解析squid安全性原則

　　Proxy 伺服器的功能是代理網路使用者取得網路資訊，它是網路資訊的中轉站。隨著Proxy 伺服器的廣泛使用，隨之而來的是一系列的安全問題。由於沒有對Proxy 伺服器的存取控制策略做全面細緻地配置，導致使用者可以隨意地通過Proxy 伺服器訪問許多色情、反動的非法網站，而這些行為往往又很難追蹤，給管理工作帶來極大的不便。以下為您介紹Linux下常用的SquidProxy 伺服器的安全性原則，期望拋磚引玉，對您的工作有所協助。

　　控制對用戶端訪問

　　使用存取控制特性，可以控制在訪問時根據特定的時間間隔進行緩衝、訪問特定網站或一組網站等。Squid存取控制有兩個要素：ACL元素和訪問列表。通過使用這些方法，系統管理員可以嚴格、清晰地定義Proxy 伺服器的存取控制策略。下面介紹一些例子：

　　◆ 允許內部一個網段的私人IP地址進行轉寄

　　acl me src 172.16.0.0/255.255.0.0

　　http_access allow all

　　上面的規則允許172.16.0.0這個網段的IP都被轉寄，但注意要在設定檔的最後加上“http_access deny all”，表示以上各規則都不匹配時拒絕所有的資料包。

　　◆ 允許清單中的機器訪問互連網

　　acl clients src 10.0.0.124/24 192.168.10.15/24

　　acl guests src “/etc/squid/guest”

　　acl all src 0.0.0.0/0.0.0.0

　　http_access allow clients

　　http_access allow guests

　　http_access deny all

　　如果允許網段10.0.0.124/24以及192.168.10.15/24內的所有客戶機訪問Proxy 伺服器，並且允許在檔案/etc/squid/guest列出的客戶機訪問Proxy 伺服器，除此之外的客戶機將拒絕訪問本地Proxy 伺服器。其中，檔案“/etc/squid/guest”中的內容為：

責編：豆豆技術應用