linux代理服务器.ppt

代理服务器 本章目标 代理服务器的作用 代理服务器的工作流程 代理服务器的类型 配置代理服务器 概述 代理服务器可以代表其它计算机传送数据包或信息. 作用 共享网络,不受公有IP的限制 加快访速度 防止内部主机受到攻击 限制用户访问,完善网络管理 ACL 访问控制列表 ARL 访问权限列表 什么时候使用代理 SQUID Squid是Linux下一个缓存Internet数据的代理服务器软件，其接收用户的下载申请，并自动处理所下载的数据。 Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议，暂不能代理POP3、NNTP等协议。 Squid可以工作在很多操作系统中，如AIX、Unix、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。 Squid能够缓存任何数据吗？不是的。象缓存信用卡帐号、可以远方执行的scripts、经常变换的主页等是不合适的也是不安全的。 工作流程 配置SQUID 安装包 /etc/squid/squid.conf squid 配置文件 http_port 1:3128 cache_mem 300MB cache_dir ufs /var/spool/squid 1000 16 255 cache_effective_user squid cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log visible_hostname cache_mgr xx@ ACL 语法: acl aclname acltype string acltype src/dst srcdomain/dstdomain time url_regex urlpath_regex port proto proxy_auth maxconn ACL规则 acltype可以是任一个在ACL中定义的名称； 任何两个ACL条目不能用相同的名字； 每个ACL由列表值组成，当进行匹配检测的时候，多个值由逻辑或运算连接，换句话说，任一ACL元素的值被匹配，则这个ACL元素即被匹配； 并不是所有的ACL元素都能使用访问列表中的全部类型； 不同的ACL元素写在不同行中，Squid将这些元素组合在一个列表中。 ARL http_access 语法 http_access allow/deny [!]aclname ARL规则 根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目，则默认为应用最后一条项目的“非”。比如最后一条为允许，则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。 ARL规则 这些规则按照它们的排列顺序进行匹配检测，一旦检测到匹配的规则，匹配检测就立即结束； 访问列表可以由多条规则组成； 如果没有任何规则与访问请求匹配，默认动作将与列表中最后一条规则对应； 一个访问条目中的所有元素将用逻辑与运算连接，如下所示：　　　　http_access Action 声明1 AND 声明2 AND 声明 OR　　http_access Action 声明3 多个http_access声明间用或运算连接，但每个访问条目的元素间用与运算连接； 表中的规则总是遵循由上而下的顺序。 禁止缓存 acl QUERY urlpath_regex -i cgi-bin \? \.asp \.php \.jsp \.cgi acl denyssl urlpath_regex -i ^https:\\ cache deny QUERY cache deny denyssl  高级控制 acl advance arp 00:01:02:1f:2c:3e acl sina dstdomain acl qq dstdomain . acl conn5 maxconn 5 验证 控制所有登录并检查访问用户的合法性.让合法用户以合法的权限访问网络资源 外部认证程序 NCSA 2.5版本开始，NCSA认证包含在了basic中，而非以前单独的认证模块 PAM LDAP SMB SASL 配置验证squid.conf auth_param basic program /usr/lib/squid/ncsa_auth /var/squid/etc/password 该选项指出了认证方式（basic)、认证程序（ncsa_auth）和 密码文件 auth_param basic children 5