代理服務器是介于瀏覽器和Web服務器之間的另一臺服務器。有了該服務器之后，瀏覽器不是直接到Web服務器去取回網頁而是向代理服務器發(fā)出請求，信息會先送到代理服務器，由代理服務器來取回瀏覽器所需要的信息并傳送給客戶的瀏覽器。

現代企業(yè)應用代理服務器，除了提高訪問速度外，同時，它在實際的應用過程中又通常被企業(yè)作為“安全網關”，可以根據企業(yè)設定的代理規(guī)則來過濾和屏蔽一些用戶的非法請求和信息，從而達到保護企業(yè)網的目的。在企業(yè)開源系統(tǒng)的代理服務中，可以通過設置安全訪問控制規(guī)則、配置帶認證的代理服務以及反向代理服務來確保企業(yè)網絡安全，本文將詳細對這些防護手段進行介紹。

開源代理服務器Squid簡介

Squid可以工作在很多的操作系統(tǒng)中，如AIX、Digital、UNIX、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。對于Web用戶來說，Squid是一個高性能的代理緩存服務器，和一般的代理緩存軟件不同、Squid用一個單獨的、非模塊化的、I/O驅動的進程來處理所有的客戶端請求。Squid由一個主要的服務程序Squid，一個DNS查詢程序DNS server，幾個重寫請求和執(zhí)行認證的程序，以及幾個管理工具組成。當Squid啟動以后，它可以派生出預先指定數目的DNS server進程，而每一個DNS server進程都可以執(zhí)行單獨的DNS查詢，這樣就大大減少了服務器等待DNS查詢的時間。

用戶可以從Red Hat Enterprise Linux發(fā)行套件中獲取該軟件的RPM包進行安裝并使用#/etc/rc.d/init.d/squid start或者使用#service squid start命令進行服務開啟。

使用安全訪問控制限制企業(yè)用戶上網行為

使用訪問控制特性，可以控制在訪問時根據特定的時間間隔進行緩存、訪問特定站點或一組站點等等。Squid訪問控制有兩個要素：ACL元素和訪問列表。訪問列表可以允許或拒絕某些用戶對此服務的訪問。下面分別介紹ACL元素以及訪問列表的使用方法。

ACL元素

該元素定義的語法如下：

acl aclname acltype string1…

acl aclname acltype “file”…

當使用文件時，該文件的格式為每行包含一個條目。

其中，acltype可以是src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method中的一任意一種。

src：指明源地址。可以用以下的方法指定：

acl aclname src ip-address/netmask ... 客戶ip地址

acl aclname src addr1-addr2/netmask ... 地址范圍

dst：指明目標地址，即客戶請求的服務器的IP地址。語法為：

acl aclname dst ip-address/netmask ...

srcdomain：指明客戶所屬的域，Squid將根據客戶IP反向查詢DNS。語法為：

acl aclname srcdomain foo.com ...

dstdomain：指明請求服務器所屬的域，由客戶請求的URL決定。語法為：

acl aclname dstdomain foo.com ...

time：指明訪問時間。語法如下：

acl aclname time [day-abbrevs] [h1:m1-h2:m2][hh:mm-hh:mm]

日期的縮寫指代關系如下：

S：指代Sunday

M：指代Monday

T：指代Tuesday

W：指代Wednesday

H：指代Thursday

F：指代Friday

A：指代Saturday

另外，h1：m1必須小于h2：m2，表達式為[hh：mm-hh：mm]。

port：指定訪問端口。可以指定多個端口，比如：

acl aclname port 80 70 21 ...

acl aclname port 0-1024 ... 指定一個端口范圍

proto：指定使用協(xié)議?？梢灾付ǘ鄠€協(xié)議：

acl aclname proto HTTP FTP ...

method：指定請求方法。比如：

acl aclname method GET POST ...

url_regex：URL規(guī)則表達式匹配，語法為：

acl aclname url_regex[-i] pattern

urlpath_regex：URL-path規(guī)則表達式匹配，略去協(xié)議和主機名。其語法為：

acl aclname urlpath_regex[-i] pattern

在使用上述ACL元素的過程中，要注意如下幾點：

acltype可以是任一個在ACL中定義的名稱。

任何兩個ACL元素不能用相同的名字。

每個ACL由列表值組成。當進行匹配檢測的時候，多個值由邏輯或運算連接；換句話說，任一ACL元素的值被匹配，則這個ACL元素即被匹配。

并不是所有的ACL元素都能使用訪問列表中的全部類型。

不同的ACL元素寫在不同行中，Squid將這些元素組合在一個列表中。

http_access訪問控制列表

根據訪問控制列表允許或禁止某一類用戶訪問。如果某個訪問沒有相符合的項目，則默認為應用***一條項目的“非”。比如***一條為允許，則默認就是禁止。通常應該把***的條目設為“deny all”或“allow all”來避免安全性隱患。

使用該訪問控制列表要注意如下問題：

這些規(guī)則按照它們的排列順序進行匹配檢測，一旦檢測到匹配的規(guī)則，匹配檢測就立即結束。

訪問列表可以由多條規(guī)則組成。

如果沒有任何規(guī)則與訪問請求匹配，默認動作將與列表中***一條規(guī)則對應。

一個訪問條目中的所有元素將用邏輯與運算連接（如下所示）：

http_access Action聲明1 AND 聲明2 AND

多個http_access聲明間用或運算連接，但每個訪問條目的元素間用與運算連接。

列表中的規(guī)則總是遵循由上而下的順序。