解析squid安全策略.docVIP

　　解析squid安全策略 　　代理服务器的功能是代理网络用户取得网络信息，它是网络信息的中转站。随着代理服务器的广泛使用，随之而来的是一系列的安全问题。由于没有对代理服务器的访问控制策略做全面细致地配置，导致用户可以随意地通过代理服务器访问许多色情、反动的非法站点，而这些行为往往又很难追踪，给管理工作带来极大的不便。以下为您介绍Linux下常用的Squid代理服务器的安全策略，期望抛砖引玉，对您的工作有所帮助。 　　控制对客户端访问 　　使用访问控制特性，可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素：ACL元素和访问列表。通过使用这些方法，系统管理员可以严格、清晰地定义代理服务器的访问控制策略。下面介绍一些例子： 　　◆ 允许内部一个网段的私有IP地址进行转发 　　acl me src / 　　http_access alloinistrator /24 　　acl mon_time time MTanage_time time F 13:00-18:00 　　上面的规则允许所有的用户在规定的时间内（周一至周四的8:30到20:30）访问代理服务器，只允许特定的用户（系统管理员，其网段为：/24）在周五下午访问代理服务器，其他的在周五下午一律拒绝访问代理服务器。 　　◆ 站点屏蔽 　　Squid可以屏蔽某些特定站点或含有某些特定字词的站点。用下面的规则实现： 　　acl sexip src /usr/local/squid/etc/sexip 　　acl sexdn dstdomain /usr/local/squid/etc/sexdn 　　acl sexurl url_regex /usr/local/squid/etc/sexurl 　　acl sextag urlpath_regex /usr/local/squid/etc/sextag 　　http_access deny sexdn 　　http_access deny sexip 　　http_access deny sexurl 　　http_access deny sextag 　　上述代码中共有两部分,它们分别表示：sexip记录不法IP地址；sexdn记录不法域sex.abc.；exurl记录不合法；sextag记录不合法字眼情色。在实际应用中，无须把需要屏蔽的所有站点或字词都列在上面，可以先保存在一个文件中。ACL将从该文件中读出所需信息用以屏蔽被禁止的站点。 　　◆ CONNECT的设置 　　目前存在有些用户通过二级代理软件访问一些不健康的站点，可以在Squid中通过CONNECT项来拒绝。首先设置安全端口： 　　acl SSL_ports port 443 563 　　acl Safe_ports port　80 # http 　　acl Safe_ports port 21 # ftp 　　acl Safe_ports port 443 563 # https, snegmt 　　acl Safe_ports port 488　　　　# gss-http 　　acl Safe_ports port 591　　　　# filemaker 　　acl Safe_ports port 777　　　　# multiling http 　　acl CONNECT method CONNECT 　　接着对通过CONNECT的非安全端口予以拒绝，使用如下命令： 　　http_access deny CONNECT !SSL_ports 　　最后对Squid进行重新编辑： 　　#/squid/bin/squid -k reconfigure 　　通过tail/squid/logs/access.log -f |grep CONNECT命令将看到使用CONNECT上网的非安全端口计算机都被拒绝。 　　管理代理服务器端口 　　没人愿意把自己的服务器 12下一页 ....，。作为义务代理服务器；同时，代理服务器很容易被用作对别人进行攻击的跳板。所以，代理服务器软件Squid也不可以随便提供服务，只需要在对应的squid.conf中加上http_port 54:3128，就能实现这一目标。这样由其它接口进入的用户就没办法使用代理服务了。 　　关注Squid日志 　　Linux网络管理员应当尽量记录所有日志，这些日志会记录所有异常访问的线索。最简单的方式便是通过浏览器来观察。squid本身提供一个cgi程序，文件名为cachemgr.cgi，squid安装完后将它复制到Apache服务器下的cgi-bin这个目录下即可使用。 　　mv /usr/lib/squid/cachem