Proxy Server User Guide

Proxy Server 2.0

本章內容包含下列 Proxy Server

Proxy Server 的基本知識

敘述Micr
缺點。

安裝 Proxy Serve

解釋 Proxy Server

設定 Proxy Serve

敘述因應各種不同目的的 Proxy Serve

oso

f t Proxy Serve

r

的軟硬體需求、一些應列入考慮的事項及其安裝程序。

r

使用進階功能

敘述如何於撥接網路及IPX
Proxy Servers 於網路上的使用方式。

Proxy Server 安全

介紹 Proxy Serve

r

的安全性功能，同時敘述如何設定以求得最大的安全性。

測驗所涵蓋的各主題：

r

的目的、功能和架構，以及其支援服務的優點及

r

安裝及設定程序。

通訊協定上使用 Proxy Server。同時也闡述多

3 0 5

最佳化及故障排除

解釋如何監督和最佳化 Proxy Serve

Pro

Proxy 伺服器通常用來做為網際網路上的閘道器，但它使用在企業網路上或許更有
用。它滿足三項主要的需求：

基本上，Proxy Serve
取網頁或其它資源的需求，Proxy 連上網路取得這項資源，然後傳回給用戶端。

一個設 定用來限制使用者存取站台或服務，同 時限制外 部對本地端 網路存取 的
Proxy Server
時當用戶端發出需求時回傳給它的 Proxy Serve

xy Ser

讓多位使用者透過單一連線存取網際網路，透過嚴謹的管理來控制使用者
存取網際網路上的位址及服務。

藉著將網頁內容及其它經常需要存取的資訊存入 Cache ，降低本地端網路
與網際網路間的資料傳輸量。

防止外部網際網路位址在未經授權下進入區域網路內，不過視情況可以有
限度的開放部分權限。

也常常被稱為是防火牆（F

ver

r

的運作就像網際網路上的掮客。用戶端向 Proxy 發出一個擷

的基本知識

r

的效能，以及如何解決常見的問題。

i r

ew all

）。而一個維護網頁文件Cache ，同
r

稱之為 Caching Proxy。

Microsoft Proxy Server
器，提供以上所提及和其它的一些服務。Proxy Serve
份，與Internet Information Server（

2.0。

Proxy Serve
功能：Web Proxy、Wi
部使用，完全視用戶端的需求而定。底下各節將會詳述這些服務。

r

實際上包括三個獨立的服務，每一個都替用戶端提供存取網際網路的

是一個執行於Wi

nSock Proxy 及 SO CKS Proxy。你可以只使用其中之一或全

ndow s NT Ser

I I

S）整合在一起。目前的版本為 Proxy Serve

3 0 6

ver，功能完整的 Proxy 伺服

r 是B

ackOf f ice

套件的一部

r

考場叮嚀

要通過Pr
用方式，同時也要知道如何設定並維護每一種的服務。本章稍後 ”設
定 P roxy Server”會詳述。

oxy S

erve

r MCSE 測驗，你應該知道這三種服務的功能及使

Web Proxy

Web Pr
Proxy 所發展的標準。它支援HTTP、FTP Read、Secure H
般的Web 瀏覽器都會支援這些服務，所以這是最多種電腦平台，也是最多種網際
網路Web 瀏覽器會支援的 Proxy。

Web Pr
在內：

oxy 服務支援CERN（歐洲分子物理實驗室，Web 的發源地）對網際網路

TTP 及Gopher

oxy 也是 Proxy Serve

被動式Cache （Pas

主動式 Cache （Active
那些經常被擷取的網頁），而事先將其 Cache 下來，使網路連結有最理想的
回應時間是這種 C ache 的主要目的。

r

服務中唯一支援 C ache 的，有兩種型態的 Cache 包括

s ive

caching）儲存用戶端擷取過的文件。

caching）試圖決定哪些文件會被用戶端需求（例如

服務，一

Web Pr
Applica
I IS

oxy 運 作就像ISAPI（網 際網路服務應用程式介 面；Internet

t ion Inte

的服務可被用來處理 Proxy 的需求。

r f

ace），是對Microsoft Internet Information Server（I I

Service

S）的擴充。

3 0 7

WinSock Proxy

Web Pr
WinSock Proxy 支援大部分協定或應用程式，包括以 T C P（連結導向）及UDP（非
連結導向）為基礎的服務。

WinSock Proxy 服務僅支援Wi
時需要特殊的用戶端軟體配合。底下解釋它的運作。

WinSock

WinSock（Wi
應用程式。這規格以 Berkeley Socket
務及程式的通訊。

WinSock 規格使用API（標準應用程式界面），允許網際網路上的程式使用一致的
介面。Wi
需要額外的程式。T CP/IP

WinSock API
元）檔案中。Wi

oxy 服務只支援HTTP、FTP Read、Secure H

ndow s 3.x、Wi

ndows 95/98 及Window s N T 電腦，同

規格

ndows

ndow s 95/98 及Wi

函數呼叫包含在WINSOCK.DLL（16 位元）或WSOCK32.D

Sockets）規格是由Micr

ndows NT

add-on for Window s fo

ndow s 95/98 支援 16 及 32 位元的處理，所以也同時包含此二者。

oso

f t 所發展，目的是用來支援 T C P

為標準，使用IP 位址及埠號來建立電腦間服

本身就支援這個標準，但在Wi

r Workgroup

TTP 及 G opher

s

亦支援這個標準。

協定。相對地，

/ I

ndow s 3.x 則

LL（32 位

P

WinSock Proxy 運作方式

WinSock Proxy 用戶端安裝程式會有自行搭配 Proxy Server
代 16 或 32 位元的WinSOCK.DLL
的DLL 檔會攔截給Wi
的DLL 檔則是當需求由本地端發出時才會被呼叫。

WinSock Proxy 運作起來就像直接連到網際網路。用戶端程式不會感覺 Proxy 伺服
器的存在，也不須做任何設定。這程序使用一個開啟於用戶端及 Proxy 伺服器間的
控制通道，就像網路介面一樣傳送資料。

nSock API

檔案，原有的檔案將會被更改成其它名稱。新

的呼叫並使用 Proxy 伺服器來發出需求；而原來

3 0 8

運作的DLL 檔案來取

因為Wi
協定。這個協定能取代用戶端與 Proxy 伺服器間的 TC P
使用 TC P
的IPX/IP 閘道器。

nSock Proxy 用戶端就像網路介面，它也能提供一項獨一的功能：支援IP

/ IP

來與網際網路做通訊。這樣它就好像是非 TCP

/ IP

協定；Proxy 伺服器再

/ IP

網路與網際網路間

X

SOCK Pr

SOCK
連接在網際網路上。它的好處是對非Wi
援UD P（非連結導向）的服務，同時也不支援IPX

Proxy Server
服器名稱，就可以被任何支援 SOCKS 的程式使用，不必再安裝用戶端程式。

是一種提供類似Wi

安裝

Proxy Serve
的前置規劃及安裝程序。

Proxy Server

Proxy Serve
服器、執行
的硬軟體需求，以及安裝前應該考慮到的事項。

oxy

nSock Proxy 一樣功能的標準規格，同時運作上也像直接

ndows

中的 SOCKS Proxy 服務依 SOCKS 4.3a 版本標準來製作。只要指定伺

Pro

r

xy Ser

的安裝程序相當簡單，不過事前應該謹慎規劃。底下各節要討論安裝

ve

r

用戶端的廣泛支援。不過它並不支

協定。

安裝規劃

r

可以在任何符合需求的Wi

I IS

及其它服務的同一部電腦或另外的電腦。下面討論 Proxy Serve

ndows NT Server 上執行，它可以是檔案伺

r 2.

0

硬體需求

Proxy Server
Serve

r

要求稍高。表 4-1 列出 Proxy Server

只能在Wi

ndows NT 伺服器上 執行，而它的硬體需求比單一 N T

的需求。

3 0 9

表 4-1： Proxy S erve

r

的硬體需求

項目 需求

處理器 486/33 或以上的處理器（建議為Pen
記憶體
磁碟空間

Intel

系統 24MB

Proxy Server

（建議 32MB 或以上）；RISC

元件需 10MB

網路卡 每一個網路一片

t ium 級）

系統 32MB

如果想使用 Cache 功能，除了安裝 Proxy Serve
才行。Micr

0.5MB

osoft 建議預估磁碟空間的方法為 100MB，加上每多一個用戶端就加

。增加磁碟空間給 Cache 將能夠改善執行效能。

Windows NT 設定

Proxy Serve

r 2.0

只能在Wi

必須先行安裝Wi

必須先行安裝
及 SP3/4）

I IS 3.0

ndow s NT Ser

ndows NT 4.

或 4.0（如果用

ver 4.0 上執行，此外還須做一些設定：

0（Service Pack 3 或 Service Pack 4）

I IS 4.

考場叮嚀

如果設定電腦執行 Proxy Serve
給Wi

ndows NT Server

Information Server（IIS

，並視情況保留 20-500MB 的空間給Interne

）。

r

服務，大概需要 124MB 的磁碟空間

r

所需的 10MB，還要有多餘的空間

0，尚須安裝Internet

Explore 4.0

t

3 1 0

網路卡應該正確設定，並連結到 TC P
IPX

，本章稍後再做說明）。

假使 Proxy Server
Server

的 Cache 不支援使用 FAT 檔案系統。

要使用 Cache ，必須要有NTFS 的檔案系統，因為 Proxy

/ IP

協定（某些狀況下，也可以使用

考場叮嚀

對於Pr
TCP/IP
此外，你應該有安裝及管理
Information Serve

oxy Server

，如第一單元“Internetworking with TCP

取得軟體

Proxy Server 是Microso
I

IS、SQL Server

進一步資訊，請參閱︰

http://

上述網站提供一個試用版的Pr
S

erve

及其它元件。Proxy Server 也可單獨從Micr

backo

f f ice.microsof t.co

r

測驗應該有正面幫助。

測驗，你應該知道如何在Wi

I IS

的基本知識，如第二單元“Interne

r 4.

0”中所敘述的。

f t BackOf f ice

套件的一部份，還包含Wi

m

考場叮嚀

oxy S

erve

r

ndows NT

/ I

P ”中所敘述的。

oso

可供下載。這對準備Pr

上設定

ndow s NT Ser

f t 取得。想取得更

t

ver、

oxy

安裝程序

執 行下載 版 本 或 光 碟 版 的 Setup 程 式，可 以 安 裝 Proxy Server。 檔 名是
M

SP2I.EX

1.Proxy Server

2.輸入 Proxy Serve

3.產品序號會顯示出來，你應該記錄下來。按【OK】後繼續。

E。下面步驟是完整的安裝程序︰

版權宣告顯示時，按下【Y es】後繼續。

r

的 CD Key，它通常印在光碟包裝盒上。

3 1 1

4.選擇安裝 Proxy Server

5.安裝選項對話方塊此時顯現，讓你選擇是否安裝這三個項目。

6.

現在 Proxy Server
失效，直到安裝過程結束。

7.Cache 設定對話方塊如圖 4-1。選擇是否要啟動Cache 功能，並選擇一個或
以上的 N TFS 磁碟空間來存放 Cache 檔案。你可以對每一磁碟機選擇最多
有多少空間給 C ache 使用。

檔案的目錄，預設值為 C:\MSP。

檔案應該已經安裝完成。此時

I IS 的WWW 服務會暫時

圖 4-1︰Pr

建立區域位址表（LAT

設定完 Cache 後，就會出現區域位址表設定對話方塊。LAT 是一個文字檔，用來
列出哪些IP 位址該視為是本地端的位址。Proxy Serve
判斷是否直接可和此一主機連結，還是得發出 Proxy 請求。

oxy Server C

ac he 設定

）

r

會依據這個表格的內容，

3 1 2

如果要增加一區段的IP 位址到 LA T ，輸入起始及結束的IP 位址，然後按Add 按
鈕。如果只要增加單一位址，那起始與結束位址都輸入相同的位址即可。此外，
Con

s t ruct Table 按鈕會產生一對話方塊提供下面的選項︰

Add the private ranges 10.x.x.x

,

19 2.168.x.x

,

and 17 2.1 6.x.x-

172.31.x.x to table

在IP 位址規範中，這些區段的位址歸為私人使用的位址，可以使用在區域
網路中，但不能做為選徑器及通往網際網路上的位址。因此，這些位址常被
使用在未與網際網路連接的區域網路中使用。

Load

from NT internal rou

如果執行 Proxy Serve
域網路中的位址。你可以從一張網路卡，或全部的網路卡選擇使用選徑表來
加上本地端的位址。

完成本地端位址的設定後，按【OK】繼續設定程序。

t ing tabl

r

的 N T 伺服器被設定為選徑器，選徑表就已經包含區

e

考場叮嚀

使用Cons
把本地端所有的位址都包含進來，同時沒有外部的位址。表中的一個錯
誤可能會使用戶端無法取得特定的資源。

t ruct Table 選項後，你應該檢查本地端的位址並驗證是否

用戶端選項

安裝程序的第二階段提示給用戶端安裝程式使用的資訊，稍後再討論。包含下列選
項︰

C

l ien

t

connec

指定是否用伺服器的電腦名稱或IP 位址被來供用戶端存取 Proxy Server
如果使用IP，確認伺服器有固定的IP 位址。

t to Microsoft Pr

oxy Server

by

。

3 1 3

Automat ically configure Web browser during c

如果選擇此項，用戶端安裝程式於安裝過程中將會設定用戶端的瀏覽器。指
定 Proxy Serve

r

的名稱及埠號（通常是 80）給Web Proxy 服務。

l ient setup

Configure Web

如果開啟，用戶端安程式會設定用戶端的瀏覽器使用自動組態的功能。這使
用表單（script

Proxy Server
用來產生這個表單。包含下列選項︰

Use

Proxy

for

通常若用戶端存取的是本地端位址（沒有句點的位址，例如 http://server
會繞過 Proxy Serve

Do not use Proxy for the fol lowing IP

如果需要，可以指定一串單一的IP 位址，用戶端對這些位址的機器能不受
Proxy 服務的限制。

Do not

use Proxy for domains

如果選此項，只要是位址字尾為本選項指定的都可不經 Proxy。串列內容以
分號隔開。

browsers to use Automat ic Con

）來決定 Proxy 的設定。

安裝程式自動建立一個瀏覽器設定表單，屬性按鈕讓你修改一些值以

l

oca

l server

s

r

。如果選擇此項，所有的位址都要經過 Proxy 處理。

f igurat i

on

addresses

ending wit

h

Backup Route

1），

3 1 4

如果啟動此選項，當 Proxy Server
選項to the Internet
一個 Proxy Serve

會直接連結到目的位址。選項to Web Pr

r

及埠號。使用Modify

考場叮嚀

選項to the Int
S

erve

r

當機時，用戶端就可以不受原先設定的限制，而可以直接存取

網際網路上的資源。

ernet

可能有安全上的風險。如果選用此項，當Pr

無法使用時，用戶端會使用後備的路徑。

oxy 指定使用另

按鈕來更改後備路徑的設定。

oxy

存取控制

Proxy Server
或停用Wi
Proxy Serve

若啟動某一服務的存取控制，還必須設定許可權給哪些使用者或群組。如果存取控
制被取消，所有的使用者都無法取得 Proxy Server
Service M

輸入此對話方塊的資訊後，Proxy Serve
檔案、重新啟動Web 服務，然後便結束，從此時起 Proxy 服務開始執行。下一節
將敘述如何管理及設定這些服務。

安裝程序的下一個對話方塊，可讓你設定預設的許可權。你可以啟動

nSock Proxy 及Web Proxy 服務的存取控制，立即啟動這些選項來維護

r

的安全。

的服務。你可以使用Interne

anager 來更改這些選項並加上特定的許可權，這會在下一部份中敘述。

r

安裝程序就算完成。安裝程式複製其他的

考場叮嚀

一旦Pr
會停止回應網際網路上發出的需求。Web Publ ishing
Proxy Server
一節中再來討論。

oxy S

erve

r

安裝在有IIS

中的 P ublishing

服務的主機上，IIS 的Web

可以啟動使用

選項，本章稍後“Web Server

服務就

安全”

t

規劃

當你 安裝
Internet Service M
M

anage

Proxy。

Proxy Server
只要將光棒移到對應的選項並使用工具列上的按鈕。

設定這些服務，將光棒移到對應選項，按滑鼠右鍵，選擇 Properties，顯示出屬性

Pro

I IS

r

的每一 Proxy 服務上加入下列項目︰Web Proxy、Wi

xy Ser

時， 也會一併安裝Microsof t M

anage

r

安裝以後，這三項服務就開始執行。要啟動、暫停及停止這些服務，

ve

r

anagement

公用程式。Proxy Serve

C onsole（MM

r

安裝時會在Internet Servi

nSock Proxy 及 Socks

C ）的

ce

3 1 5

對話方塊，裡面有一些設定分頁（Tab）。底下敘述這些選項。

一般屬性

Service 以及 Logging 屬性對三個 Proxy 服務都是相同的。本節就先敘述此部份。
底下是每一項服務的單一屬性敘述。

Service

屬性

每一服務屬性對話方塊的第一設定分頁就是 Service。它包含關於此服務的一
般性資訊，並提供所有服務選項的設定。這些選項包含︰

Current Sessions

顯示一對話方塊列出目前與 Proxy 所有的連結，它們的來源及連線時間。

Commen

t

選擇性的輸入，對服務的註解。

Security

顯示一對話方塊讓你設定安全選項，包含封包過濾。這會在本章稍後“Proxy
Server

A

r r

ay

顯示一對話方塊讓你設定 Proxy Serve
這會在本章稍後”使用多 Proxy Server”一節中敘述。

安全”一節中詳述。

r

陣列（數個 Proxy Serve

Auto Dial

顯示一對話方塊，讓你設定使用 RAS（遠端存取服務）建立的撥接連線來搭
配 Proxy Server
在本章稍後”使用 Proxy Serve

運作。這使多個用戶端共同分享一個撥接連線。這些選項會

r

搭配 RAS”一節中詳述。

r

所組成）。

3 1 6

Plug-ins

連結到Micr

C

l ient Con

oso

f igurat i

f t 的網頁，讓你下載來搭配 Proxy Server

on

的產品。

顯示用戶端屬性對話方塊，本章稍早已經提及過。

Loca

l Address T able

顯示 LAT 設定對話方塊，本章稍早已經提及過。

Server Backup

把 Proxy Serve

Server

R estore

從先前備份的設定檔還原 Proxy Serve

r

的組態資訊儲存到指定的檔案。

r

的組態。

Logging 屬性

每一服務屬性對話方塊的最後一個標籤讓你設定記錄選項。根據預設，每一服務會
啟動記錄。底下是可用的選項︰

Enable

Log to file

Automat ical ly

l

ogging using

點選方塊來啟動記錄功能，同時選擇 Regula
會寫入更多的資訊到記錄檔，所以會耗費較多的磁碟空間。

選擇此項啟動記錄到檔案的功能。

open new l

如果選擇此項，每隔一段時間（每日、每週或每月）就會建立新的記錄檔。
記錄檔會以目前的日期為檔名。

forma

og

t

r 或Verbose

格式。Verbose 格式

Limit number o

如果選擇此項，只有一定數量的檔案會保留在目錄中。如果新的記錄檔產生
而超出這個數目，舊的記錄檔將被刪除。

Stop service

如果選擇此項，當存放記錄檔的磁碟已滿，Proxy 服務就會停止。如果不選

f old log files

if disk fu

l l

3 1 7

擇此項，服務會繼續執行，但不會產生新的記錄直到有新的磁碟空間可用。

Log

f i le directory

指定存放記錄檔的目錄。依預設是使用\WIN
目錄。

N T\SYST EM32\M

Log to SQL/ODBC database

SPLOGS 這個

選擇此項則記錄會寫到資料庫而不是檔案中。指定
表格、使用者名稱及密碼來存入資料庫。任何一個提供ODBC 的資料庫（例
如Micr

oso

f t

SQ L Server）都可以使用。

ODBC

的資料來源名稱、

考場叮嚀

依據預設動作，系統每天都會建立新的記錄檔，而檔案數目沒有限制。
在一台忙碌的Pr
導致服務停止。所以最佳辦法是設定限制檔案數目的選項，或是定期備
份及刪除記錄檔。

規劃

跟標準服務及記錄屬性項目一樣，Web Proxy 有四個項目須設定，如下︰

W

eb Proxy

oxy S

erve

r

上，這可能很快就把磁碟空間給塞滿，而

Permission

在安裝過程中，你可以選擇是否啟動Web Proxy 服務的存取控制。許可權限對話
方塊能讓你修改這項設定，假使啟動了存取控制，你就要對這項服務新增一個到數
個許可權限。

你必須為Web、FTP Read、Secure 及 Gopher 分別設定許可權限。要更改服務的許

3 1 8

可權限，按下【Edit
To】按鈕讓你複製服務的許可權限到其它的服務。

】按鈕。你可以新增一到數位使用者或群組到列中。【C opy

考場叮嚀

對Pr

oxy Ser
夠使 用，就必須設定使 用者 或 群組 對每 一項 服務 （Web 、F TP、
Secure 及Gopher）的權限。

ve r 測驗，請記住，一旦啟動了存取控制，要讓使用者能

Cachi

屬性對話方塊中的【C aching】設定分頁包含與 Cache 相關的選項。Web Proxy 服
務支援下列兩種型態的Cache ︰

ng

Passive caching

這是 Cache 的標準型態，與磁碟 Cache 的行為相當類似。當用戶端要求文件
時，Proxy 首先會檢查這份文件是否已存在於 Cache 中。如果存在，就直接
將其送給用戶端；如果不存在，就到網際網路上去擷取，然後存到 Cache 空
間。文件保存是否該繼續存在於 Cache 中是依據文件的時效或文件是否已經
過期。

Act ive

兩種型態的 Cache 都會計算每份擷取檔案的 TTL（Time to live；生命週期）值。
如果使用，這是指根據文件的年紀或文件的到期時間，通常 TTL 的值介於幾分鐘

caching

主動 式 C ache 必須搭 配被動式 C ache 一 同運作，只是它加入 了先 佔式

（preempti

文件被重新讀取時才去擷取。文件是否要存入 C ache 空間取決於文件對用戶
端受歡迎的程度，以及這份文件更新的頻率。Proxy Serve
伺服端的使用，當負載比較低時才執行主動 C ache 的工作。

ve）C ache 的能力，即它能判斷出哪些文件即將被需求，而不是等

r

會監督用戶端對

3 1 9

到 24 小時。假使啟動了主動Cache，當文件的生命週期快要結束，伺服器會自動
更新這份複製的文件。

兩種型態的Cache 都可以從【C aching】對話方塊中設定。下面是可用的選項︰

E

nable caching

完全啟動或停止 Cache 。你還可以只停下 H TTP 或 FTP 的 Cache，這是進階
的屬性，稍後再討論。

C

ache expiration po

選擇如何取決 Cache 中物件是否到期及是否該移出 C ache 的策略。【Update
are more impor tant
者需求的準確度卻較高。【Fewer net
檢查不會那麼頻繁，比較不會增加網路的交通量，同時 C ache 的使用度也較
高。【Equal importance】選項則是前兩者折衷的方式。

l i

cy

】選項會頻繁地檢查，使網路交通量大增，不過評估使用

w ork access are more impor tant

】選項則

Enable active caching

此選項會啟動主動 Cache，這是預設值。選項底下還有一些設定讓你設定策
略。【Fa
作， 使用戶端有較好的回應速度，但也造成網路的交通量 較大。【F ewe
network
的交通量。【Equal importance】選項則是前兩者折衷的方式。

s ter user response is more important

access are more im

portant】選項則儘量縮減預先載入動作以減少網路

】選項會定期進行預先載入動

r

除了這些選項，【C ache D
方塊最初出現於 Proxy Server
小。

對Pr

oxy Ser

式的磁碟機。此外，可以使用遠端（網路）磁碟機。

3 2 0

r ives

ver MCSE

】對話方塊會顯示【C ache Size】按鈕，而這個對話

安裝過程中。它讓你設定每一NTFS 磁碟的 Cache 大

考場叮嚀

測驗來說，請記住Cache 只能使用NTFS 格