代理服务器的功能是代理网络用户取得网络信息,它是网络信息的中转站。随着代理服务器的广泛使用,随之而来的是一系列的安全问题。由于没有对代理服务器的访问控制策略做全面细致地配置,导致用户可以随意地通过代理服务器访问许多色情、反动的非法站点,而这些行为往往又很难追踪,给管理工作带来极大的不便。以下为您介绍Linux下常用的Squid代理服务器的安全策略,期望抛砖引玉,对您的工作有所帮助。
控制对客户端访问
使用访问控制特性,可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素:ACL元素和访问列表。通过使用这些方法,系统管理员可以严格、清晰地定义代理服务器的访问控制策略。下面介绍一些例子:
◆ 允许内部一个网段的私有IP地址进行转发
acl me src 172.16.0.0/255.255.0.0
http_access allow all
上面的规则允许172.16.0.0这个网段的IP都被转发,但注意要在配置文件的最后加上“http_access deny all”,表示以上各规则都不匹配时拒绝所有的数据包。
◆ 允许列表中的机器访问互联网
acl clients src 10.0.0.124/24 192.168.10.15/24
acl guests src “/etc/squid/guest”
acl all src 0.0.0.0/0.0.0.0
http_access allow clients
http_access allow guests
http_access deny all
如果允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器,并且允许在文件/etc/squid/guest列出的客户机访问代理服务器,除此之外的客户机将拒绝访问本地代理服务器。其中,文件“/etc/squid/guest”中的内容为:
172.168.10.3/24
210.113.24.8/16
10.0.1.24/25
◆ 限制访问时段
acl allclient src 0.0.0.0/0.0.0.0
acl administrator 192.168.10.0/24
acl common_time time MTWH 8:30-20:30
acl manage_time time F 13:00-18:00
上面的规则允许所有的用户在规定的时间内(周一至周四的8:30到20:30)访问代理服务器,只允许特定的用户(系统管理员,其网段为:192.168.10.0/24)在周五下午访问代理服务器,其他的在周五下午一律拒绝访问代理服务器。
◆ 站点屏蔽
Squid可以屏蔽某些特定站点或含有某些特定字词的站点。用下面的规则实现:
acl sexip src "/usr/local/squid/etc/sexip"
acl sexdn dstdomain "/usr/local/squid/etc/sexdn"
acl sexurl url_regex "/usr/local/squid/etc/sexurl"
acl sextag urlpath_regex "/usr/local/squid/etc/sextag"
http_access deny sexdn
http_access deny sexip
http_access deny sexurl
http_access deny sextag
上述代码中共有两部分,它们分别表示:sexip记录不法IP地址133.3.103.6;sexdn记录不法域sex.abc.com;exurl记录不合法网址;sextag记录不合法字眼—情色。在实际应用中,无须把需要屏蔽的所有站点或字词都列在上面,可以先保存在一个文件中。ACL将从该文件中读出所需信息用以屏蔽被禁止的站点。