代理服务器型防火墙的工作过程.pptVIP

课题引入——项目背景 请为某公司配置一台Squid代理服务器（内网IP地址为），该代理服务器配置为奔腾1.6G/512M/80G，公司所用IP地址段为/24，并且想用8080作为代理端口。 课题引入——项目分析 完成本项目需要解决的问题： 1、什么是代理服务器,其工作原理是什么 2、squid代理服务器的安装、启动与运行方法 3、squid服务器的配置方法 4、透明代理的配置方法 课题引入——教学目标 学习本课需要实现的教学目标： 掌握代理服务器的工作原理 掌握代理服务器的启动与停止方法 掌握代理服务器配置文件的修改方法 掌握代理服务器的配置方法 掌握透明代理的配置方法 课题引入——应达到的职业能力 学生学习本课后应该具有的职业能力： 使用iptalbes进行防火墙配置能力 进行squid代理服务器的配置能力 进行透明代理服务器的配置能力 能够为企业设计防火墙的配置方案 具有较好的团队合作能力 项目问题一 SQUID代理服务器 代理服务是指由一台拥有公有IP地址的机器代替若干没有公有IP地址的机器和Internet上的其它主机打交道，提供代理服务的这台机器称为代理服务器。拥有私有IP地址的机器想连接到Internet上时，先把这个请求发给拥有公有IP地址的代理服务器，由代理服务器把这个请求通过它的公有IP地址发到请求的目的地址。然后目标地址的服务器把返回的结果发回给代理服务器，代理服务器再原封不动的把资料发给内部主机。 Squid是一个高性能的代理缓存服务器，可以加快内网浏览Internet的速度，提高客户机访问命中率。Squid不仅支持HTTP协议，还支持FTP、gopher、SSL和WAIS等协议。Squid由一个主要的服务程序Squid，一个DNS查询程序dnsserver，几个重写请求和执行认证的程序，以及几个管理工具组成。Squid使用访问控制清单（ACL）和访问权限清单（ARL）阻止特定的网络连接来减少潜在的Internet非法连接。 代理服务器型防火墙工作原理 代理服务器型防火墙是应用层防火墙，它能提供部分与传输有关的状态，能提供与应用相关的状态和部分传输的信息，工作原理如右图所示。 代理服务器型防火墙工作原理 代理服务器型防火墙的工作过程： （1）主机A向代理服务器发送一个访问因特网的请求。 （2）代理服务器将检测ACL（访问列表）中的设置。 （3）如果主机A所需要的信息已经存在，代理服务器将直接将其发送给主机A。否则，服务器将代替主机A访问因特网。 （4）因特网将主机A所需要的信息发送给代理服务器，这些信息将被保存在缓存中。 （5）代理服务器将这些信息发送给主机A。 （6）主机B向代理服务器发送一个访问同样信息的请求。 （7）代理服务器将检测ACL（访问列表）中的设置。 （8）服务器直接将已保存的信息发送给主机B。 项目问题二 SQUID服务的安装、启动与停止 SQUID服务的安装： Squid服务的软件包在RHEL4的第2张安装盘上。软件包的名字为“squid-2.5.STABLE6-3.i386.rpm”。插入安装盘，挂载。然后输入下面的命令完成安装。 SQUID服务的安装、启动与停止 SQUID服务的启动： SQUID服务的重新启动： SQUID服务的停止： 项目问题三 SQUID服务器的配置 SQUID服务的主配置文件是/etc/squid/squid.conf，用户可以根据自己的实际情况修改相应的选项。下面给出的是一个配置文件的实例 ，各项的具体含义见课本P265。 SQUID服务器的配置 访问控制列表ACL：ACL是要控制客户的主机和域的列表。用户使用http_access等命令定义控制功能，可以基于源IP地址、域名、甚至时间和日期等来使用acl命令定义系统或者系统组。acl命令的格式如下： acl 列表名称 列表类型 [-i] 列表值 列表名称用于区分Squid的各个访问控制列表，任何两个访问控制列表不能用相同的列表名。 列表类型用于定义可被Squid识别的类别。例如，可以通过IP地址、主机名、域名、日期和时间等。常见选项如下表所示。 ACL类型选项 ACL访问控制列表举例 SQUID服务器配置实例 【例15-17】某公司用Squid作代理服务器（内网IP地址为），该代理服务器配置为奔腾1.6G/512M/80G，公司所用IP地址段为/24，并且想用8080作为代理端口。 SQUID服务器配置实例 项目问题四 透明代理 透明代理：是指客户端根本不需要知道有代理服务器的存在，客户端不需要在浏览器或其他的客户端工作中做任何设置，只需要将默认网关设置为Linux服务器的IP地址即可。利用Squid和NAT功能可以实现透明