RHL-10Squ服务配置与应用.ppt

1/47 代理服务器 第10章 缓存代理squid nsquid工作机制与基本功能 nsquid组成成分 nsquid安装配置 /51 代理服务器 Y squid工作机制与基本功能 n工作机制 数据缓存 代理进程 远端服务器 客户端 ?N /51 squid工作机制与基本功能（Cont.） n基本功能 u代理服务：HTTP、FTP、GOPHER、SSL 等 u高速缓存 uDNS查询缓存 u级联服务支持 u透明代理 uACL支持 /51 squid组成成分 n代理进程 usquid 代理守护进程 uunlinkd 清理缓存数据 uRunCache squid进程的守护进程 udnsserver 处理客户端域名查询进程 n数据缓存目录 u默认/var/spool/squid /51 squid安装配置 n安装 n配置 n启动 n访问 n其它配置 n透明代理 /51 安装 n源代码包安装 u下载 u编译安装 nRPM包安装 n编译参数 -prefix=/usr/local/squid -disable-internal-dns -enable-storeio=ufs,null -enable-default-err-languages=“Simplify_Chinese“ -enable-linux-netfilter rpm -ivh squid-2.5.STABLE1-2.i386.rpm /51 配置 nhttp_port :3128 ncache_mgr nhttp_access allow all ncache_dir ufs /var/spool/squid 100 16 256 /51 启动 n使用/etc/rc.d/init.d/squid脚本启动代理 服务器 /51 访问 n客户端设置 IE工具Internet 选项连接局域网设置代理服务 器 n直接在地址栏中输入访问地址进行访问 /51 其它配置 n缓存空间 ucache_dir Type Directory-Name Fs-specific- data options n用户访问控制 uacl aclname acltype string1 . uacl aclname acltype “file“ . n进程管理 ucache_effective_user ucache_effective_group /51 允许列表中的机器访问 Internet n允许列表中的机器访问 Internet。 nacl allowed_clients src 0 0 0 nhttp_access allow allowed_clients nhttp_access deny !allowed_clients n这个规则只允许 IP 地址为 0、 0 及 0 的机器访问 Internet，其他 IP 地址的机器则都被拒绝 访问 /51 限制访问时段 nacl allowed_clients src / nacl regular_days time MTWHF 10:00- 16:00 nhttp_access allow allowed_clients regular_days nhttp_access deny !allowed_clients n这个规则允许子网中的所有客 户机在周一到周五的上午10:00到下午4:00 访问 Internet。 /51 屏蔽含有某些特定字词 nacl allowed_clients src / nacl banned_sites url_regex dummy fake nhttp_access deny banned_sites nhttp_access allow allowed_machibes /51 自定错误反馈信息 nacl allowed_clients src / nacl banned_sites url_regex *()(*.com nhttp_access deny banned_sites ndeny_info ERR_BANNED_SITE banned_sites nhttp_access allow allowed_clients /51 透明代理 n透明代理 网关客户端 telnet 客户端 http 客户端 外部服务器 telnet 服务器 WWW 服务器 代理 进程 /51 透明代理（Cont.） n透明代理网络图 /51 本章总结 n网络防火墙是保护用户网络安全的一种必要 手段，它通过在网络数据传输的不同层次对 数据包进行检测处理，对符合网络安全要求 的数据包放行，而对不符合要求的数据包进 行拒绝，很大程度上保证了网络的安全可靠 /51 本章总结（Cont.） n网络防火墙分为网络层防火墙和应用层代 理服务器 u网络层防火墙在TCP/IP网络结构的IP层工作， 能够对通过IP路由传送的网络数据包的包头进 行检测，根据包头中的信息来匹配防火墙规则 ，对连接进行相应处理。处理效率高，不能对 网络数据进行检测. u应用层代理服务器工作在TCP/IP网络协议结构 的应用层，向受保护网络用户提供连接外部网 络的代理服务，保证内外网之间的安全分隔。 可对网络传送的内容进行检测，保证更多的安 全控制方案，但处理效率较低. /51 本章总结（Cont.） n基于Linux平台的网络层防火墙是 netfilter/iptables防火墙框架系统。netfilter 是嵌入在2.4内核的IP协议部分的防火墙框架 ，它在IP处理层设置了5个钩子，分别在网络 数据包进入系统路由前、进入系统路由后、 转发前、本地输出路由前、输出路由后进行 检测处理。而iptables则是防火墙规则设置工 具，它向netfilter提供网络数据包检测处理的 规则，以完成管理员对防火墙的防护要求 /51 本章总结（Cont.） niptables包括3个表和5条内建的规则链， 对应于netfilter的五个检测点，用户也可以 新建自己的规则链，被内建规则链作为目 标调用。iptables通过这些规则链完成了 包安全过滤、网络地址转换、安全策略设 置及其它功能 nsquid是一个应用层代理服务器，能够为用 户提供HTTP、FTP、GOPHER、WAIS、 SSL的代理和缓存服务。并且能和iptables 配合建立透明代理服务器。squid服务器的 主要配置文件为/etc/squid/squid.conf /51 实验目标 n学会iptables的安装配置 n利用iptables设置防火墙规则 n安装配置squid服务器 n利用squid服务器实现正反向的代理 缓存服务 /51 实验拓扑结构 /51 实验完成标准1 n 执行新安装的iptables