开源代理服务器Squid的安全访问控制

代理服务器是介于浏览器和Web服务器之间的另一台服务器。有了该服务器之后,浏览器不是直接到Web服务器去取回网页而是向代理服务器发出请求,信息会先送到代理服务器,由代理服务器来取回浏览器所需要的信息并传送给客户的浏览器。

现代企业应用代理服务器,除了提高访问速度外,同时,它在实际的应用过程中又通常被企业作为“安全网关”,可以根据企业设定的代理规则来过滤和屏蔽一些用户的非法请求和信息,从而达到保护企业网的目的。在企业开源系统的代理服务中,可以通过设置安全访问控制规则、配置带认证的代理服务以及反向代理服务来确保企业网络安全,本文将详细对这些防护手段进行介绍。

开源代理服务器Squid简介

Squid可以工作在很多的操作系统中,如AIX、Digital、UNIX、FreeBSD、HP-UX、Irix、Linux、 NetBSD、Nextstep、SCO、Solaris、OS/2等。对于Web用户来说,Squid是一个高性能的代理缓存服务器,和一般的代理缓存软件不同、Squid用一个单独的、非模块化的、I/O驱动的进程来处理所有的客户端请求。Squid由一个主要的服务程序Squid,一个DNS查询程序DNS server,几个重写请求和执行认证的程序,以及几个管理工具组成。当Squid启动以后,它可以派生出预先指定数目的DNS server进程,而每一个DNS server进程都可以执行单独的DNS查询,这样就大大减少了服务器等待DNS查询的时间。

用户可以从Red Hat Enterprise Linux发行套件中获取该软件的RPM包进行安装并使用#/etc/rc.d/init.d/squid start或者使用#service squid start命令进行服务开启。

使用安全访问控制限制企业用户上网行为

使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等等。Squid访问控制有两个要素:ACL元素和访问列表。访问列表可以允许或拒绝某些用户对此服务的访问。下面分别介绍ACL元素以及访问列表的使用方法。

ACL元素

该元素定义的语法如下:

acl aclname acltype string1…

acl aclname acltype “file”…

当使用文件时,该文件的格式为每行包含一个条目。

其中,acltype可以是src、dst、srcdomain、dstdomain、url_regex、urlpath_regex、time、port、proto、method中的一任意一种。

src:指明源地址。可以用以下的方法指定:

acl aclname src ip-address/netmask … 客户ip地址

acl aclname src addr1-addr2/netmask … 地址范围

dst:指明目标地址,即客户请求的服务器的IP地址。语法为:

acl aclname dst ip-address/netmask …

srcdomain:指明客户所属的域,Squid将根据客户IP反向查询DNS.语法为:

acl aclname srcdomain foo.com …

dstdomain:指明请求服务器所属的域,由客户请求的URL决定。语法为:

acl aclname dstdomain foo.com …

time:指明访问时间。语法如下:

acl aclname time [day-abbrevs] [h1:m1-h2:m2][hh:mm-hh:mm]

日期的缩写指代关系如下:

S:指代Sunday

M:指代Monday

T:指代Tuesday

W:指代Wednesday

H:指代Thursday

F:指代Friday

A:指代Saturday

另外,h1:m1必须小于h2:m2,表达式为[hh:mm-hh:mm].

port:指定访问端口。可以指定多个端口,比如:

acl aclname port 80 70 21 …

acl aclname port 0-1024 … 指定一个端口范围

proto:指定使用协议。可以指定多个协议:

acl aclname proto HTTP FTP …

method:指定请求方法。比如:

acl aclname method GET POST …

url_regex:URL规则表达式匹配,语法为:

acl aclname url_regex[-i] pattern

urlpath_regex:URL-path规则表达式匹配,略去协议和主机名。其语法为:

acl aclname urlpath_regex[-i] pattern

在使用上述ACL元素的过程中,要注意如下几点:

acltype可以是任一个在ACL中定义的名称。

任何两个ACL元素不能用相同的名字。

每个ACL由列表值组成。当进行匹配检测的时候,多个值由逻辑或运算连接;换句话说,任一ACL元素的值被匹配,则这个ACL元素即被匹配。

并不是所有的ACL元素都能使用访问列表中的全部类型。

不同的ACL元素写在不同行中,Squid将这些元素组合在一个列表中。

http_access访问控制列表

根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目,则默认为应用最后一条项目的“非”.比如最后一条为允许,则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。

使用该访问控制列表要注意如下问题:

这些规则按照它们的排列顺序进行匹配检测,一旦检测到匹配的规则,匹配检测就立即结束。

访问列表可以由多条规则组成。

如果没有任何规则与访问请求匹配,默认动作将与列表中最后一条规则对应。

一个访问条目中的所有元素将用逻辑与运算连接(如下所示):

http_access Action声明1 AND 声明2 AND

多个http_access声明间用或运算连接,但每个访问条目的元素间用与运算连接。

列表中的规则总是遵循由上而下的顺序。