代理服務(wù)器的作用與工作流程

代理服務(wù)器的作用與工作流程代理服務(wù)器本章目標代理服務(wù)器的作用代理服務(wù)器的工作流程代理服務(wù)器的類型配置代理服務(wù)器概述代理服務(wù)器可以代表其它計算機傳送數(shù)據(jù)包或信息.作用共享網(wǎng)絡(luò),不受公有IP的限制加快訪速度防止內(nèi)部主機受到攻擊限制用戶訪問,完善網(wǎng)絡(luò)管理 ACL訪問控制列表ARL訪問權(quán)限列表什么時候使用代理SQUIDSquid是Linux下一個緩存Internet數(shù)據(jù)的代理服務(wù)器軟件，其接收用戶的下載申請，并自動處理所下載的數(shù)據(jù)。Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS協(xié)議，暫不能代理POP3、NNTP等協(xié)議。Squid可以工作在很多操作系統(tǒng)中，如AIX、Unix、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。

Squid能夠緩存任何數(shù)據(jù)嗎？不是的。象緩存信用卡帳號、可以遠方執(zhí)行的scripts、經(jīng)常變換的主頁等是不合適的也是不安全的。工作流程配置SQUID安裝包/etc/squid/squid.confsquid配置文件_port1:3128cache_mem300MBcache_dirufs/var/spool/squid100016255cache_effective_usersquidcache_access_log/var/log/squid/access.logcache_log/var/log/squid/cache.logvisible_hostnameACL語法:acl aclnameacltypestringacltypesrc/dst srcdomain/dstdomaintimeurl_regexurlpath_regexport protoproxy_auth maxconnACL規(guī)則acltype可以是任一個在ACL中定義的名稱；任何兩個ACL條目不能用相同的名字；每個ACL由列表值組成，當(dāng)進行匹配檢測的時候，多個值由邏輯或運算連接，換句話說，任一ACL元素的值被匹配，則這個ACL元素即被匹配；并不是所有的ACL元素都能使用訪問列表中的全部類型；不同的ACL元素寫在不同行中，Squid將這些元素組合在一個列表中。

ARL_access語法_accessallow/deny[!]aclnameARL規(guī)則根據(jù)訪問控制列表允許或禁止某一類用戶訪問。如果某個訪問沒有相符合的項目，則默認為應(yīng)用最后一條項目的“非”。比如最后一條為允許，則默認就是禁止。通常應(yīng)該把最后的條目設(shè)為“denyall”或“allowall”來避免安全性隱患。ARL規(guī)則這些規(guī)則按照它們的排列順序進行匹配檢測，一旦檢測到匹配的規(guī)則，匹配檢測就立即結(jié)束；訪問列表可以由多條規(guī)則組成；如果沒有任何規(guī)則與訪問請求匹配，默認動作將與列表中最后一條規(guī)則對應(yīng)；一個訪問條目中的所有元素將用邏輯與運算連接，如下所示：

_accessAction聲明1AND聲明2AND聲明OR

_accessAction聲明3多個_access聲明間用或運算連接，但每個訪問條目的元素間用與運算連接；表中的規(guī)則總是遵循由上而下的順序。

禁止緩存aclQUERYurlpath_regex-icgi-bin\?\.asp\.php\.jsp\.cgiacldenysslurlpath_regex-i^s:\\cachedenyQUERYcachedenydenyssl

高級控制acladvancearp00:01:02:1f:2c:3eaclsinadstdomainok.sinaaclconn5maxconn5驗證控制所有登錄并檢查訪問用戶的合法性.讓合法用戶以合法的權(quán)限訪問網(wǎng)絡(luò)資源外部認證程序NCSA2.5版本開始，NCSA認證包含在了basic中，而非以前單獨的認證模塊PAMLDAPSMBSASL配置驗證squid.confauth_parambasicprogram/usr/lib/squid/ncsa_auth/var/squid/etc/password該選項指出了認證方式（basic)、認證程序（ncsa_auth）和密碼文件auth_parambasicchildren5指定認證程序的進程數(shù)auth_parambasicrealmMyProxyCachingDomain瀏覽器顯示輸入用戶/密碼對話框時的領(lǐng)域內(nèi)容auth_parambasiccredentialsttl2hours基本的認證有效時間aclnormalproxy_authREQUIRED_accessnormalauth_user普通用戶需要通過認證才能訪問Internet建立帳號文件htpasswd-C/var/lib/squid/ncsa_authpg測試驗證squidrestart客戶端上配置瀏覽器訪問任意網(wǎng)站,彈出驗證框方案一-10為高級用戶，上網(wǎng)沒有限制1-00為普通用戶普通用戶要求上班時間9：00-18：00可以上網(wǎng)，其余時間不能上網(wǎng)，普通用戶不能下載exemp3wmarm等結(jié)尾的文件。普通用戶要求通過身份驗證，高級不用驗證。

aclmedia_urlurlpath_regex-i\.mp3$\.rm$\.wma$\.exe$aclnettimetimeMTWHF9:00-12:0013:30-18:00_accessdenybaduser_accessdenynormalmedia_url_accessdenynomal!netime_accessallowadvance_accessallownormal_accessallowall透明代理squid主配文件：/etc/squid/squid.conf_port3128transparent//啟用透明模式啟用ipforwardvim/etc/sysctl.conf配置防火墻-jREDIECT--to-ports3128serviceiptablessave客戶端要正確配置DNS,網(wǎng)關(guān)SQUID反向代理

Squid反向代理單個后臺WEB服務(wù)器WEB服務(wù)器和反向代理服務(wù)器是兩臺單獨的機器（一般的反向代理應(yīng)該有兩塊網(wǎng)卡分別連接了內(nèi)外部網(wǎng)絡(luò)）如果WEB服務(wù)器和反向代理服務(wù)器是同一臺機器Squid反向代理多個后臺WEB服務(wù)器一臺WEB&一臺代理配置代理監(jiān)聽80d_port80vportvhost配置WEB監(jiān)聽d_accel_hostipWEB的IPd_accel_port80加速服務(wù)的端口，如果后臺apache為80端口，這里就為80端口cache_peerwebipparent800no-queryoriginserverWEB自緩沖加速數(shù)據(jù)走向：

訪問者=>:80=>:80

_port80vportvhostd_accel_port80測試把服務(wù)器給停了，通過SQUID緩存可以看到頁面cache_peerparent800no-queryoriginserver一臺代理&多WEB#cache_peerhostnametype-porticp-port[options]cache_peerparent810originserverweight=1name=web1cache_peerparent820originserverweight=1name=web2cache_peerparent830originserverweight=1name=web3-----------------------------------#cache_peer_domaincache-hostdomain[dom