Squid代理服務(wù)的配置與應(yīng)用

第三單元Squid代理服務(wù)的配置與應(yīng)用代理服務(wù)器簡(jiǎn)介代理服務(wù)器是目前網(wǎng)絡(luò)中常見的服務(wù)器之一，它可以提供文件緩存和地址過濾等服務(wù)，充分利用有限的出口帶寬，加快內(nèi)部主機(jī)的訪問速度，也可以解決多用戶需要同時(shí)訪問外網(wǎng)但公有IP地址不足的問題。同時(shí)可以作為一個(gè)防火墻，隔離內(nèi)網(wǎng)與外網(wǎng)，并且能提供監(jiān)控網(wǎng)絡(luò)和記錄傳輸信息的功能，加強(qiáng)局域網(wǎng)的安全性等。它的主要作用有以下幾點(diǎn)。共享網(wǎng)絡(luò)加快訪問速度，節(jié)約通信帶寬防止內(nèi)部主機(jī)受到攻擊限制用戶訪問，完善網(wǎng)絡(luò)管理代理服務(wù)器的原理客戶端A向代理服務(wù)器提出訪問Internet的請(qǐng)求。代理服務(wù)器接受到請(qǐng)求后，首先與訪問控制列表中的訪問規(guī)則相對(duì)照，如果滿足規(guī)則，則在緩存中查找是否存在需要的信息。如果緩存中存在客戶端A需要的信息，則將信息傳送給客戶端。如果不存在，代理服務(wù)器就代替客戶端向Internet上的主機(jī)請(qǐng)求指定的信息。Internet上的主機(jī)將代理服務(wù)器的請(qǐng)求信息發(fā)送到代理服務(wù)器中，同時(shí)代理服務(wù)會(huì)將信息存入緩存中。代理服務(wù)器的原理代理服務(wù)器將Internet上主機(jī)的回應(yīng)信息傳送給客戶端A。客戶端B向代理服務(wù)器提出相同的請(qǐng)求。代理服務(wù)器也首先與訪問控制列表中的訪問規(guī)則相對(duì)照。如果滿足規(guī)則，則將緩存中的信息傳送給客戶端B。Squid簡(jiǎn)介Squid是Linux和UNIX平臺(tái)下最為流行的高性能免費(fèi)應(yīng)用層代理服務(wù)器，它具有權(quán)限管理靈活、性能高和效率快等特點(diǎn)。Squid是一個(gè)由眾多在互聯(lián)網(wǎng)上的開發(fā)人員共同努力而完成的一款高性能的代理緩沖服務(wù)器。Squid的另一個(gè)優(yōu)越性在于它使用訪問控制列表（ACL）和訪問權(quán)限列表（ARL）進(jìn)行權(quán)限管理和內(nèi)容過濾，這樣可阻止特定的網(wǎng)絡(luò)連接來減少潛在的Internet非法連接，可以使用這些清單來確保內(nèi)部網(wǎng)的主機(jī)無法訪問有威脅的或限制訪問不適宜的站點(diǎn)。Squid代理服務(wù)的安裝RedHatEnterpriseLinux6安裝程序默認(rèn)沒有安裝Squid服務(wù)，可以使用下面的命令。yuminstall“squid*”rpm-ivhsquid-xxxx.rpm配置文件:/etc/squid/squid.conf啟動(dòng)腳本：squid代理Web服務(wù)的默認(rèn)端口為：3128Squid代理服務(wù)的基本配置下面列舉了此服務(wù)器的部分配置參數(shù)及描述. http_port3128//設(shè)置監(jiān)聽的IP與端口號(hào) cache_mem64MB//設(shè)置內(nèi)存緩沖的大小 cache_dirufs/var/spool/squid200016256//設(shè)置硬盤緩沖大小 cache_effective_usersquid//設(shè)置緩存的有效用戶 cache_effective_groupsquid//設(shè)置緩存的有效用戶組 dns_nameservers54//設(shè)置DNS服務(wù)器地址 cache_access_log/var/log/squid/access.log//設(shè)置訪問日志文件 cache_log/var/log/squid/cache.log//設(shè)置緩存日志文件 cache_store_log/var/log/squid/store.log//設(shè)置網(wǎng)頁緩存日志文件 visible_hostname//設(shè)置squid主機(jī)名稱 cache_mgrlonny@//設(shè)置管理員的E-mail地址 //以下兩條參數(shù)為訪問控制列表（ACL） aclclientsrc/24

//定義訪問控制列表 http_accessdenyclient//設(shè)置訪問控制Acl訪問控制列表語法：acl列表名稱列表類型[-i]列表值列表名稱：用于區(qū)分Squid的各個(gè)訪問控制列表，任何兩個(gè)訪問控制列表不能用相同的列表名。雖然列表名稱可以隨便定義，但為了避免以后不知道這條列表是干什么用的，應(yīng)盡量使用有意義的名稱，如badurl、clientip和worktime等。列表類型：是可被Squid識(shí)別的類別。Squid支持的控制類別很多，可以通過IP地址、主機(jī)名、MAC地址和用戶/密碼認(rèn)證等識(shí)別用戶，也可以通過域名、域后綴、文件類型、IP地址、端口和URL匹配等控制用戶的訪問，還可以使用時(shí)間區(qū)間對(duì)用戶進(jìn)行管理-i選項(xiàng)：表示忽略列表值的大小寫，否則Squid是區(qū)分大小寫的。列表值：針對(duì)不同的類型，列表值的內(nèi)容是不同的。例如，對(duì)于類型為src或dst，列表值的內(nèi)容是某臺(tái)主機(jī)的IP地址或子網(wǎng)地址；對(duì)于類型為time，列表值的內(nèi)容是時(shí)間；對(duì)于類型為srcdomain和dstdomain，列表值的內(nèi)容是DNS域名。常用的列表類型命令說明src源IP或網(wǎng)段地址（客戶機(jī)IP地址）dst目標(biāo)IP或網(wǎng)段地址（服務(wù)器IP地址）srcdomain源域名或域（客戶機(jī)所屬的域）dstdomain目標(biāo)域名或域（服務(wù)器所屬的域）time一天中的時(shí)刻和一周內(nèi)的一天url_regexURL規(guī)則表達(dá)式匹配urlpath_regex略去協(xié)議和主機(jī)名的URL規(guī)則表達(dá)式匹配proxy_auth通過外部程序進(jìn)行用戶認(rèn)證maxconn單一IP的最大連接數(shù)time時(shí)間段，語法為：[星期][時(shí)間段]。[星期]：可以使用這些關(guān)鍵字M（Monday星期一）、T（Tuesday星期二）、W（Wednesday星期三）、H（Thursday星期四）、F（Friday星期五）、A（Saturday星期六）和S（Sunday星期天）[時(shí)間段]：可以表示為10:00-20:00代理Web服務(wù)的訪問控制Squid會(huì)針對(duì)客戶HTTP請(qǐng)求檢查http_access規(guī)則，定義訪問控制列表后，就使用http_access選項(xiàng)根據(jù)訪問控制列表允許或禁止訪問了。該選項(xiàng)的基本格式為：[allow|deny]：定義允許（allow）或禁止（deny）訪問控制列表定義的內(nèi)容。訪問控制列表名稱：需要http_access控制的ACL名稱。例：http_accessallowhost練習(xí)題禁止IP地址為0的客戶機(jī)上網(wǎng)。禁止域中的用戶上網(wǎng)。禁止這個(gè)子網(wǎng)里所有的客戶機(jī)上網(wǎng)。禁止用戶訪問IP地址為54的網(wǎng)站。禁止用戶訪問域名為的網(wǎng)站。禁