單擊此處編輯母版標(biāo)題樣式,*,單擊此處編輯母版文本樣式,第二級,第三級,第四級,第五級,代理服務(wù)器,本章目標(biāo),代理服務(wù)器的作用,代理服務(wù)器的工作流程,代理服務(wù)器的類型,配置代理服務(wù)器,概述,代理服務(wù)器可以代表其它計算機傳送數(shù)據(jù)包或信息,.,作用,共享網(wǎng)絡(luò),不受公有,IP,的限制,加快訪速度,防止內(nèi)部主機受到攻擊,限制用戶訪問,完善網(wǎng)絡(luò)管理,ACL,訪問控制列表,ARL,訪問權(quán)限列表,什么時候使用代理,SQUID,Squid,是,Linux,下一個緩存,Internet,數(shù)據(jù)的代理服務(wù)器軟件，其接收用戶的下載申請，并自動處理所下載的數(shù)據(jù)Squid,可以代理,HTTP,、,FTP,、,GOPHER,、,SSL,和,WAIS,協(xié)議，暫不能代理,POP3,、,NNTP,等協(xié)議Squid,可以工作在很多操作系統(tǒng)中，如,AIX,、,Unix,、,FreeBSD,、,HP-UX,、,Irix,、,Linux,、,NetBSD,、,Nextstep,、,SCO,、,Solaris,、,O,S/2,等Squid,能夠緩存任何數(shù)據(jù)嗎？不是的象緩存信用卡帳號、可以遠(yuǎn)方執(zhí)行的,scripts,、經(jīng)常變換的主頁等是不合適的也是不安全的。

工作流程,配置,SQUID,安裝包,/etc/squid/squid.conf,squid,配置文件,http_port 192.168.0.11:3128,cache_mem 300MB,cache_dir ufs/var/spool/squid 1000 16 255,cache_effective_user squid,cache_access_log /var/log/squid/access.log,cache_log/var/log/squid/cache.log,visible_hostname,cache_mgr ,ACL,語法,:,acl aclname acltype string,acltype,src/dst srcdomain/dstdomain,time url_regex urlpath_regex,portproto,proxy_authmaxconn,ACL,規(guī)則,acltype,可以是任一個在,ACL,中定義的名稱；,任何兩個,ACL,條目不能用相同的名字；,每個,ACL,由列表值組成，當(dāng)進行匹配檢測的時候，多個值由邏輯或運算連接，換句話說，任一,ACL,元素的值被匹配，則這個,ACL,元素即被匹配；,并不是所有的,ACL,元素都能使用訪問列表中的全部類型；,不同的,ACL,元素寫在不同行中，,Squid,將這些元素組合在一個列表中。

ARL,http_access,語法,http_access allow/deny !aclname,ARL,規(guī)則,根據(jù)訪問控制列表允許或禁止某一類用戶訪問如果某個訪問沒有相符合的項目，則默認(rèn)為應(yīng)用最后一條項目的“非”比如最后一條為允許，則默認(rèn)就是禁止通常應(yīng)該把最后的條目設(shè)為“,deny all”,或“,allow all”,來避免安全性隱患ARL,規(guī)則,這些規(guī)則按照它們的排列順序進行匹配檢測，一旦檢測到匹配的規(guī)則，匹配檢測就立即結(jié)束；,訪問列表可以由多條規(guī)則組成；,如果沒有任何規(guī)則與訪問請求匹配，默認(rèn)動作將與列表中最后一條規(guī)則對應(yīng)；,一個訪問條目中的所有元素將用邏輯與運算連接，如下所示：,http_access Action,聲明,1 AND,聲明,2 AND,聲明,OR,http_access Action,聲明,3,多個,http_access,聲明間用或運算連接，但每個訪問條目的元素間用與運算連接；,表中的規(guī)則總是遵循由上而下的順序禁止緩存,acl QUERY urlpath_regex-i cgi-bin?.asp.php.jsp.cgi,acl denyssl urlpath_regex-i https:,cache deny QUERY,cache deny denyssl,高級控制,acl advance arp 00:01:02:1f:2c:3e,acl sina dstdomain ,acl qq dstdomain ,acl conn5 maxconn 5,驗證,控制所有登錄并檢查訪問用戶的合法性,.,讓合法用戶以合法的權(quán)限訪問網(wǎng)絡(luò)資源,外部認(rèn)證程序,NCSA 2.5,版本開始，,NCSA,認(rèn)證包含在了,basic,中，而非以前單獨的認(rèn)證模塊,PAM,LDAP,SMB,SASL,配置驗證,squid.conf,auth_param basic program/usr/lib/squid/ncsa_auth/var/squid/etc/password,該選項指出了認(rèn)證方式（,basic),、認(rèn)證程序（,ncsa_auth,）和 密碼文件,auth_param basic children 5,指定認(rèn)證程序的進程數(shù),auth_param basic realm My Proxy Caching Domain,瀏覽器顯示輸入用戶,/,密碼對話框時的領(lǐng)域內(nèi)容,auth_param basic credentialsttl 2 hours,基本的認(rèn)證有效時間,acl normal proxy_auth REQUIRED,http_access normal auth_user,普通用戶需要通過認(rèn)證才能訪問,Internet,建立帳號文件,htpasswd-C/var/lib/squid/ncsa_auth pg,測試驗證,squid restart,客戶端上配置瀏覽器,訪問任意網(wǎng)站,彈出驗證框,方案一,192.168.0.1-10,為高級用戶，上網(wǎng)沒有限制,192.168.0.11-192.168.0.200,為普通用戶,普通用戶要求上班時間,9,：,00-18,：,00,可以上網(wǎng)，其余時間不能上網(wǎng)，普通用戶不能下載,exe mp3 wma rm,等結(jié)尾的文件。

普通用戶要求通過身份驗證，高級不用驗證acl advance 192.168.0.2-192.168.0.10/32,acl normal src 192.168.0.11-192.168.0.200/32,acl baduser src 192.168.0.100/32,acl media_url urlpath_regex-i.mp3$.rm$.wma$.exe$,acl nettime time MTWHF 9:00-12:00 13:30-18:00,acl all src 0.0.0.0/0,http_access deny baduser,http_access deny normal media_url,http_access deny nomal !netime,http_access allow advance,http_access allow normal,http_access allow all,透明代理,squid,主配文件：,/etc/squid/squid.conf,http_port 3128 transparent/,啟用透明模式,啟用,ipforward,vim/etc/sysctl.conf,配置防火墻,iptables -t nat -A PREROUTING-s 192.168.0.0/24-p tcp -dport=80,-j REDIECT -to-ports 3128,service iptables save,客戶端要正確配置,DNS,網(wǎng)關(guān),SQUID,反向代理,Squid,反向代理單個后臺,WEB,服務(wù)器,WEB,服務(wù)器和反向代理服務(wù)器是兩臺單獨的機器（一般的反向代理應(yīng)該有兩塊網(wǎng)卡分別連接了內(nèi)外部網(wǎng)絡(luò)）,如果,WEB,服務(wù)器和反向代理服務(wù)器是同一臺機器,Squid,反向代理多個后臺,WEB,服務(wù)器,一臺,WEB&,一臺代理,配置代理監(jiān)聽,80,httpd_port 80 vport vhost,配置,WEB,監(jiān)聽,httpd_accel_host ip WEB,的,IP,httpd_accel_port 80,加速服務(wù)的端口，如果后臺,apache,為,80,端口，這里就為,80,端口,cache_peer webip parent 80 0 no-query originserver,WEB,自緩沖加速,數(shù)據(jù)走向：訪問者,=192.168.1.1:80=127.0.0.1:80http_port 80 vport vhost,httpd_accel_host 127.0.0.1,httpd_accel_port 80,測試,把,http,服務(wù)器給停了，通過,SQUID,緩存可以看到頁面,cache_peer 127.0.0.1 parent 80 0 no-query originserver,一臺代理,&,多,WEB,#cache_peer hostname type http-port icp-port options,cache_peer 192.168.1.2 parent 81 0 originserver weight=1 name=web1,cache_peer 192.168.1.3 parent 82 0 originserver weight=1 name=web2,cache_peer 192.168.1.4 parent 83 0 originserver weight=1 name=web3,-,#cache_peer_domain cache-host domain domain.,cache_peer_domain web1 ,cache_peer_domain web2 ,cache_peer_domain web3 ,-,cache_peer_access web1 allow ok,cache_peer_access web2 allow ok,cache_peer_access web3 allow ok,#cache_peer_access cache-host allow|deny!aclname.,總結(jié),代理原理,代理配置,。