代理服務(wù)器是介于瀏覽器和Web服務(wù)器之間的另一臺服務(wù)器�����。有了該服務(wù)器之后����,瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請求,信息會先送到代理服務(wù)器�����,由代理服務(wù)器來取回瀏覽器所需要的信息并傳送給客戶的瀏覽器�。
現(xiàn)代企業(yè)應(yīng)用代理服務(wù)器,除了提高訪問速度外���,同時�����,它在實際的應(yīng)用過程中又通常被企業(yè)作為“安全網(wǎng)關(guān)”,可以根據(jù)企業(yè)設(shè)定的代理規(guī)則來過濾和屏蔽一些用戶的非法請求和信息�����,從而達到保護企業(yè)網(wǎng)的目的���。在企業(yè)開源系統(tǒng)的代理服務(wù)中��,可以通過設(shè)置安全訪問控制規(guī)則����、配置帶認(rèn)證的代理服務(wù)以及反向代理服務(wù)來確保企業(yè)網(wǎng)絡(luò)安全����,本文將詳細對這些防護手段進行介紹。
開源代理服務(wù)器Squid簡介
Squid可以工作在很多的操作系統(tǒng)中����,如AIX、Digital���、UNIX�����、FreeBSD、HP-UX���、Irix�、Linux、 NetBSD��、Nextstep���、SCO����、Solaris�、OS/2等。對于Web用戶來說���,Squid是一個高性能的代理緩存服務(wù)器�,和一般的代理緩存軟件不同��、Squid用一個單獨的��、非模塊化的��、I/O驅(qū)動的進程來處理所有的客戶端請求����。Squid由一個主要的服務(wù)程序Squid,一個DNS查詢程序DNS server,幾個重寫請求和執(zhí)行認(rèn)證的程序,以及幾個管理工具組成��。當(dāng)Squid啟動以后,它可以派生出預(yù)先指定數(shù)目的DNS server進程���,而每一個DNS server進程都可以執(zhí)行單獨的DNS查詢�,這樣就大大減少了服務(wù)器等待DNS查詢的時間����。
用戶可以從Red Hat Enterprise Linux發(fā)行套件中獲取該軟件的RPM包進行安裝并使用#/etc/rc.d/init.d/squid start或者使用#service squid start命令進行服務(wù)開啟。
使用安全訪問控制限制企業(yè)用戶上網(wǎng)行為
使用訪問控制特性����,可以控制在訪問時根據(jù)特定的時間間隔進行緩存、訪問特定站點或一組站點等等�����。Squid訪問控制有兩個要素:ACL元素和訪問列表����。訪問列表可以允許或拒絕某些用戶對此服務(wù)的訪問。下面分別介紹ACL元素以及訪問列表的使用方法��。
ACL元素
該元素定義的語法如下:
acl aclname acltype string1…
acl aclname acltype “file”…
當(dāng)使用文件時��,該文件的格式為每行包含一個條目�����。
其中��,acltype可以是src�、dst、srcdomain���、dstdomain����、url_regex�����、urlpath_regex�、time、port�、proto、method中的一任意一種�。
src:指明源地址����?梢杂靡韵碌姆椒ㄖ付ǎ
acl aclname src ip-address/netmask … 客戶ip地址
acl aclname src addr1-addr2/netmask … 地址范圍
dst:指明目標(biāo)地址���,即客戶請求的服務(wù)器的IP地址。語法為:
acl aclname dst ip-address/netmask …
srcdomain:指明客戶所屬的域��,Squid將根據(jù)客戶IP反向查詢DNS.語法為:
acl aclname srcdomain foo.com …
dstdomain:指明請求服務(wù)器所屬的域�,由客戶請求的URL決定。語法為:
acl aclname dstdomain foo.com …
time:指明訪問時間���。語法如下:
acl aclname time [day-abbrevs] [h1:m1-h2:m2][hh:mm-hh:mm]
日期的縮寫指代關(guān)系如下:
S:指代Sunday
M:指代Monday
T:指代Tuesday
W:指代Wednesday
H:指代Thursday
F:指代Friday
A:指代Saturday
另外��,h1:m1必須小于h2:m2,表達式為[hh:mm-hh:mm].
port:指定訪問端口���。可以指定多個端口����,比如:
acl aclname port 80 70 21 …
acl aclname port 0-1024 … 指定一個端口范圍
proto:指定使用協(xié)議�����?梢灾付ǘ鄠協(xié)議:
acl aclname proto HTTP FTP …
method:指定請求方法���。比如:
acl aclname method GET POST …
url_regex:URL規(guī)則表達式匹配��,語法為:
acl aclname url_regex[-i] pattern
urlpath_regex:URL-path規(guī)則表達式匹配�,略去協(xié)議和主機名。其語法為:
acl aclname urlpath_regex[-i] pattern
在使用上述ACL元素的過程中�,要注意如下幾點:
acltype可以是任一個在ACL中定義的名稱����。
任何兩個ACL元素不能用相同的名字。
每個ACL由列表值組成���。當(dāng)進行匹配檢測的時候���,多個值由邏輯或運算連接;換句話說,任一ACL元素的值被匹配�,則這個ACL元素即被匹配。
并不是所有的ACL元素都能使用訪問列表中的全部類型��。
不同的ACL元素寫在不同行中�,Squid將這些元素組合在一個列表中。
http_access訪問控制列表
根據(jù)訪問控制列表允許或禁止某一類用戶訪問��。如果某個訪問沒有相符合的項目�����,則默認(rèn)為應(yīng)用最后一條項目的“非”.比如最后一條為允許,則默認(rèn)就是禁止�����。通常應(yīng)該把最后的條目設(shè)為“deny all”或“allow all”來避免安全性隱患�����。
使用該訪問控制列表要注意如下問題:
這些規(guī)則按照它們的排列順序進行匹配檢測��,一旦檢測到匹配的規(guī)則��,匹配檢測就立即結(jié)束���。
訪問列表可以由多條規(guī)則組成�。
如果沒有任何規(guī)則與訪問請求匹配��,默認(rèn)動作將與列表中最后一條規(guī)則對應(yīng)����。
一個訪問條目中的所有元素將用邏輯與運算連接(如下所示):
http_access Action聲明1 AND 聲明2 AND
多個http_access聲明間用或運算連接,但每個訪問條目的元素間用與運算連接��。
列表中的規(guī)則總是遵循由上而下的順序。
