rh124-09-构建Squid代理服务器.ppt

构建Squid代理服务器,本章结构,缓存代理概述,构建Squid代理服务器,Squid基本配置,配置透明代理,主配置文件squid.conf,ACL访问控制,配置反向代理,配置squid实现基本代理功能,2,缓存代理概述,代理服务器的作用通过缓存的方式为用户提供Web访问加速对用户的Web访问进行过滤控制,3,缓存代理概述,普通代理服务即标准的、传统的代理服务需要客户机在浏览器中指定代理服务器的地址、端口透明代理服务适用于企业的网关主机（共享接入Internet）中客户机不需要指定代理服务器地址、端口等信息需要设置防火墙策略将客户机的Web访问数据转交给代理服务程序处理,4,缓存代理概述,反向代理服务为Internet用户访问企业Web站点提供缓存加速,Internet,反向代理服务器,Web服务器N,Web用户1,Web用户2,Web用户N,Web服务器2,Web服务器1,5,Squid基本配置,squid软件包软件包名：squid-2.6.STABLE6-3.el5服务名：squid主程序：/usr/sbin/squid配置目录：/etc/squid/主配置文件：/etc/squid/squid.conf默认监听端口：TCP3128默认访问日志文件：/var/log/squid/access.log,6,主配置文件squid.conf,常用配置项http_port3128cache_mem64MBmaximum_object_size4096KBreply_body_max_size10240000allowallaccess_log/var/log/squid/access.logsquidvisible_dns_cache_dirufs/var/spool/squid10016256,7,配置squid实现基本的代理功能,普通代理服务的典型应用环境,8,配置squid实现基本的代理功能,设置squid服务器端（）修改squid.conf主配置文件,http_port3128visible_reply_body_max_size10240000allowallhttp_accessallowall,初始化squid缓存目录（squid-z）启动squid服务（squid-D）,-z初始化缓存目录结构-D不做DNS解析测试-kreconfigure重新加载配置,9,配置squid实现基本的代理功能,设置客户机（00）的浏览器指定服务器的地址（）、端口（3128）,10,配置squid实现基本的代理功能,验证代理服务器功能当外网测试机（9）中启用Web服务程序后，在局域网客户机（00）的IE浏览器中应能够访问该站点：9网页访问成功后，检查代理服务器的日志文件，应发现客户机的HTTP访问记录,rootlocalhost#tail-1/var/log/squid/access.log1244386040.2086200TCP_MISS/2002828GET9/icons/apache_pb2.gif-DIRECT/9image/gif,11,rootgw1#tail-1/var/log/httpd/access_log1-16/May/2009:12:39:39+0800GET/icons/apache_pb2.gifHTTP/1.020024149Mozilla/4.0(compatible;MSIE6.0;WindowsNT5.2;SV1;.NETCLR1.1.4322;.NETCLR1.0.3705;aff-kingsoft-ciba),配置squid实现基本的代理功能,验证代理服务器功能检查外网测试机的Web访问日志，应发现进行访问的是代理服务器主机（1），而不是客户机,12,配置squid实现基本的代理功能,验证代理服务器功能在浏览器中下载超过10M大小的文件时应被拒绝,13,小结,请思考：squid服务的主配置文件、访问日志文件各是什么？什么配置项用于设置代理服务器的监听端口？什么配置项可用于限制为客户端缓存的最大文件？什么配置项可用于限制客户端下载的最大文件大小？cache_mem、visible_hostname配置的作用是什么?哪些方式可以对squid服务的缓存目录进行初始化？,14,ACL访问控制,ACL（AccessControlList，访问控制列表）可以从客户机的IP地址、请求访问的URL/域名/文件类型、访问时间、并发请求数等各方面进行控制应用访问控制的方式定义acl列表acl列表名称列表类型列表内容针对acl列表进行限制http_accessallow或deny列表名,15,ACL访问控制,最基本的ACL访问控制示例禁止任何客户机使用代理服务,aclallsrc/http_accessdenyall,16,ACL访问控制,常用的acl列表类型srcdstportsrcdomaindstdomaintimemaxconnurl_regexurlpath_regex,17,ACL访问控制,ACL列表定义示例aclLAN1src/24aclPC1src6/32aclBlk_DaclWork_HourstimeMTWHF08:30-17:30aclMax20_Connmaxconn20aclBlk_URLurl_regex-irtsp:/mms:/aclBlk_Wordsurlpath_regex-isexadultaclRealFileurlpath_regex-i.rmvb$.rm$,18,ACL访问控制,根据已经定义的部分ACL列表进行访问控制http_accessdenyLAN1Blk_URLhttp_accessdenyLAN1Blk_Wordshttp_accessdenyPC1RealFilehttp_accessdenyPC1Max20_Connhttp_accessallowLAN1Work_Hours,19,ACL访问控制,访问控制规则的匹配顺序没有设置任何规则时将拒绝所有客户端的访问请求有规则但找不到相匹配的项时将采用与最后一条规则相反的权限，即如果最后一条规则是allow，那么就拒绝客户端的请求，否则允许该请求,20,配置透明代理,实现透明代理的基本条件前提：客户机的Web访问数据要能经过防火墙代理服务构建在网关（防火墙）主机中配置要求：代理服务程序能够支持透明代理设置防火墙规则，将客户机的Web访问数据自动重定向给代理服务程序处理,21,配置透明代理,透明代理服务的典型应用环境,22,配置透明代理,基本实现步骤修改squid.conf配置文件，并重新加载该配置http_port:3128transparent添加iptables规则iptables-tnat-IPREROUTING-ieth1-s/24-ptcp-dport80-jREDIRECT-to-ports3128客户机浏览器不需要在浏览器中指定代理服务器的地址、端口验证透明代理的实施效果,23,配置反向代理,24,配置反向代理,基本实现步骤修改squid.conf文件，并重新加载该配置,cache_peerWeb服务器地址服务器类型http端口icp端口可选项,http_port1:80vhostcache_peer1parent800originserverweight=5max-conn=30cache_peer2parent800originserverweight=5max-conn=30cache_peer3parent800originserverweight=5max-conn=30cache_peer4parent800originserverweight=1max-conn=8,25,配置反向代理,验证反向代理的实施效果在上游Web服务器（14）中开启httpd服务在Internet中的客户机（9）中访问反向代理服务器主机（1），应能够看到实际由上游Web服务器提供的网页内容查看反向代理服务器的访问日志信息,rootlocalhost#tail-1/var/log/squid/access.log1231256531.038359TCP_MISS/2002869GET1/index.php?-FIRST_UP_PARENT/1image/gif,26,本章总结,缓存代理概述,构建Squid代理服务器,Squid基本配置,配置透明代理,主配置文件squid.conf,ACL访问控制,配置反向代理,配置squid实现基本代理功能,27,实验案例1：搭建透明代理网关服务器,需求描述使用iptables设置SNAT策略使/24网段的主机通过NAT方式共享上网配置squid代理服务对HTTP访问进行缓存加速，并结合防火墙策略实现透明代理在代理服务中进行访问控制禁止局域网用户下载rmvb、mp3格式的文件对超过3M大小的文件不做缓存，禁止下载超过8M的文件禁止用户访问、等域的网站启用网址过滤，禁止访问包含“sex”字样的链接,28,实验案例1：搭建透明代理网关服务器,29,实验案例1：搭建透明代理网关服务器,实现思路准备好客户机及Internet测试服务器正确配置各主机的网络参数局域网主机将默认网关设为在测试服务器上启动httpd服务修改squid.conf文件，配置透明代理支持、缓存和下载文件大小限制、网址过滤开启路由转发，添加实现透明代理的REDIRECT策略初始化并启动squid服务验证实验结果,30,实验案例2：搭建反向代理服务器,需求描述公司的对外域名解析为反向代理服务器的IP地址：当从I