们来详细说明其工作过程： 在网络上，当客户端向服务器端请求数据时，服务器端会随即将所需的数据传给客户端。但是这个服务器可能在很远的地方（例如在美国），数据传输需要较长的时间，如果需要同样数据的用户很多，则每次都要重复传送，如下图1所示： 图1 数据传输过程 1、代理服务器的角色 代理服务器是为了减少长距离的传送而诞生的。它不仅可以代理客户端向服务器端提出请求，也可以代理服务器传给客户端所需要的数据。其运行方式如图2所示： 图2 代理服务器的运行方式 当客户端对服务器端提出请求时，此请求会被送到代理服务器，然后代理服务器会检查本身是否有客户端所需要的数据。如果有，代理服务器便代替服务器将数据传给客户端。而代理服务器一般都是设置距自己传输距离较近的某台代理服务器，所以它传数据给客户端的速度会比从远程服务器传数据要快。 如果代理服务器没有客户端所请求的数据，它会去服务器获取所需的数据。在代理服务器从服务器端取得数据传给客户端时，自己保存一份，待下次如果有用户提出相同的请求时，便可以将数据直接传过去，而不需要再去服务器端获取了。可见，代理服务器改善网络数据传输阻塞的功能是显而易见的。 2、代理服务器的层次 除了客户端可以使用代理服务器外，代理服务器也可以再使用另一台代理服务器。各台代理服务器的关系如图3所示： 图3 简化的代理服务器层次构架 图3是一个简化的代理服务器层次构架，实际的上层（parent）与旁支（sibling）服务器可能更多（当然也可能都没有）。而上层与旁支代理服务器的差异在于运行上的不同： 当代理服务器收到客户端的请求时，它会查看自己的高速缓存（cache）中是否有客户端所要的数据。如果有，则会将数据送给客户端。若没有数据或数据已经过期，则会送出含有URL的数据包给上层和旁支的代理服务器请求协助。 当上层和旁支收到这个数据包后，它们也会去查看自己是否有这些数据。若有，则通知来获取，若无则回复无数据。 如果在一定的时间内没有上层或旁支回复有此数据，则此台代理服务器会找上最早回复没有数据的上层，并且由它将数据取回（不会请旁支将数据取回）。 三）代理服务器的分类 通常的代理服务器分类方法，是从实现的机理分为线路层代理，应用层代理,智能线路层代理（SOCKS）等等。一般的应用层代理服务器工作在应用层，并且针对不用的网络应用提供不同的处理方法，比如 HTTP，FTP,SMTP等，这样，一旦有新的网络应用出现时，应用层代理服务器就不能提供对该应用的代理，因此应用层代理服务器的可扩展性并不好；与应用层代理服务器不同的是，SOCKS代理服务器旨在提供一种广义的代理服务，它与具体的应用无关，不管再出现什么新的应用都能提供代理服务，因为SOCKS代理工作再线路层（即应用层和传输层之间），这和单纯工作在网络层或传输层的 IP欺骗（或者叫做网络地址转换 NAT ）又有所不同，因为SOCKS不能提供网络层网关服务，比如ICMP包转发等。目前的SOCKS版本是第五版，第五版同第四版的区别主要在于第五版提供多种不同的用户认证方法和 UDP 代理。这三种技术的比较如下表1所示： 按代理方式来分有透明代理和传统代理。目前采用Windows的居多，在Windows最著名的有 sygate 和 wingate ，而它们采用的方式是透明代理和传统代理。但是由于Windows本身的安全问题，使用此类代理不太适合对安全性要求比较高的公司企业上网。 1、传统代理 在传统代理我们需做以下工作： 1）代理服务软件被绑定到代理服务器的8080端口； 2）客户端浏览器被配置使用代理服务器的8080端口； 3）客户端不需要配置DNS； 4）代理服务器上需要配置代理服务器； 5）客户端不需要配置缺省路由。 2、透明代理 透明代理的意思是客户端根本不需要知道有代理服务器的存在。在透明代理我们需做以下工作： 1）配置透明代理服务器软件运行在代理服务器的8080端口； 2）配置代理服务器将所有对80端口的连接重定向到8080端口； 3）配置客户端浏览器直接连解到Internet； 4）在客户端配置好DNS； 5）配置客户端的缺省网关（比如为192.168.1.1）。 四）代理服务器的其他有关说明 1、代理服务器的适用环境 无论是家庭还是公司，都不可能为内部的每一台计算机都申请或租用一个合法的 IP地址。要使内部的多个计算机用户高效，安全地访问Internet，使用代理服务器是一种最好的选择。代理服务器需要至少拥有一个合法的IP地址，为内部局域网中的每一台客户机都分配一个独立的IP地址，并且通过在客户机软件上配置使用代理服务器（如用Microsoft Internet Explorer浏览器设置）、指向代理服务器的IP地址和服务端口，这样就可以使局域网内部的众多用户通过代理服务器访问Internet。 对于局域网内部的用户来说，是利用资源共享，实现局域网内部用户对Internet的访问：而对于服务器来说，一般是使用专线，实现多台计算机同时上Internet。 2、代理服务器对硬件的特殊需求 代理服务器能实现许多功能，它对服务器的硬件有一定要求。通常安装代理服务器软件的计算机都需要一个较大的硬盘作为访问数据存放的缓冲区（可能高达几个GB或者更大），当有远程服务器提供的信息通过时，就将其保存到缓冲区中，当其他用户再访问相同的信息时，直接由缓冲区取出信息传送给用户，以提高访问速度，因为代理服务器需要保持多路连接，这会使用大量的内存，所以它需要一个大容量的内存；在一定环境下，有的代理软件需要二个或者更多的网卡。 二、目前常用的代理软件简介 代理服务的实现十分简单，它只需在局域网的一台服务器上运行相应的服务器端软件就可以了。在各种操作系统如Unix、Linux、Windows平台下，都有代理软件，如Apache 、Squid等服务器软件就可以在Unix/Linux 环境下做代理；在Unix/Linux 平台下经常使用的Squid软件就是一个高性能的代理缓存服务器，Squid支持FTP、gopher和HTTP协议，Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。Squid支持SSL，支持访问控制。由于使用了ICP（轻量Internet缓存协议），Squid能够实现层叠的代理阵列，从而最大限度地节约带宽。 目前在Windows平台下代理服务器软件产品主要有：Microsoft Proxy，Microsoft ISA，Netscape Proxy、WinProxy、WinGate Pro、winRoute、SyGate以及CCProxy等等，这些代理软件不仅可以为局域网内的PC提供代理服务，还可以为基于Novell网络的用户，甚至UNIX网络的用户提供代理服务。 代理服务器和客户机之间可以用TCP/IP、IPX、NETBEUI等协议通信，可以提供WWW浏览，FTP文件上传下载、Telnet远程登录、邮件接收发送、TCP/UDP端口映射、Socks代理等服务，可以说目前绝大部分关于Internet的应用都可以通过代理方式实现。 代理服务器的功能确实非常强大，下面就来简单介绍一下几个常用的代理服务器软件。 1、商业软件 如果是公司使用代理服务器，就应采用商业代理软件，因为一旦代理出现问题，售后服务马上就能到位，能及时地保护公司局域网里的数据安全，著名的商业代理软件主要有Microsoft Proxy和Microsoft ISA。下面简单地认识一下这两个商业代理软件。 （1）Microsoft Proxy 微软的MS Proxy Server 2.0是一款优秀的代理服务器软件，能为企业级用户访问Internet提供代理服务解决方案，同时还是一个内容缓存服务器和网络防火墙。Microsoft Proxy Server 2.0 除了提供传统的代理功能外，还对当前Internet一些最新的应用提供了代理服务，如IP电话（Internet Phone）、网络寻呼机（ICQ）等。Microsoft Proxy Server 2.0支持所有的Internet应用协议，包括HTTP（WWW）、FTP、RealAudio（语音数据流）、VDOLive（图像数据流）、IRC（Internet Relay Chat）、POP3、SMTP（邮件）以及新闻协议等。支持Novell的IPX/SPX协议意味着可以在局域网内灵活地使用多种协议，不必限于使用ICP/IP协议，应用起来更容易，对原来的网络配置不必做很大的改动。Microsoft Proxy Server 2.0包括了Web Proxy、Socks Proxy、Winsock Proxy。其中Web Proxy支持HTTP、FTP等服务，Winsock Proxy支持Telnet、电子邮件、RealAudio、IRC、ICQ等服务，Socks Proxy负责中转使用Socks代理服务的程序与外界服务器间的信息交换。MS Proxy Server2.0在运行Windows NT/2000的服务器上安装后，各工作站就可以使用Web Proxy提供的服务，上网浏览、使用FTP等。如果要使用winSock Proxy和Socks Proxy提供的服务，必须要在客户端安装配置程序，并且还要在服务器端进行设置。 （2）Microsoft ISA 今天的网络企业用户不但希望网络环境有安全性、快速性和交互性，还希望企业内部已确定的网络环境还能扩容，以满足经济发展对网络的新需求，并且还要求公司的网络管理人员快速及时地管理网络环境和排除故障。为了满足这样的需求，随着微软推出的新一代商业操作系统Windows 2000的出现，Microsoft Proxy Server的升级换代产品Microsoft Internet Security and Acceleration Server 2000（简称Microsoft ISA或ISA Server）便应运而生。 ISA Server是一个可扩展的企业防火墙和Web缓存服务器，可与Windows 2000集成，以便为连网用户实现基于策略的安全的实现、数据访问的加速。ISA Server提供了两个紧密集成的模式：多层防火墙和高性能Web缓存服务器。防火墙不但提供了对数据包、电路和应用程序层的筛选，还提供状态检查（用以检查跨越防火墙的数据），访问策略控制以及通信的路由。缓存可通过存储时常请求的Web内容，提高访问速度。防火墙和缓存可单独地部署在专用服务器上，也可以集成在同一台服务器上。完善的管理工具对策略定义、通信路由的选择、服务器的发布和监视起到了简化的作用。ISA Server构建在Windows 2000安全、目录、虚拟专用网络（VPN）和带宽控制基础之上。不论是作为一组单独的防火墙还是缓存服务器来部署，还是以集成的模式来部署，ISA Server均可增强网络的安全性，实施一致的Internet使用策略，加速Internet访问，并最大限度地提高各种规模公司员工的办公效率。 ISA Server是当前业界最快的Web缓存服务器之一，运行速度比Proxy Server 2.0 快10倍。ISA Server中有经过优化的缓存技术和多处理器，它们所支持的高速性能够节省带宽，充分利用Internet访问的所有潜力。 2、共享软件 大多数共享软件都很好用，小巧简单、灵活易用。但是也有缺点，例如软件漏洞比较多，安全系数不高，但是它的免费使用对一些囊中羞涩的人来说，的确具有很大的诱惑，一般个人或者小型局域网会选择这类软件。常用的代理软件主要有SyGate、WinGate、WinRoute以及CCProxy等等。 （1）SyGate SyGate是一款很容易使用的代理服务器软件，基本上不用设置就可以使用。设置简单并不等于功能不强，SyGate所提供的功能一点也不逊色于其他代理服务器软件。 SyGate只用一个MODEM就可以将整个局域网内的机器带入Internet。SyGate可以在Windows 98/NT/2000平台上运行，支持多种Internet接入方式，包括ISDN、ASDL和Cable MODEM以及光纤接入。由于提供了NAT技术，使用起来比WinGate更方便，设置比WinRoute更简单。支持很多Internet应用和协议：HTTP、FTP、POP3、SMTP等，对Internet的—些新的应用和协议也有支持，如ICQ、MS Chat、RealAudio、NetShow、MS NetMeeting。 SyGate这款服务器软件，目前的版本有Home和Office 等，SyGate 中文版有10、25以及无限用户等版本，相应的价格也不同。 （2）WinGate 提到代理软件，当然就不能不提WinGate，它算是资格比较老的代理软件。只要学会了用WinGate，再学习其他类似的代理软件就轻松多了。WinGate的性能十分成熟，能够提供大量的代理服务，功能十分强大，WinGate提供了十几种协议的代理，能够满足在Internet上绝大部分的应用的要求，对服务器性能要求不高，可以运行于Windows 9x和Windows NT/2000平台，为Windows3.1/3.2/9X/NT/2000客户提供代理服务，为Novell网络的用户提供代理服务。WinGate同时还是一个坚固的防火墙，它能控制自己内部网络的出入访问。相对同类软件，WinGate还有很多优点，如可以限制用户对Internet访问的能力，同时GateKeeper还提供了强劲的远程控制和用户认证能力、记录和审计能力，此外还具有Socks 5服务器、HTTP缓存（节省带宽和加速访问）、连接映射等功能。 如果管理的是一个十多台计算机的局域网，以Wingate为代理服务器通过一个MODEM上网，应该说速度还是可以接受。不过，在操控方面，WinGate对用户的要求更高些。 （3）WinRoute 如果说SyGate、WinGate的功能侧重于实现代理，那么WinRoute除了具有代理服务器的功能外，还具有NAT、防火墙、邮件服务器、DHCP服务器，DNS服务器等功能，能为用户提供一个功能强大的软网关。安装WinRoute的机器既能连接到Internet又能被局域网内的机器访问。连接到Internet的方式可以采用拨号网络（MODEM、ISDN）方式也可采用路由器（网卡）、专线MODEM等方式，而且这台机器必须有一个ISP提供的合法IP地址。WinRoute可以运行在Windows 9X/NT/2000操作系统中，安装TCP/IP协议。 总体来说，WinRoute的网络功能相当全面，是一个优秀的软网关，美中不足的是它的用户界面显得有些简单，帮助系统不是很完善。 (4）CCProxy 代理服务器CCProxy是国内最流行的下载量最大的的国产代理服务器软件。主要用于局域网内共享Modem猫代理上网，ADSL代理共享、宽带代理共享、专线代理共享、ISDN代理共享、卫星代理共享、蓝牙代理共享和二级代理等共享代理上网。总体来说，CCProxy可以完成两项大的功能：代理共享上网和客户端代理权限管理。只要局域网内有一台机器能够上网，其他机器就可以通过这台机器上安装的CCProxy来代理共享上网，最大程度的减少了硬件费用和上网费用。只需要在服务器上CCProxy代理服务器软件里进行帐号设置，就可以方便的管理客户端代理上网的权限。在提高员工工作效率和企业信息安全管理方面，CCProxy充当了重要的角色。全中文界面操作和符合中国用户操作习惯的设计思路，CCProxy完全可以成为中国用户代理上网首选的代理服务器软件。 通过代理服务器CCProxy可以实现代理浏览网页，代理收发电子邮件，代理QQ通讯等，网页缓冲功能还能够提高网页浏览速度。CCProxy在实现共享代理上网的同时，还提供了强大的代理上网权限管理功能，这些功能包括：控制局域网用户的代理上网权限，多达7种控制方式：IP地址，IP段，MAC地址，用户名/密码，IP＋用户名/密码，MAC＋用户名/密码，IP＋MAC；能控制用户的共享代理上网时间：可以使有些用户只能在非工作时间代理上网，而同时又可以让有些用户能全天候代理上网；能对不同用户开放不同的代理上网功能：可以使有些用户只能浏览网页，有些用户只能代理收发邮件，而同时有些用户则能使用所有代理服务器提供的上网功能；可以给不同用户分配不同带宽，控制其代理上网速度和所占用的带宽资源，可以有效的控制有些用户因为下载文件而影响其他用户代理上网的现象，还可以统计每个用户每天的代理上网网络总流量；可以给不同用户设置网站过滤，特别可以保护青少年远离不健康网站；同时强大的日志功能可以有效的监视局域网代理上网记录。 以上介绍了几种比较流行的代理服务器软件Microsoft Proxy Server、ISA Server、SyGate、WinGate、WinRoute和CCProxy。目前流行的代理服务器软件还有很多，这些产品除了具有所需的代理功能以外，还提供了众多吸引人的功能，各有特点，适合于不同的环境使用，需要根据具体的情况有选择地使用，以达到最好的效果。 Microsoft Proxy Server、ISA Server功能都很强大，提供了很灵活的配置选择，但是配置、维护起来比较麻烦，适合于大中型网络使用，而且价格比较贵。 假如网络环境是基于Windows NT的机器比较多，那么Microsoft Proxy Server将是最佳选择。由于是同一家公司出的产品，Microsoft Proxy Server可以与Windows NT、IIS实现无缝连接，自然相互之间配合得很好，管理、配置和使用起来也很方便。Microsoft Proxy Server支持大部分协议，可以满足大多数Internet应用的需要。但是为了使用得更方便些，一般需要在客户机安装客户端程序。如果不想安装客户端程序，可以选择SyGate、WinRoute和WinGate。 如果网络是基于Windows 2000 Server的，并且在一个大型的企业或公司拥有众多的用户访问Internet，那么ISA Server是目前最好的、最流行的配置。 CCProxy是非常适合中国用户使用的代理软件。无论是政府机关部门，大中小公司，学校，或是网吧，CCProxy都是实现共享上网的首选代理服务器软件。 如果需要把代理服务器用作路由器，那么可以选择WinRoute、Microsoft Proxy Server或者SyGate，它们都提供了NAT功能。SyGate的配置和使用比较简单，提供的功能相对少一些，价格便宜，比较适合几台机器通过一根电话线拨号上网的情况。对于刚刚学习使用服务器软件的用户来说，SyGate应该是首选。现在常用的代理服务器软件有Microsoft Proxy和Microsoft ISA等，它们都是商业软件；还有WinGate、WinRouter、Sygate及CCProxy等，都是一些共享软件，软件版本越高，功能越强，越容易设置服务器。 目录 代理上网注意事项与常见的有关问题解答 代理服务器端和客户端软件安装的注意事项 代理服务器的管理与维护常见的注意事项 代理服务器软件与我们常用的一些应用程序之间的问题 三、代理上网注意事项与常见的有关问题解答 接下来我们来探讨一下通过代理上网常遇到的问题及其解决办法，给大家起一个抛砖引玉的作用。 一）代理服务器端和客户端软件安装的注意事项 前面给大家介绍了一些代理软件的功能，现在说一说代理软件在安装时应注意的事项。 代理软件的安装是由服务器端和客户端的安装两部分组成。当然在软件安装前，相应的服务器硬件必须满足该代理软件的基本要求，如硬盘的容量、内存的大小、网卡的数量以及性能要求必须要达到；再者操作系统平台（如Windows 9x/NT/2000）相应的补丁程序必须要打上；其次是系统有关的程序进程必须要停掉；最后就是已安装的代理软件的补丁程序必须要立即打上。如在服务器（也可以用PC机）上安装ISA Server时，就要注意Windiows NT/2000 Server的文件分区必须是NTFS，必须要安装两块网卡，否则的话就安装不起来，即使安装好也不能正常运行。 我们还要注意的一些共享软件，在网站上下载的免费代理软件，正常的使用时间是一个月，用户数一般是3个；这可以从给定的注册码得知，这样的代理软件只能是个人试用而已；另外这些代理共享软件最好在它的“官方”网站上下载，避免软件上附带病毒或木马程序。 在安装代理服务器端软件时，如安装 Ms Proxy 或ISA Server软件时，请注意选择安装的哪种模式，是否采用防火墙方式；如果是采用两块网卡，在一个网卡输入一个外网的IP 地址，另一块网卡的内网的映射NAT地址可能有三种选择：10.0、172.16和192.168网段地址，一般我们选择内网的地址是192.168网段地址。 最后再说一下代理客户端软件的安装，可以通过“网上邻居”或者采用IE的Web浏览器方式或者采用 ftp 方式在服务器上找到代理客户软件，然后进行安装；也可以用手工将代理客户端软件拷贝到软盘上或者移动硬盘上，带到客户机上安装。 二）代理服务器的管理与维护常见的注意事项 安装好服务器和客户端代理软件，接下来就是对代理服务器端软件的管理与设定。WinGate安装完成后,使用GateKeeper进行配置和监控。GateKeeper是一个功能强大的远程控制和配置程序，通过建立加密的TCP/IP连接，和WinGate核心引擎进行通信，实现对WinGate的远程操作。下面分别以ISA（企业级）和SYGATE（共享）为例，简要说明之，其它软件类似。 1、ISA 代理软件管理设定: 1）企业策略制定 ISA Server的企业策略是在一个组织的总部级别进行配置的，而且可以应用到所有阵列或任一阵列中。阵列策略是在分支级别进行配置，而且可以继承企业策略。对任何给定的阵列来说，ISA Server允许应用企业策略、阵列策略或者同时应用两者。企业策略由企业管理员配置并应用到ISA Server阵列。对任何给定的ISA Server阵列，企业策略决定了是否包含阵列策略，如果包含的话，还应决定包含哪一种规则。 图4 应用企业策略 在企业已经初始化之后再安装ISA Server时，会让您选择把ISA Server作为阵列成员进行安装。如果要加入到一个已有阵列，则继承已有的企业策略。如果要创建一个新阵列，ISA Server Setup会在网络上搜索企业策略以应用到新阵列中。如果以Enterprise Admins(企业管理)组成员的身份登录，可以选择新阵列是采用默认的企业策略配置、继承已有的企业配置、继承新企业策略配置、还是忽略企业策略而只采用阵列策略。如果您不是Enterprise Admins组成员，新安装的ISA Server会自动继承企业管理员为网络所配置的默认企业策略。 注意 如果一个已有的阵列已配置为只使用阵列策略(不使用企业策略)，不能把阵列策略修改为使用企业策略。同样，如果一个已有的阵列使用了企业策略，不能把阵列策略修改为忽略企业策略而只用阵列策略。 创建企业策略 企业策略包括站点和内容规则及协议规则。企业策略可以用于任何可用的阵列，而且可以由阵列的策略进一步进行限制。可以在企业级创建策略单元。策略单元可以由企业级规则或阵列级规则使用。 尽管默认情况下只有Enterprise Admins组的成员才能进行企业策略的配置，但是可以把每一个企业策略的属性修改为允许其他用户有改变策略的特权。换句话说，企业管理员可以授权给任何用户或用户组修改任何特定的企业策略。 2）配置IP数据包筛选器 IP数据包筛选器允许或者阻塞数据包通过指定的端口。在简单的网络场景下，通常不需要为客户机创建IP数据包筛选器来提供安全的Internet访问。然而，在特殊的环境下，必须使用IP数据包筛选器允许或者阻塞特定的通信从外部传输到局域网服务器的内部界面。 IP数据包筛选器静态地打开或关闭端口。也就是说，只要筛选器处于启用状态，端口就处于打开或关闭状态。然而，在多数情况下(在需要并且协议规则以及站点和内容规则允许时)，动态地打开和关闭端口会更为可取。因此，通常的做法是建议创建允许内部客户端访问Internet的访问策略规则，或者创建允许外部客户端访问内部服务器的发布规则。例如，假设要准许所有的内部用户访问HTTP站点。那么，就不应该创建一个将端口80打开的IP数据包筛选器，而是创建一个允许该访问的必要的站点和内容规则以及协议规则。 但是，在有些情况下，必须使用IP数据包筛选器。具体情况如下： 发布位于(边界网络)上的服务器(也就是我们所熟悉的DMZ，(非军事化区，以及被屏蔽的 子网))。 在ISA Server 计算机上运行那些需要访问Internet的应用程序或其他服务。 允许访问不基于UDP或TCP的协议。 只有以防火墙模式或者集成模式安装ISA Server时，才可以配置IP数据包筛选器。 3）控制带宽 当网络内部通信或与互联网的通信变得越来越拥挤的时候，意味着网络性能开始恶化，一旦从ISA Server报告中发现网络资源拥挤的状态时，可以使用带宽优先级和带宽规则来分配通信优先级。带宽优先级是策略单元，它为传入和传出带宽分配1和200之间的优先级值。然后，这些带宽优先级可以通过带宽规则应用到指定的连接。 有效带宽是指通过一个特定的Internet连接，网络客户端实际可用的数据传输率(例如，拨号连接和专线Internet连接)。在创建带宽规则之前，需要在ISA Management中指定Internet连接的有效带宽，以便ISA Server能正确执行带宽优先级。 4）ISA Server 的故障排除工具 要检查出ISA Server 中的连接、安全和服务等方面的故障，您必须全面了解所有可用的网络故障排除工具。这些故障排除工具包括ISA Server指定的特性，TCP/IP命令以及Windows NT/2000实用程序。 如果在ISA Server 安装中出现了意外的故障，此时就可以利用故障排除工具来确定故障原因。根据要排除的故障的类型，可以组合使用下列故障排除工具： ISA Server 报告； 事件查看器； 性能监视器； 使用Netstat命令； 使用Telnet命令； 网络监视器； 路由表。 2、SYGATE代理软件管理设定: 如果在配置对话框中选取自动启动SYGATE server，系统重新启动时SYGATE也将启动。手动启动SYGATE如下： 选择开始->程序->SYGATE-> SYGATE Manager 打开后，将看到SYGATE Manager提供了数个配置和控制网络的选项，出现的图标包括： 开始/终止----开始和取消SYGATE因特网连接共享功能； 拨号/挂断----开始和断开拨号网络连接； 资源----在网络计算机之间提供打印机和文档共享的功能； 在线帮助----为用户提供完整清楚的说明和发现错误的建议； 高级功能----使用户可以配置自已的SYGATE网络，控制网络安全，管理因特网内容。按选Advanced并开始运用这些动态特性配置网络环境。 SYGATE用户可使用的高级特性包括： 配置----通过配置网络连接设置来优化SYGATE； 防火墙----通过SYGATE个人桌面级防火墙来保护个人数据； 访问规则----建立规则以允许新的因特网应用程序与动态防火墙协作运行； 活动日志----估计网络上的因特网通信量； 许可----控制因特网上不合适的内容和游戏。 可以通过对SYGATE Manager的配置来管理因特网接入设置，自动拨号，日志，增强安全性能及其他设置。 有关这些特性的详细说明如下图5所示： 图5 1）管理网站访问 SYGATE Permissions Editor可用来控制对特定站点的访问。可以通过SYGATE防止用户（如儿童）访问不合适的站点，也可限定用户只访问允许的站点。许可编辑器提供两类列表： 黑名单，防止用户访问特定的IP地址；白名单，限制用户只能访问特定的IP地址。 图6 2）管理黑名单 只要通过SYGATE来管理共享上网，SYGATE黑名单就可以禁止网络用户访问特定的站点。 注：确认已使黑名单检验框生效。 图7 向黑名单中添加网站的IP地址：在Permissions Editor界面中选择Black List项； 单击“Add”按钮，出现添加记录窗口； 从下拉列表中选择协议类型（TCP 或 UDP）； 空白表示入口可应用于所有的内部IP地址，若输入内部工作站的IP地址则表示其被禁止访问因特网； 选择内部IP地址的端口号； 输入外部IP地址； 选择外部IP地址的端口号； 选择下面选项之一：包含以下时段、排除以下时段； 选择开始时间设置，包括月、星期和小时。默认设置为每月和每天； 选择持续时间设置，来指定所需黑名单入口生效的时间段（日、小时、分钟），之后单击“OK”。 3）管理白名单 只要通过SYGATE来管理共享上网，SYGATE白名单就可以限制网络用户只能访问特定的站点。注：确认已使白名单检验框生效。（与管理黑名单步骤类似，这里就不多说了） 4）建立访问规则 SYGATE的特性和功能建立在网络地址转译的基础上（NAT）。这种技术的优势包括丰富的因特网共享和个人防火墙保护。另外，SYGATE可满足用户个性化的需求以支持新的因特网应用。访问规则要求为SYGATE server指定一套参数，以决定特殊端口应用。访问规则的特性给用户配置新应用的机会，这远高于当今市场上其它产品的能力。专门设计的用户界面允许用户生成这些规则。 因特网应用通信中，当客户机发出打开server机上的一个通道（端口）的请求，并且通过同一通道由发出方得到回应，通信就这样建成了。对某些因特网应用来说，一台客户机请求打开一个端口，之后发出方通过不同端口（关闭的）回应。SYGATE即通过禁止信息侵入网络上关闭的端口来保护你的网络。因此，返回的信息弱化，通信中断。访问规则允许这种应用适当运行并覆盖整个互联网。 图8 5）运行SYGATE诊断程序 当你运行SYGATE 服务器端或客户端遇到困难，尽可以运用SYGATE诊断程序。运用如下： 在服务器端，打开SYGATE Manager并在工具单中选择“Diagnostics”；在客户机端，右键单击位于系统盘中的“SYGATE client”图标。单击诊断选项。注：如果“SYGATE”图标不在系统盘中，由开始菜单打开SYGATE，单击开始->程序-> SYGATE-> SYGATE Manager。 SYGATE Diagnostics 加载并开始检测你的系统配置，包括： 系统设置； 网络适配器； TCP/IP协议及设置； 分配的IP地址； 与服务器的连接。 注：如果以上各项中有任一项测试失败，将出现一条错误提示信息，提示可能的故障原因，并推荐解决方案，运行之前再次检测。参见“Troubleshooting Your Installation”或访问网http://www.SYGATE.com/support 以获取更多信息。 三）代理服务器软件与我们常用的一些应用程序之间的问题 通过代理上网，我们经常使用的一些应用程序有时候由于管理与设置不当，会出现各种各样的问题。Sygate代理软件安装好后，所有的端口和协议都是开放的，而ISA代理软件安装好后，一般常用的如HTTP、FTP、POP3、SMTP等协议和端口是开放的，象QQ、MSN等应用程序，一些游戏站点和证券网站在ISA都上不了等等问题，必须手工开放相应的端口和协议。可以在代理软件的网站上查找有关的常见问题解答，在此就不多说了。 ----------------------------------------------