第4章 构建squid代理服务器课件.pptVIP

* 讲述当squid.conf文件中存在多条访问控制策略时的匹配顺序 若没有做过调整，默认的squid.conf文件中将会拒绝其他客户机使用代理服务，即存在“http_access deny all” * 由于在之前概述部分已经讲解过透明代理服务的含义，这里可以直接从配置开始讲 2个前提条件实际上对应了透明代理的典型应用环境，即作为局域网接入Internet互联网的网关，因客户机的Web访问数据必须通过网关，所以在网关主机中才有机会对这些数据进行处理 * 这里仍使用之前配置普通代理服务时网络环境 * 以之前配置的普通代理服务为基础，讲解并演示透明代理的实现和验证过程，着重在于如何添加透明代理支持、设置防火墙规则 客户机浏览器若已经设置了代理服务器地址，则需要先取消 在客户机浏览器中取消使用代理后，重新访问外部测试网站，并观察日志变化进行验证（参考前面的普通代理验证步骤） —— 透明代理只是省略了大量客户机的浏览器设置工作，而Web访问的效果上是相同的 * 简单复述反向代理的概念及作用 传统代理也好、透明代理也好，大多是为局域网用户访问Internet中的Web站点提供缓存代理；而反向代理恰恰相反，主要为Internet中的用户访问企业局域网内的Web站点提供缓存加速，是一个反方向的代理过程 下面将通过操作演示讲解反向代理服务器的配置过程，首先熟悉一下本次案例的拓扑环境 仍然可以在原来的基础上布置演示环境，网站服务器群只需要提供2台虚拟主机进行测试即可（或者用1个httpd服务器开2个基于IP的虚拟主机） * —— 实现该案例还有一个前提条件：如果各Web服务器处于局域网内，则要能够访问Internet 需要指出的是，透明代理与反向代理不能同时应用，监听端口改为80是为了对应于标准web端口，便于用户使用 cache_peer配置项可以用于指定真正的Web服务器的位置 其中，服务器类型对应到目标主机的缓存级别，上游Web主机一般使用“parent”（父服务器）；icp端口用于连接相邻的ICP（Internet Cache Protocol）缓存服务器（通常为另一台Squid主机），如果没有，则使用0；可选项是提供缓存时的一些附件参数，例如“originserver”表示该服务器作为提供Web服务的原始主机，“weight=n”指定服务器的优先权重，n为整数，数字越大优先级越高（缺省为1）；“max-conn=n”指定反向代理主机到该web服务器的最大连接数。 * 讲述如何验证反向代理的实施效果，如果时间充裕，建议切换到虚拟机环境进行反向代理的配置、验证过程的操作演示 如果客户机能够通过域名访问到 1 ，验证时也可以采用域名访问的方式 为了便于看到效果，可以为不同的上游Web服务器提供不同的网页内容，客户机访问成功后，尝试关闭优先级最高的那台Web服务器（前例中第1台），然后强制刷新（Ctrl+F5键）浏览器页面，观察内容的变化 * 如果时间宽裕，这里可以简单讲一下基于反向代理的虚拟主机的实现 —— 学生用书的作业题5中需要用到这部分知识 此页幻灯片已设为隐藏，如果要在课堂中讲解，需要去除“隐藏”设置 * 总结本次课程的主要内容，明确学员还存在哪些疑问需要解答 参考问题： 1. 在squid.conf配置文件中，使用什么配置项指定Squid服务器监听的IP地址、端口？ 2. 为squid服务新增访问控制策略时包括哪些步骤？ 3. 配置透明代理服务器时，应该如何添加相应的防火墙规则？ 4. 反向代理的原理和主要用途是什么？ 5. …… * 从本页开始（到最后）的PPT部分放在实验课上进行讲解，不要放在理论课上讲解 * 阶段一的指导子阶段 1、教师介绍案例需求 ——公司选用RHEL5服务器作为网关，为了有效节省网络带宽、提高局域网访问Internet的速度，需要在网关服务器上搭建代理服务，并结合防火墙策略实现透明代理，以减少客户端的重复设置工作（如下页图所示） 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段一的指导子阶段（续） 3、教师介绍实现思路 * 阶段一的练习子阶段 1、本阶段中教员要负责巡视、答疑，对共性问题要及时集中讲解 2、随时检查学员完成情况，跟踪学员实验进度 * 阶段二的指导子阶段 1、教师介绍案例需求 ——公司的对外网站平台使用2台RHEL5服务器实现镜像负载，为了进一步提高Web服务的响应速度，需要在网关服务器上搭建反向代理服务（如下页图所示） 2、在介绍完案例需求后，教师也可以向学员提问如何解决该问题 * 阶段二的指导子阶段（续） 3、教师介绍实现思路 * 阶段二的练习子阶段 1、本阶段中教员要负责巡视、答疑，对共性问题要及时集中讲解 2、随时检查学员完成情况，跟踪学员