宽带代理服务器设置完全手册
硬件周刊
当局域网内的所有计算机都必须共享一个外部Internet连接,如ADSL、Cable Modem或光纤接入,或者ISP(Internet服务提供者)分配的公用IP地址不足以分配给所有的计算机时,必须使用代理服务器才能实现Internet的共享接入。
一、代理服务器基础
使用代理服务器可以实现免费访问Internet,还可以提高网络访问速度,访问无法直接访问的站点,更为重要的是,可以解决网络IP地址紧缺的问题等。
1.什么是代理服务器
代理服务器英文全称是Proxy Server,可以代理网络用户去获取网络信息,我们上网过程中,一般是使用浏览器直接连接Internet站点获取网络信息,而代理服务器则是介于浏览器和Web服务器之间的一台服务器,使用代理服务器之后,我们的浏览器就不是直接到Web服务器去获取网页信息了,而是先访问代理服务器,然后由代理服务器获取所需要的信息并传送给浏览器。也就是说,用户通过代理服务器访问Internet时,映射的是代理服务器的IP地址,因而可以有效保障本机的IP地址不泄漏。其次,代理服务器可以节省大量的IP地址资源,有效地降低网络的维护成本。同时,代理服务器还可以提高网络的访问速度,大部分代理服务器都有缓冲的功能,可以起到快速浏览的作用。
代理服务器处在客户机和服务器之间,对于远程服务器而言,代理服务器是客户机,它向服务器提出各种服务申请;对于客户机而言,代理服务器则是服务器,它接受客户机提出的申请并提供相应的服务。
2.使用代理服务器的好处
对于使用代理服务器上网的用户来说,合理设置并使用它有很多好处。
(1)能加快对网络的浏览速度
代理服务器接收远程服务器提供的数据保存在自己的硬盘上,如果有许多用户同时使用这一个代理服务器,它们对Internet站点所有的要求都会经由这台代理服务器,当有人访问过某一站点后,所访问站点上的内容便会被保存在代理服务器的硬盘上,如果下一次再有人访问这个站点,这些内容便会直接从代理服务中获取,而不必再次连接远程服务器。因此,它可以节约带宽、提高访问速度。
(2)实现网络地址转换
网络地址转换(NAT,Network Address Translation)最主要的功能是实现IP地址的多个对应多个或者多个对应一个的映射,从而节约IP地址空间。基于这种功能,通过代理服务器访问Internet便可以解决合法的IP地址不够用的问题。公司内部网的用户通过代理服务器访问外界时,只映射一个IP地址,这样公司就不必租用多个IP地址了。
(3)可以作为防火墙
代理服务器可以保护局域网的安全,起到防火墙的作用:对于使用代理服务器的局域网来说,在外部看来只有代理服务器是可见的,其他局域网的用户对外是不可见的,代理服务器为局域网的安全起到了屏障的作用。另外,通过代理服务器,用户可以设置IP地址过滤,限制内部网对外部的访问权限。同样,代理服务器也可以用来限制封锁IP地址,禁止用户对某些网页的访问。
(4)提高访问速度
通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大),当有外界的信息通过时,同时也将其保存到缓冲区中,当其他用户再访问相同的信息时,则直接由缓冲区中取出信息,传给用户,以提高访问速度。
(5)方便对用户的管理
通过代理服务器,用户可以设置用户验证和记账功能,对用户进行记账,没有登记的用户无权通过代理服务器访问Internet。并对用户的访问时间、访问地点、信息流量进行统计。
3.代理服务器的工作原理
首先,需要说明的是,代理服务器与专线接入中用到的路由器是两个不同的概念。代理服务器是建立在TCP/IP协议应用层上的一种服务软件,而路由器则是连接在网络中的一台硬件设备,它是工作在TCP/IP协议的IP层上,主要起寻址的作用。
代理服务器软件一般安装在一台性能比较突出且安装有ADSL Modem和网卡的计算机上。在内部局域网中的每一台客户机都必须拥有一个独立的IP地址,而且事先必须在客户机软件上配置使用代理服务器并指向代理服务器的IP地址和服务端口号。
当代理服务器启动时,将利用一个名为WinSock的动态连接程序来开辟一个指定的端口,等待用户的访问请求。
假设,我们要访问一个站点,首先使代理服务器通过ADSL Modem拨号连上ISP,然后在客户机上发出信息请求,这个请求自动通过WinSock套接程序和代理服务器取得联系。代理服务器在指定的端口接收到客户机的请求后,它就分析客户机需要的是什么样的服务,如果是FTP服务,它首先查看本地计算机上有没有相应的信息,如果有,它就从本地的硬盘中把客户机需求的信息返回给客户机;如果没有,它就通过调制解调器把客户机的请求发送到ISP,当代理服务器收到ISP传回的响应以后,它就直接把响应的信息转发给内部网络上的客户机。
以后,其他的客户机访问相同的信息时,就不用和ISP进行联系,直接从代理服务器上就可以取得信息了。通过代理服务器可以使公司内部网络与Internet实现安全连接。
二、宽带代理服务器连接
1.代理服务器连接
在局域网中共享一个Internet接入时,必须有一台计算机作为“服务器”,来为其他计算机提供连接共享服务。作为服务器的计算机必须同时拥有两条网络链路,一条用于连接Internet,既可以是普通拨号、ADSL、Cable Modem、小区LAN或其他任何Internet接入方式,以实现与Internet连接;另一条用于连接局域网,通过集线设备(HUB或交换机)实现与其他计算机之间的连接。
也就是说,服务器除了必须安装一块网卡外,还必须根据Internet接入方式的不同,安装其他网络适配器,或者是第2块网卡。如图1所示。
当局域网通过ADSL连接至Internet时,在直接连接至ADSL Modem的计算机上安装代理服务器软件,使该计算机充当代理服务器的角色。这样,网络中的其他计算机即可通过该代理服务器的计算机共享Internet连接。当采用RJ-45接口的ADSL Modem时,作为代理服务器的计算机必须安装两块网卡。一块网卡用于连接局域网,而另一块则用于连接ADSL Modem;当采用USB接口的ADSL Modem时,作为代理服务器的计算机只需通过一块网卡连接至局域网,并同时通过USB接口连接至Internet。
当网络通过小区宽带连接至Internet时,其连接方式与ADSL类似。作为代理服务器的计算机必须同时安装有两块网卡,一块网卡用于连接至局域网,而另一块网卡则用于连接至小区宽带的信息插座或路由器的以太网接口。
2.设置ADSL连接
目前,绝大多数ADSL Modem均采用以太网接口,因此,我们应当先在计算机中安装一块网卡,然后使用双绞线将网卡与ADSL Modem连接在一起。由于ADSL Modem不是直接与计算机连接在一起的,所以无须为ADSL Modem安装任何驱动程序,只需安装网卡驱动程序即可。
(1)在Windows 98中拨号连接
在Windows 98系统中利用宽带上网,我们需要安装拨号软件。现在ADSL拨号软件很多,常用的有RASpppoE 0.96、EnterNet 300、EnterNet 500和WinpoET 2.51。这里我们选择EnterNet 300。
EnterNet 300是目前最常用的基于Windows操作系统的PPPoE软件。它具有独立的PPP协议,可以不依赖操作系统,如Windows中的拨号网络来直接驱动网卡连接ISP。
双击EnterNet 300安装程序,在安装向导的指导下,可以很快完成安装工作,EnterNet 300将在系统中添加一块虚拟的PPPoE网络适配器以完成网卡和ADSL ISP的连接,下面我们开始建立连接。
运行程序,双击主界面中的“Create New Profile(创建新的连接)”图标,根据向导提示建立自己的上网文件。如图2所示。
向导首先需要你输入上网文件的名称方便区分所使用的服务项目,直接点击“下一步”按钮,在出现的对话框中输入登录账号和密码。
向导提示创建成功,直接点击“下一步”按钮继续。在出现的对话框中进行防火墙设置,直接点击“下一步”按钮继续。
最后点击“完成”按钮,即可完成连接,直接双击运行建立好的上网图标即可连接Internet。在连线状态,EnterNet 300会在系统任务栏中显示一个和普通拨号网络连接以后类似的小图标,双击该图标即可在出现的对话框中,了解到当前ADSL在网络中的各种网络参数信息。
需要断开连接时只要右键点击系统任务栏的连接图标,在出现的菜单中选择“Exit”命令即可。
(2)在Windows XP中拨号连接
在Windows XP下利用宽带拨号上网,不需要我们安装其他拨号软件,利用其自带的拨号程序就可进行ADSL拨号。
依次点击“开始→所有程序→附件→通讯→新建连接向导”菜单项,启动“新建连接向导”,点击“下一步”按钮,在“网络连接类型”对话框中点击“连接到Internet”选项。在“Internet连接方式”中,点击“手动设置我的连接”选项。点击“下一步”按钮继续。如图3所示。
在“Internet连接”对话框中点击“用要求用户名和密码的宽带连接来连接”选项。在“连接名”对话框中的“ISP名称”框中输入连接的名称。点击“下一步”按钮继续。
在“Internet账户信息”对话框中的“用户名”、“密码”框中输入正确的Internet账户信息。最后选中“在我的桌面上添加一个到此连接的快捷方式”选项,点击“完成”按钮即可。
这时,你就可以在桌面上看到上面创建的连接图标,双击该图标将出现拨号对话框,确认用户名与密码正确后,点击“连接”按钮开始拨号,成功后就可以在任务栏中看到连接图标。如图4所示。
三、利用ICS实现Internet连接共享
利用ICS(Internet 连接共享),你可以将一台计算机连接到Internet,然后与你家庭或小型办公室网络中的几台计算机一起共享Internet服务。
当利用ICS实现Internet连接共享时,网络中必须有一台计算机作为“连接共享”服务器,它既能连接到Internet,又能连接到局域网,并同时能够将局域网内其他计算机的Internet请求转发出去,以及把Internet返回的结果转发给请求计算机,从而使网络中的所有计算机都实现了Internet访问。
1.什么是ICS
ICS(Internet Connection Share,Internet连接共享)是Windows 98/2000/XP/2003系统中自带的一种可实现共享上网的服务。它是指借助于一个Internet连接将多台计算机连接到Internet。其中一台称为ICS主机的计算机直接连接到Internet,然后与网络上的其他计算机共享其连接。因此,客户计算机依赖于ICS主机提供对Internet的访问,所有从客户计算机到Internet的通讯都要经过ICS主机。
启用ICS服务还可以增强网络的安全性,因为只有ICS主机对于Internet是可见的,从而使客户计算机的地址在Internet上得到隐藏。由于无法从该网络以外看到客户机,所以这样将有效地避免来自外部的恶意攻击,以使客户机得到保护。
2.实现ICS
下面,我们以Windows XP系统为例,介绍ICS主机的实现方法。
(1)ADSL连接
在这里,我们假设连接到ADSL Modem的网卡网络连接为“本地连接”,以及连接到局域网的网络连接为“本地连接2”。
以管理员身份(Administrator)登录Windows XP,右键点击“网上邻居”图标,选择“属性”命令,打开“网络连接”对话框。右键点击ADSL的虚拟拨号连接图标(即“本地连接”),比如连接名为“我的ADSL连接”,选择“属性”命令,打开“我的ADSL连接属性”对话框。点击“网络”选项卡,在“此连接使用下列项目”列表中双击“Internet协议(TCP/IP)”选项,打开相应属性对话框,设置IP地址信息为“自动获得IP地址”和“自动获得DNS服务器地址”。
点击“高级”选项卡,点击选中“允许其他网络用户通过此计算机的Internet连接来连接”选项,以将该ADSL连接设置为Internet连接。如图5所示。
然后在“家庭网络连接”下拉列表中选择连接至局域网络的连接(即“本地连接2”),从而实现局域网络的Internet连接共享。选中“在我的网络上的计算机尝试访问Internet时建立一个拨号连接”选项,这样,当网络中有用户发出Internet访问请求时,系统将自动开始拨号并创建一个Internet连接。
(2)小区宽带
在这里,我们假设连接至Internet的网络连接名称为“本地连接”,以及连接至局域网的网络连接名称为“本地连接2”。
以管理员身份(Administrator)登录Windows XP,右键点击“网上邻居”图标,选择“属性”命令,打开“网络连接”对话框。右键点击“本地连接”图标,选择“属性”命令,将打开相应对话框。在“此连接使用下列项目”列表中双击“Internet协议(TCP/IP)”选项,打开相应属性对话框,在这里可以设置IP地址等信息。
注意:此处设置的IP地址由ISP提供,用户应按照ISP提供的使用说明来配置。
点击“高级”选项卡,点击选中“允许其他网络用户通过此计算机的Internet连接来连接”选项,这样将该连接设置为Internet共享连接,并将该计算机设置为ICS主机。
点击“确定”按钮,此时系统会弹出一个对话框,询问:“Internet连接共享被启用时,LAN适配器将被设置为使用IP地址192.168.0.1。计算机可能会失去与网络上其他计算机的连接。如果这些计算机有静态IP地址,应该将它们设置成可以自动获取IP地址。确实需要启用Internet连接共享吗?”,点击“是”按钮即可设置成功。
(3)客户端设置
ICS客户端通常情况下无须做任何设置,即可实现Internet连接共享。ICS客户端网卡的IP地址信息只需采用系统默认值即可,即选中“自动获得IP地址”和“自动获得DNS服务器地址”选项。所有ICS客户端的IP地址信息,均将由ICS主机进行动态分配。
另外,ICS客户端的所有Internet应用程序也无须作任何设置,就与这些计算机直接连接到Internet中完全一样。
3.实现对内部网络服务器的访问
在许多时候,我们除了必须实现对外的Internet连接共享访问以外,还需要实现Internet对内部服务器,甚至是普通计算机的访问。也就是说,借助于单一合法的IP地址来实现对内、对外的双向访问。与此同时,对网络内部服务器和其他主机进行访问也具有非常重要的意义。
比如,用于对外发布信息的Web服务器、用于提供文件下载的FTP服务器、用于进行邮件交流的E-mail服务器(SMTP)等,都要求能够从Internet访问到内部服务器。
(1)设置端口映射
事实上,不同的网络服务会采用不同的端口,比如,Web使用80端口、FTP使用21端口、SMTP使用25端口等。因此,如果将端口号与网络内部不同的IP地址相对应,那么就可以将该端口直接映射至相应的IP地址。例如,网络内部Web服务器的IP地址为192.168.0.80,将80端口映射为192.168.0.80,那么当在Web浏览器中键入局域网Internet连接的合法IP地址时,就会访问IP地址为192.168.0.80的Web服务器,依此类推。下面,我们以Windows XP系统为例,介绍ICS主机的实现方法。
打开连接到Internet的网络连接中的“属性”对话框,并在“高级”选项卡中点击“设置”按钮,将出现“高级设置”对话框。在其中的“服务”列表中选中要被Internet访问服务的选项,例如,“FTP服务器”、“Web服务器(HTTP)”。然后点击“编辑”按钮,打开“服务设置”对话框。
在其中的文本框中输入要设置端口映射的服务器的IP地址,以使该服务器能够被Internet所访问。要注意的是,不同类型的Internet服务应当使用不同的IP地址。重复上述操作,以使网络内的各种服务器都能被Internet访问到。
(2)添加新的服务
如果在局域网中希望提供的服务并不没有出现在“服务”列表中,我们则可以添加新服务的方式来实现一个端口映射。
打开“高级设置”对话框,点击“添加”按钮,打开“服务设置”对话框,然后分别在服务描述、IP地址、外部端口号和内部端口号内输入新服务的名称、服务器的IP地址、服务器在Internet中使用的端口号以及该服务使用的端口号。
通常情况下,由于各种服务器的服务都拥有默认的端口号,所以外部端口号与内部端口号应当都设置为默认端口号。另外,服务的端口号和所使用的协议,通常都可以在服务的帮助文件中找到,例如,QQ将使用UDP协议,而Real服务器则使用TCP协议。
4.Internet连接防火墙
Windows XP SP2中集成有功能强大的防火墙,当在Internet连接共享主机上,启用Internet连接防火墙(ICF)时,就可以有效地保护网络安全,同时禁止未经许可的对网络内部计算机的访问,从而避免网络受到来看外界的恶意攻击和访问。
在ICS主机中,打开Internet连接属性对话框,同时在“高级”选项卡点击“设置”按钮,打开“Windows防火墙”对话框,然后点击“启用”选项即可。点击“例外”选项卡,我们还可以在“程序和服务”列表中选择允许正常接入Internet的应用程序。如图6所示。
使用ICF虽然对网络安全非常有益,但也会给许多Internet应用带来麻烦,从而导致许多网络应用失败。解决这个问题有两种方法,一是取消ICF,这显然不是我们需要的;二是找到该服务使用的端口,然后通过相应的设置让ICF忽略所有发向这一端口的数据包,从而实现正常通讯。
在“Windows防火墙”对话框中的“高级”选项卡中,选中相应的连接选项,点击“设置”按钮,打开“高级设置”对话框,在“服务”列表中可以启用允许通过防火墙的网络服务,也可以点击“添加”按钮,添加一个新的可以通过防火墙的网络服务。其具体操作与端口映射类似,此处不再介绍。
注意:如果用户没有安装Windows XP SP2,其操作略有不同。你只需在Internet连接属性对话框中点击“高级”选项卡,然后选中“通过限制或阻止来自Internet的对此计算机的访问来保护我的计算机和网络”选项即可。
四、搭建SyGate代理服务器
SyGate是由中国人在硅谷开发的,业界最为简单易用的Internet共享软件。它用一条电话线,一个Modem,一个账号就能将整个局域网中的所有计算机连接至Internet,大大节约上网费用。
与其他Internet共享软件不同,SyGate是作为网关与Internet进行连接的,这意味着SyGate仅需安装在有Modem的那台计算机上,其他机器不用安装任何软件。
1.安装Sygate
SyGate可分为SyGate Home Network(也称SyGate)和SyGate Office Network(也称SyAccess)两个版本,其中SyGate适用于个人用户,SyAccess适用于企业用户。用户可以到SyGate的主页(http://www.sygate.net.cn/product/product.htm)下载该软件的最新版本,这里,我们以SyGate 4.5中文版为例。
注意:必须安装SyGate服务器端,而SyGate客户端的安装则不是必须的。
(1)安装SyGate服务器端
双击SyGate 4.5安装文件SyGate45chs.exe进行软件安装。由于其为标准的Windows安装程序,你只需要点击“下一步”按钮,即可轻松完成软件安装。之后根据需要重新启动计算机,以便SyGate的相关服务和管理程序生效并自动运行。
注意:安装过程中,“安装设置”应选择“服务器模式-这台计算机有Internet连接”选项。如图7所示。
在计算机重启之后,将显示产品注册对话框,如果要试用该软件,可直接点击“OK”按钮;如果要注册该软件,可点击“购买/注册”按钮,在出现的对话框中输入相应产品注册信息即可。
(2)安装SyGate客户端
SyGate客户端的安装并不是必须的,安装客户端的目的在于实现一些特殊功能,比如检查Internet的连接状态或自动拨号上网或挂机。例如,将SyGate客户端组件安装在管理员的计算机上,于是就可以通过自己所使用的工作站来远程管理SyGate服务器,而不必担心因为远离服务器而存在管理上的麻烦。
SyGate客户端的安装与服务器端安装类似,只是进行安装设置时选择“客户端模式”选项,表示将该计算机安装为SyGate客户端。
不管是服务器端或是客户端的安装,SyGate均自动完成TCP/IP的设置。一般情况下,并不需要改变系统的默认设置。SyGate服务器端有公用IP地址由ISP来分配,而SyGate客户端的IP地址则由SyGate内建的DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)服务器来分配。
2.设置SyGate
(1)基本设置
默认状态下,SyGate服务器会随着计算机启动而自动运行,你也可以通过点击“开始→程序→SyGate→SyGate管理器”菜单项以启动SyGate。程序启动后,点击主窗口中的“高级”按钮,将显示完整的SyGate管理窗口。点击“配置”按钮,打开相应对话框,该对话框可用于各种功能的基本设置。如图8所示。
选择局域网的网络适配器:如果一台计算机有两个网络适配器,可在“本地网络连接”选项组中,选择“自动检测”选项,以让SyGate自动选择本地连接。
自动检查版本:SyGate将定期自动检查版本的更新情况。当SyGate拥有更新版本时,系统将自动安装软件升级。
系统启动时开启Internet共享:当SyGate服务器开机时,将自动在后台启动和运行SyGate服务。
启用地址服务器(DHCP):该选项将启用SyGate的动态主机配置协议(DHCP)服务器,同时将为网络内的所有计算机自动分配一个临时的IP地址。如果要手动为网络分配IP地址信息,则应禁用此项。
启用活动日志:该选项将使SyGate客户端访问日志生效。该日志将跟踪所有来乍自网络客户机的Internet访问和DNS请求。日志文件将保存在服务器端的SyGate目录下。
启用DNS转发:在网络客户端,只需将DNS服务器的IP地址设置为SyGate Office服务器的IP地址即可,于是SyGate Office将把所有的DNS请求都转发给ISP的DNS服务器。如果禁用该选项,那么需要将客户端的DNS设置为ISP的DNS服务器。如果使用了SyGate Office的地址服务(DHCP),还需要在高级配置中输入ISP的DNS服务器。需要注意的是,如果需要在SyGate Office服务器上启用其他DNS服务,则必须禁用DNS转发功能。
(2)动态IP地址分配
在局域网中使用动态IP地址分配是一个非常不错的选择,这样既免去了IP地址设置的麻烦,有效地避免了可能发生的IP地址冲突,同时也可以大大减轻网络管理员的工作强度。
在进行动态IP地址分配,首先你需要在SyGate“配置”对话框中选中“启用地址服务器(DHCP)”、“启用DNS转发”选项。然后点击“高级”按钮,以打开“高级设置”对话框。如图9所示。
在该对话框中,选中“自动决定IP范围”选项,表示将由SyGate自动选择IP地址段并分配给网络用户。其默认为192.168.0.2~192.168.0.254,SyGate的IP地址为192.168.0.1,子网掩码为255.255.255.0。如果需要自己指定内部IP地址范围,则应选中“使用以下指定的IP范围”选项,并在“从”和“至”框中分别输入起止IP地址,以确定可分配的IP地址范围,然后在“掩码”框中输入相应的子网掩码。
在“DNS搜索顺序”右侧框中输入ISP提供的DNS服务器的IP地址,然后点击“添加”按钮即可添加DNS服务器地址。重复此操作,以添加ISP提供的备用DNS服务器,以便在主DNS服务器发生故障后,仍然可以实现DNS解析。
在设置客户端的IP地址信息时,你只需选中“自动获得IP地址”选项,以让客户端自动获得IP地址,并将SyGate的内部网卡的IP地址(默认为192.168.0.1)指定为“首选DNS服务器”的IP地址即可。
(3)单网卡实现代理服务
通常情况下,一个代理服务器需要安装两块网卡,其中的一块网卡设置为公用IP地址以用于Internet连接(比如ADSL Modem),而另一个设置为私有IP地址以用于局域网连接。如果代理服务器已只安装有一块网卡,我们也可以采用一块网卡来实现Internet共享连接。即代理服务。
首先,请正确安装代理服务器的网卡,并正确设置由ISP提供的IP地址信息。然后在SyGate“配置”对话框中,选中“单一网卡模式设置”选项,以采用单网卡模式来实现代理服务。
3.网络应用控制
默认状态下,SyGate允许所有的用户使用所有Internet应用程序,并且对任何Internet访问均不加限制。如果网络管理员认为有必要限制用户的Internet访问权限,可以只赋予个别用户以特定的访问权限,从而实现网络应用的管理。
(1)应用访问规则
在SyGate管理窗口。点击“访问规则”按钮,打开相应对话框。点击“增加”按钮,打开“添加新规则”对话框。SyGate内置了多种服务规则,其中包括常用的网络服务和客户端程序。因此,通常情况下,我们可简单导入相应的访问规则即可。
选中“从系统规则中导入一条规则”选项,并在其下拉列表中选择需要定义规则的服务,点击“确定”按钮后,在返回的对话框中将显示所添加的规则,并可以对其进行详细设置。通常情况下,建议全部采用系统默认设置即可。
(2)网络访问控制
在SyGate中,我们可以使用黑白名单来实现对客户端的访问控制。使用黑名单管理,那么黑名单中的客户就受到限制管理;使用白名单管理,那么只有白名单中的客户才能访问授权的功能,而其他不在名单中的用户就完全不能访问Internet。
在SyGate管理窗口。点击“权限”按钮,在打开“验证密码”对话框中要求用户管理员输入管理口令,输入完毕,点击“确定”按钮即可进入到“权限编辑器”对话框。
点击“Black List”选项卡,点击“增加”按钮,打开“Add BWList Item”对话框,在这里,我们可以添加一个黑名单,并设置其相关参数。如图10所示。
协议类型:在该下拉列表中可以设置限制的协议类型,不同的应用程序将采用不同的协议。
内(外)网IP地址:在该框中我们可以设置要限制的内(外)部IP地址。其中,0.0.0.0表示将限制所有IP地址。
端口:在该下拉列表中可以选择要限制的网络应用,也可以直接输入要限制应用程序使用的端口号。
在(非)以下时间:在指定的时间段之内(外)限制Internet访问。
点击“White List”选项卡,点击“增加”按钮,打开“Add BWList Item”对话框以添加一个白名单。其设置文艺与黑名单类似,此处不作介绍。
五、搭建Linux平台代理服务器
Linux具有安全、高效、廉价的优点,但大家对它一直有难以使用的印象。其实,随着Linux的不断发展,它的易用性已大有改观。采用Linux操作系统,可使一台配置赛扬400MHz CPU、256MB内存的机器,用ADSL带动两三百台电脑上网成为轻而易举的事。下面就以Red Hat Linux 9.0和Squid为例,教你打造一个安全、高效的代理服务器。
1.配置服务器上网
首先要使服务器能上网。为了提高服务器的效率,一般需要使用双网卡,一块连接内部局域网,一块用来连接互联网。下面让我们来看看宽带连接的方法。
点击“开始→系统工具→网络设备控制”菜单项,在出现的对话框中点击“配置”按钮,然后在出现的对话框中选中内网网卡,点击“编辑”按钮。在出现的对话框中选中“当计算机启动时激活设备”选项,点击“静态设置的IP编号”选项,在“编号”框中输入IP地址“192.168.1.1”(假设内网段IP为192.168.1.2~192.168.1.255),子网掩码输入“255.255.255.0”,默认网关编号为空,最后点击“确定”按钮。
选中外网网卡,将它的IP地址设置为某个保留IP地址,如“192.168.2.1”,其他设置与上述操作类似。
注意:虽然外网卡可以不设置IP地址,但在启动时,需要通过DHCP来自动获得IP地址,这将大大降低启动速度。
点击“开始→系统工具→互联网配置向导”菜单项,在“选择设置类型”对话框中选中“xDSL连接”选项,点击“下一步”按钮。在“以太网设备”对话框中选中外网网卡,在“提供者名称”框中可输入任意一个名字,在“登录名”框中输入电信局给你的账号,在“口令”框中输入拨号密码。点击“前进”按钮,在出现的“建立DSL连接”对话框中点击“应用”按钮即可。
返回“网络配置”对话框,选中刚才建立的“PPP0”设备,点击“活跃”按钮,ADSL即开始拨号了;如果你想每次在电脑启动时能自动拨号,可以点击“编辑”按钮,然后在打开的对话框中选中“当计算机启动时激活设备”选项即可。
2.配置客户机
首先要保证局域网已经连通并安装了相应的协议。客户机可以使用Windows 9X/2000/XP等操作系统,其设置也很简单。
打开IE浏览器,点击“工具→Internet选项”菜单命令,点击“连接”选项卡。然后点击“局域网设置”按钮,在出现的对话框中选中“为LAN使用代理服务器”选项(不同版本显示略有不同),在“地址”框中输入服务器的IP地址“192.168.1.1”,在“端口”框中输入“3128”即可。
3.配置Squid
Linux下的代理服务器软件比较多,Squid是其中一个比较优秀的。它缓存Internet数据,接收用户的下载申请,并自动处理所下载的数据。Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议,但暂不能代理POP、NNTP等协议。在/etc/Squid目录中有一个配置文件Squid.conf,修改该文件可以满足你的不同需要。对初学者来说,可能觉得项目太多,无所适从。但只要理解它的配置方法,就能随心所欲地控制自己的代理服务器了。
注意:“#”号后,为该行注释。
(1)最简单的代理服务器
如果你不想在这上面花功夫,并且对代理服务器的安全性和效率没什么要求,那你只要更改一个单词就可以让Squid工作。搜索“http_access deny all”,将“deny”更改为“allow”即可(更改前面没有“#”号的那一行)!
(2)影响性能的选项
要发挥出Squid的优势,最好深入认识Squid的配置文件。虽然它很庞大,但是用户可以根据自己的实际情况修改相应的选项,并不需要配置所有的选项。先来看看哪些选项会影响Squid的性能。
# cache_mem 8MB:指定Squid可以使用的内存理想值,建议设为内存的1/3。如果你的内存有256MB或以上,又不同时做其他事情,可以设为内存的一半甚至更多。
# maximum_object_size 4096KB:大于该值的对象将不被存储在缓存里。如果要提高访问速度,就降低该值;如果想最大限度节约带宽,降低成本,就增加该值。建议将它的值改为1024KB。
# minimum_object_size 0KB:小于该值的对象将不被存储在缓存里。默认值为0。
# maximum_object_size_in_memory 8KB:指最大的能保存在内存中的对象。如果内存足够多,可以适当将数值调整得大一些,可以加快客户机读取超大对象的速度。
# cache_dir ufs /var/spool/Squid 100 16 256:指定Squid用来存储对象的交换空间的大小及其目录结构。100是交换空间大小,指100MB,16、256分别是一级目录、二级目录数量。
# cache_swap_low 90、# cache_swap_high 95:指定Squid缓存数值超过或低于某个百分比时和交换空间进行数据交换。当缓存比较大时,两个值可以设得比较小且比较接近。
(3)访问控制设置
我们限定某些组或IP地址的计算机在指定时候上网,并且可以屏蔽含有某些关键词的网站。为了使用控制功能,必须先设置ACL规则并应用。ACL声明的格式如下:
acl acl_element_name type_of_acl_element values_to_acl
限制外网电脑使用代理,只允许IP地址为192.168.1.1~192.168.1.255的机器访问:
acl school_clients src 192.168.1.0/
255.255.255.0
acl all_clients src 0.0.0.0/0.0.0.0
http_access allow school_clines
http_access deny all_clients
限制使用时间。只允许IP地址为192.168.1.1~192.168.1.255的机器在每周一到周五的7:00到17:00使用。如果不限制周一到周五,把下面第二行“MTWHF”去掉。“!”表示逻辑非:
acl school_clients src 192.168.1.0/
255.255.255.0
acl allow_time time MTWHF 7:00-17:00
http_access allow school_clients allow_time
http_access allow ! school_clients
屏蔽某些含有特定关键词的站点:
acl school_clients src 192.168.1.0/
255.255.255.0
acl refused_sites url_regex sex
http_access deny fefused_sites
http_access allow school_clients
注意:这些规则按照它们的排列顺序进行匹配检测,列表中的规则总是遵循由上而下的顺序。
因为deny在前,将屏蔽所有电脑的访问,包括内网在内。我们可以定义多个ACL规则,但名字不能相同。
(4)其他配置
# http_port 3128:定义Squid监听HTTP客户连接请求的端口,默认是3128。可以把它定义为容易记忆的端口,但不能和其他常用端口相冲突(如21)。
启动Squid,在配置好Squid.conf文件后,可以用终端来启动、停止Squid,更方便的是将它作为一种服务来启动。点击“开始→服务器设置→服务”菜单项,打开“服务配置”对话框。选中“Squid”选项,就可以使用工具栏上的“开始”、“停止”、“重启”按钮来控制Squid的运行。如需电脑启动时自动启动Squid,只需选中相应选项即可。
现在一切都做完了。如果配置得当,只要把服务器的电源开关打开,你就可以享受Linux带来的安全、高效的服务了!