二级代理服务器的应用－分级控制

随着信息技术教育的深入和“校校通”工程的推进，许多学校都上了网，但是出于经济和安全方面的考虑，其中多数都是通过代理服务器接入互联网。而且对教师和学生还要区别对待，如对学生有时间和访问站点的限制。因此考虑在电子教室和公用机房设置二级代理服务器，以实现分级控制师生访问互联网。

　　一、代理服务器的功能

　　代理服务器的主要功能有： 

　　1、用户验证和账户管理。代理服务器可按用户进行记账，并对用户的访问时间、访问地点、信息流量进行统计。没有登记的用户无权通过代理服务器访问Internet。

　　2、对用户进行分级管理。设置不同用户的访问权限，对外部或内部的Internet地址进行过滤，设置不同的访问权限。 

　　3、信息缓存。通常代理服务器都设置一个较大的硬盘缓冲区(可能高达几个GB或更大)，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息，传给用户，以提高访问速度和访问效率。

　　4、充当防火墙。因为所有内部网的用户通过代理服务器访问外界时，只映射为一个IP地址，所以外界不能直接访问到内部网；同时可以设置IP地址过滤，限制内部网对外部的访问权限。 

　　5、节省上网费用。如前面所讲，所有用户对外只占用一个IP，所以不必租用过多的IP地址和通信线路，降低网络通信和维护成本。

　　MS Proxy Server 2.0是微软提供的一种代理服务器解决方案，校园网可以用它作为一级和二级代理服务器。MS Proxy Server 2.0通过修改Windows底层文件，与Windows有较好的兼容性。相对于SyGate、WinGate等简易的代理服务器软件，MS Proxy Server功能更强大，适用于学校和中小企业的局域网，不足之处是它要求每个Client(客户端)都安装运行一个客户端程序。 
 
　　二、二级代理服务器的安装

　　1、安装准备

　　首先安装Windows NT Server 4.0或更高版本的网络操作系统，将其配置成独立(stand-alone)服务器、主域服务器(PDC)或备份域服务器(BDC)，而且必须有一个格式为NTFS的硬盘分区作为缓存(Cache)，使用NTFS有许多益处，如果被选作缓存的硬盘分区为FAT 格式，必须先转换为NTFS格式。

　　然后安装Windows NT Server 4.0 Service Pack 3或更高版本，再安装和设置Microsoft Internet Information Server 2.0或更高版本。

　　确保服务器通过集线器或交换机连接到一级代理服务器，此外还应保证局域网中TCP/IP协议已经添加配置完毕。

　　2、安装

　　运行MS Proxy Server2.0的安装程序，在安装期间，安装程序会要求你输入内部局域网的IP地址范围，并以此建立LAT(Local Address Table)，MS Proxy Server 2.0会以此表确定内部网络和外部网络的界限。LAT表的内容保存在msplat.txt文件 中，缺省路径为C:＼mspclnt，同时安装程序会生成一个客户端软件，该软件一般位于C:＼mspclnt目录下，客户端必须运行该软件才能使用代理，安装过程中会要求设置缓存的大小，缓存一般应在200MB以上，前面讲过它必须使用NTFS格式的文件系统。

　　三、二级代理服务器的设置

　　二级代理服务器的设置当然与一级代理有所不同服务器，这也是需要特别说明和提请大家注意的地方。

　　进入Microsoft Proxy Server2.0的Internet Service Manager，出现一个窗口，双击Web Proxy图标，会出现Web Proxy服务属性页，页面中有六个选项，单击Routing，在Upstream Proxy项中选择Use Web Proxy or array，再单击[Modify]按钮，在Upstream Web Proxy Server项中输入一级代理服务器的IP地址和端口号。在Use credentials to communicate with upstream proxy/array项中输入一级代理服务器分配的用户名和密码，单击[确定]，二级代理服务器就设置好了。然后还需要为每一个局域网内的计算机分配账户和制定访问规则。

　　这里顺便提一下客户机的有关设置。在客户端机器的“控制面板”的“TCP/IP属性”栏中填入LAT表限定范围内的IP地址(如192.168.0.18)，DNS栏填入网管指定的域名服务器的 IP地址，网关栏输入二级代理服务器的IP地址。

　　然后在客户机上通过网络执行服务器C:＼mspclnt这个共享目录下的setup.exe，这个程序修改客户机的一些文件，使之能够使用代理服务，安装完毕并不增加一个程序项，也不会在开机时自动执行任务。

　　客户端浏览器的设置(以Internet Explorer 5.0为例)方法是：依此进入“工具→Internet选项→连接→局域网设置”，选择使用“代理服务器”，在地址栏中输入二级代理服务器的IP地址和端口号，单击[确定]。

　　现在，二级代理服务器下的客户机应该能够在一级和二级代理服务器的双重规则下访问Internet了。而此范围外的用户(如教师)则只受一级代理服务器的约束。