Linux环境中代理服务器的配置与应用.docVIP

Linux环境中代理服务器的配置与应用 　　摘要：该文Linux中代理服务器squid为研究对象，分析代理服务器工作原理，阐述squid代理服务器的具体工作过程，给出了基于Linux iptables防火墙和squid代理服务器的透明代理的搭建方法，说明了squid的日志管理的具体步骤。 　　关键词：代理服务器；透明代理；squid iptables SARG 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）22-0013-03 　　1 概述 　　代理服务器（Proxy）是一种主流的网络服务器，其工作主要是代理内部网络用户去取得外部数据。当客户端有因特网数据请求时，代理服务器会帮助用户去向目的地取得用户所需要的数据，客户端向外部要求的数据事实上都是代理服务器帮用户取得的，除此之外代理服务器还有防火墙功能。一般来说代理服务器搭建在整个内部网络的对外的防火墙上 　　当内网客户端指定了代理为服务器后，客户端想要取得外部数据主要包括以下步骤：1）客户端向代理服务器发送一个数据需求数据包；2）代理服务器收到请求后，先比对这个数据包的来源与预计要前往的目标网站是否可接受，如果目标合法，代理服务器为该请求执行代理服务；3）代理服务器首先检查自己缓存，如果有，直接将数据取出，如果代理服务器没有客户端需要的数据时，代理服务器访问外网去的相关数据；4）最后，由代理服务器将从缓存或外网中取得的数据回送给客户端。 　　由于所有的内网请求都会经过代理服务器，因此代理服务器经常会用于大型的企业内部，可以对工作时间内员工开展的网络活动进行限制，还可以监测用户的资料要求流向和流量。搭建代理服务器主要有以下优点：1）节省单点对外的网络带宽，降低网络负载；2）以较短的路径取得网络数据，有网络加速的感觉；3）通过上层代理服务器的辅助，达到自动数据分流的效果；4）提供防火墙内部的计算机连上因特网。 　　2 squid代理服务器 　　http_access是按规则在配置文件中的先后顺序处理的，并且找到第一个匹配项后，就按照到的规则处理，后继规则就忽略不作对比。如上例中的三条http_access规则，当前locallan的位置是放在最后一位，对于内网的代理请求，squid将先对比dropshopping和dropviolence这两条规则，禁止内网访问购物网站和浏览暴力图片，如果将locallan放在dropshopping和dropviolence这两条规则前面，那么对于内网的请求，squid将根据locallan执行放行动作，后两天规则得到不到执行，因此网络管理员在确定http_access顺序时，须十分谨慎。 　　3）客户端设置 　　内网用户在浏览器中设置代理服务器地址，指定端口，以Firefox为例，设置的路径为Preferences-Advanced-Network-Connection Settings-Manual Proxy Configuration，此后用户的访问将转发给代理服务器，代理服务器也需在防火墙中开放相应的端口（默认3128）来提供代理服务。 　　3 透明代理 　　为了对内网用户对外网的访问进行全面的控制和代理，可以强制用户使用代理服务器，这也就是透明代理。透明代理是在对外的防火墙服务器NAT上安装squid服务器，在squid中开启transparent功能，在防火墙中做配置，将内网中所有目的端口为80的请求重定向到防火墙上squid的监听端口3128，由此用户不需要再浏览器内做任何设置，代理工作由防火墙上的squid服务器自动完成。 　　以内网地址为/24，防火墙双网卡，内网地址54/24，外网地址/24为例，访问对象外网的WEB服务器地址为0/24，防火墙使用Linux自带防火墙iptables，搭建透明代理主要包括以下步骤： 　　2）防火墙的透明代理配置 　　防火墙作为内网和外网之间的安全组件，所有经过防火墙的数据都接受检查，只有符合安全策略的数据，才能放行。Linux自带防火墙iptables是基于内核内建的Netfilter机制，提供一系列配置命令，可提供高效的包过滤处理。作为内外网之间防火墙，防火墙的filter表的INPUT、OUTPUT、FORWARD三链的默认规则均为阻断DROP，需要放行的数据，另行规定，本文将放行透明代理的iptables配置写成可执行脚本，以便批处理和重复利用，脚本语言中以#作为注释符号，具体如下： 　　4 squid和SAG日志管理 　　squid的日志文件目录为/var/log/squid，日志文件包括access.log和cache.log。access.log最为重要，记录HTTP的代理记录，该文件是基于行的，