代理服务器的作用与工作流程.pptx
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问列表可以由多条规则组成;
如果没有任何规则与访问请求匹配,默认动作将与列表 中最后一条规则对应;
一个访问条目中的所有元素将用逻辑与运算连接,如下 所示: http_access Action 声明1 AND 声明2 AND 声明 OR http_access Action 声明3
多个http_access声明间用或运算连接,但每个访问条目的 元素间用与运算连接;
高级控制
acl advance arp 00:01:02:1f:2c:3e acl sina dstdomain ok.sina.com.cn acl qq dstdomain .tencent.com.cn acl conn5 maxconn 5
验证
控制所有登录并检查访问用户的合法性.让合法用户以 合法的权限访问网络资源
外部认证程序 NCSA 2.5版本开始,NCSA认证包含在了basic中, 而非以前单独的认证模块 PAM LDAP SMB SASL
配置验证squid.conf
auth_param basic program /usr/lib/squid/ncsa_auth /var/squid/etc/password 该选项指出了认证方式(basic)、认证程序(ncsa_auth)和 密码文件
个值由逻辑或运算连接,换句话说,任一ACL元素的 值被匹配,则这个ACL元素即被匹配; 并不是所有的ACL元素都能使用访问列表中的全部类 型; 不同的ACL元素写在不同行中,Squid将这些元素组合 在一个列表中。
ARL
http_access 语法
http_access allow/deny [!]aclname
Squid能够缓存任何数据吗?不是的。象缓存信用卡 帐号、可以远方执行的scripts、经常变换的主页等 是不合适的也是不安全的。
工作流程
配置SQUID
安装包 /etc/squid/squid.conf
squid 配置文件
http_port 192.168.0.11:3128 cache_mem 300MB cache_dir ufs /var/spool/squid 1000 16 255 cache_effective_user squid cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log visible_hostname cache_mgr xx@xxx.com
代理服务器
本章目标
代理服务器的作用 代理服务器的工作流程 代理服务器的类型 配置代理服务器
概述
代理服务器可以代表其它计算机传送数据 包或信息.
作用ቤተ መጻሕፍቲ ባይዱ
共享网络,不受公有IP的限制 加快访速度 防止内部主机受到攻击 限制用户访问,完善网络管理
ACL 访问控制列表 ARL 访问权限列表
什么时候使用代理
SQUID
Squid是Linux下一个缓存Internet数据的代理服务器 软件,其接收用户的下载申请,并自动处理所下载的 数据。
Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议, 暂不能代理POP3、NNTP等协议。
Squid可以工作在很多操作系统中,如AIX、Unix、 FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、 SCO、Solaris、OS/2等。
acl advance 192.168.0.2-192.168.0.10/32 acl normal src 192.168.0.11-192.168.0.200/32 acl baduser src 192.168.0.100/32 acl media_url urlpath_regex -i \.mp3$ \.rm$ \.wma$ \.exe$ acl nettime time MTWHF 9:00-12:00 13:30-18:00 acl all src 0.0.0.0/0
ACL
语法:
acl aclname acltype string
acltype
src/dst srcdomain/dstdomain time url_regex urlpath_regex port proto proxy_auth maxconn
ACL规则
acltype可以是任一个在ACL中定义的名称; 任何两个ACL条目不能用相同的名字; 每个ACL由列表值组成,当进行匹配检测的时候,多
方案一
192.168.0.1-10为高级用户,上网没有限制 192.168.0.11-192.168.0.200为普通用户 普通用户要求上班时间9:00-18:00可以上
网,其余时间不能上网,普通用户不能下 载exe mp3 wma rm 等结尾的文件。 普通用户要求通过身份验证,高级不用验 证。
acl normal proxy_auth REQUIRED http_access normal auth_user 普通用户需要通过认证才能访问Internet
建立帐号文件
htpasswd -C /var/lib/squid/ncsa_auth pg 测试验证
squid restart 客户端上配置浏览器 访问任意网站,弹出验证框
auth_param basic children 5 指定认证程序的进程数
auth_param basic realm My Proxy Caching Domain 浏览器显示输入用户/密码对话框时的领域内容
auth_param basic credentialsttl 2 hours 基本的认证有效时间
ARL规则
根据访问控制列表允许或禁止某一类用户 访问。如果某个访问没有相符合的项目, 则默认为应用最后一条项目的“非”。比如最 后一条为允许,则默认就是禁止。通常应 该把最后的条目设为“deny all”或“allow all”来 避免安全性隐患。
ARL规则
这些规则按照它们的排列顺序进行匹配检测,一旦检测 到匹配的规则,匹配检测就立即结束;
表中的规则总是遵循由上而下的顺序。
禁止缓存
acl QUERY urlpath_regex -i cgi-bin \? \.asp \.php \.jsp \.cgi
acl denyssl urlpath_regex -i ^https:\\ cache deny QUERY cache deny denyssl
如果没有任何规则与访问请求匹配,默认动作将与列表 中最后一条规则对应;
一个访问条目中的所有元素将用逻辑与运算连接,如下 所示: http_access Action 声明1 AND 声明2 AND 声明 OR http_access Action 声明3
多个http_access声明间用或运算连接,但每个访问条目的 元素间用与运算连接;
高级控制
acl advance arp 00:01:02:1f:2c:3e acl sina dstdomain ok.sina.com.cn acl qq dstdomain .tencent.com.cn acl conn5 maxconn 5
验证
控制所有登录并检查访问用户的合法性.让合法用户以 合法的权限访问网络资源
外部认证程序 NCSA 2.5版本开始,NCSA认证包含在了basic中, 而非以前单独的认证模块 PAM LDAP SMB SASL
配置验证squid.conf
auth_param basic program /usr/lib/squid/ncsa_auth /var/squid/etc/password 该选项指出了认证方式(basic)、认证程序(ncsa_auth)和 密码文件
个值由逻辑或运算连接,换句话说,任一ACL元素的 值被匹配,则这个ACL元素即被匹配; 并不是所有的ACL元素都能使用访问列表中的全部类 型; 不同的ACL元素写在不同行中,Squid将这些元素组合 在一个列表中。
ARL
http_access 语法
http_access allow/deny [!]aclname
Squid能够缓存任何数据吗?不是的。象缓存信用卡 帐号、可以远方执行的scripts、经常变换的主页等 是不合适的也是不安全的。
工作流程
配置SQUID
安装包 /etc/squid/squid.conf
squid 配置文件
http_port 192.168.0.11:3128 cache_mem 300MB cache_dir ufs /var/spool/squid 1000 16 255 cache_effective_user squid cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log visible_hostname cache_mgr xx@xxx.com
代理服务器
本章目标
代理服务器的作用 代理服务器的工作流程 代理服务器的类型 配置代理服务器
概述
代理服务器可以代表其它计算机传送数据 包或信息.
作用ቤተ መጻሕፍቲ ባይዱ
共享网络,不受公有IP的限制 加快访速度 防止内部主机受到攻击 限制用户访问,完善网络管理
ACL 访问控制列表 ARL 访问权限列表
什么时候使用代理
SQUID
Squid是Linux下一个缓存Internet数据的代理服务器 软件,其接收用户的下载申请,并自动处理所下载的 数据。
Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议, 暂不能代理POP3、NNTP等协议。
Squid可以工作在很多操作系统中,如AIX、Unix、 FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、 SCO、Solaris、OS/2等。
acl advance 192.168.0.2-192.168.0.10/32 acl normal src 192.168.0.11-192.168.0.200/32 acl baduser src 192.168.0.100/32 acl media_url urlpath_regex -i \.mp3$ \.rm$ \.wma$ \.exe$ acl nettime time MTWHF 9:00-12:00 13:30-18:00 acl all src 0.0.0.0/0
ACL
语法:
acl aclname acltype string
acltype
src/dst srcdomain/dstdomain time url_regex urlpath_regex port proto proxy_auth maxconn
ACL规则
acltype可以是任一个在ACL中定义的名称; 任何两个ACL条目不能用相同的名字; 每个ACL由列表值组成,当进行匹配检测的时候,多
方案一
192.168.0.1-10为高级用户,上网没有限制 192.168.0.11-192.168.0.200为普通用户 普通用户要求上班时间9:00-18:00可以上
网,其余时间不能上网,普通用户不能下 载exe mp3 wma rm 等结尾的文件。 普通用户要求通过身份验证,高级不用验 证。
acl normal proxy_auth REQUIRED http_access normal auth_user 普通用户需要通过认证才能访问Internet
建立帐号文件
htpasswd -C /var/lib/squid/ncsa_auth pg 测试验证
squid restart 客户端上配置浏览器 访问任意网站,弹出验证框
auth_param basic children 5 指定认证程序的进程数
auth_param basic realm My Proxy Caching Domain 浏览器显示输入用户/密码对话框时的领域内容
auth_param basic credentialsttl 2 hours 基本的认证有效时间
ARL规则
根据访问控制列表允许或禁止某一类用户 访问。如果某个访问没有相符合的项目, 则默认为应用最后一条项目的“非”。比如最 后一条为允许,则默认就是禁止。通常应 该把最后的条目设为“deny all”或“allow all”来 避免安全性隐患。
ARL规则
这些规则按照它们的排列顺序进行匹配检测,一旦检测 到匹配的规则,匹配检测就立即结束;
表中的规则总是遵循由上而下的顺序。
禁止缓存
acl QUERY urlpath_regex -i cgi-bin \? \.asp \.php \.jsp \.cgi
acl denyssl urlpath_regex -i ^https:\\ cache deny QUERY cache deny denyssl