当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 6 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : squid进阶(安全加固策略)
帖子发表于 : 2008-08-09 19:13 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
linux中代理的软件很好几个,性能最好的或许就属于squid了,几乎也算是稳坐江山了,squid在对内外网的沟通中应用非常广泛,(增加访问速度,代理上网,提高内部网络安全性,方便的控制策略)squid可以被部署为(标准代理,透明代理,反向代理)多种代理,控制着内外网数据交换,安全问题就应该特别重视,至少应该不下于防火墙的程度!(最好是配合使用)

这里假定是有配置经验的,就不多说如何配置squid的了,正题
一:基本控制客户访问
使用acl和访问列表,系统管理员可以严格,清晰的定义代理的访问控制策略,如:
acl me src 192.168.0.0/24
http_access allow me
http_access deny all
定义的me要在deny all以前被通过,顺序请注意
acl guest src "/etc/squid/guest"
http_access allow guest
http_access deny all
定义的列表文件/etc/squid/guest需要自己创建,列表文件内容如
192.168.0.55/24
192.168.0.94/24
210.133.24.8/16

二:时间控制
acl aliclient src 192.168.0.0/24
acl time time F 13:00-18:00
http_access allow aliclient time
http_access deny all
上边的意思是允许192.168.0.0网段的用户在周一到周四的1点到6点访问服务器
这里简单说下的,有兴趣的可以仔细研究下,很有用的规则

三:站点屏蔽
通过屏蔽非法,色情的站点可以减少客户机中木马或病毒的危险
acl sexip src "/etc/squid/sexip"
acl sexdn desdomain "/etc/squid/sexdn"
acl sexurl url_regex "/etc/squid/sexurl"
acl sextag urlpath_regex "etc/squid/sextag"
http_access deny sexip sexdn sexurl sextag
sexip代表不合法ip,sexdn代表不合法域,sexurl代表不合法网址,sextag代表不合法字眼。

四:拒绝二级代理
目前存在用户使用二级代理软件访问一些不健康网站,可以在squid中通过CONNECT项来拒绝
squid中默认定义了些安全端口,格式是
acl Safe_ports port 80 #http
.....
acl CONNECT method CONNECT
可以设置拒绝非安全端口方式阻止2级代理
http_access deny CONNECT !SSL_ports

五:管理代理服务端口
这个方法非常简单,是防止被别人用做攻击的跳板,在配置中尽量使用这种格式
http_port 192.168.0.1:3128
这样具体绑定接口的定义,就可以阻止其他接口进入的用户访问,如外网

六:对squid用户进行认证
squid本身是不带认证程序的,但可以使用外部认证程序,最常用的是NCSA认证,squid从2.5开始已经包含在basic中,不过认证还是挺复杂的,有高安全需要的可以找资料看看

七:监控squid运行
squid本身提供一cgi程序,文件名为cachemgr.cgi,安装完squid后将它复制到apache服务器的cgi-bin目录下就可以使用,此方法需要apache服务配合,使用起来并不困难,提供的数据非常详细,可以监控(网络流量,使用协议,系统负载,数据包发送时间等),基本所有进出数据都无所遁行

八:为 squid串联HAVP
HAVP是一个开放源代码的linux病毒过滤代理服务器,使用C++编写,通常与squid串联,使用ClamAV anti-virus病毒库,可以增强squid的病毒防范能力,HAVP与squid构成双层代理,squid为父代理
有兴趣朋友可以去http://www.server-side.de官方网站看看HAVP

对squid的大概就说到这里,有兴趣的可以找资料详细研究,这里只提起话头


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2008-08-11 21:41 

注册: 2007-08-27 17:31
帖子: 445
送出感谢: 0 次
接收感谢: 1
总的来说,这篇帖子写的并不好,对技术的理解还很欠缺,看下了解就行了


_________________
你能学会世界上所有语言来叫一种鸟的名字,当你知道所有这些名字叫法后,却对这种鸟一无所知~
理查德-费曼


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2008-08-12 9:19 
头像

注册: 2006-10-18 12:57
帖子: 417
送出感谢: 0 次
接收感谢: 1
未曾了解,纯精神上支持……先收藏着

楼主这么无私的分享经验,好像我都收藏3篇类似的了,呵呵,大家是不是给他个“有点土“或者"有奔头“的帽子吧,呵呵 :twisted:


_________________
http://twitter.com/nothining
Mail: bjdfzster@gmail.com
南京的开源活动几乎是0,希望能有人组织下(也可以拉我入伙^_^)
最近在从零开始学习Linux程序设计,加油……


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2008-08-13 23:01 

注册: 2008-05-25 21:11
帖子: 587
送出感谢: 0 次
接收感谢: 0 次
楼主,你这是写的Squid基础吧,有兴趣看看我写的Squid篇,我放博客里了,一共15篇,大家互相交流学习。


_________________
抚琴煮酒个人主页非诚勿扰


页首
 用户资料  
 
5 楼 
 文章标题 : Re: squid进阶(安全加固策略)
帖子发表于 : 2012-10-12 11:18 
头像

注册: 2010-01-01 23:29
帖子: 440
系统: Ubuntu16.10
送出感谢: 3
接收感谢: 2
现在努力开始正在研究学习效仿使用squid3,感谢感谢


_________________
凤凰网 https://my.fengjr.com/register?invitecode=tzno4O91
钱宝网 http://a.qbao.com/XgJjk
小旺铺 http://enterprise.qbao.com/merchant/sho ... Id=5165759


页首
 用户资料  
 
6 楼 
 文章标题 : Re: squid进阶(安全加固策略)
帖子发表于 : 2012-10-12 11:19 
头像

注册: 2010-01-01 23:29
帖子: 440
系统: Ubuntu16.10
送出感谢: 3
接收感谢: 2
成立个squid3群如何


_________________
凤凰网 https://my.fengjr.com/register?invitecode=tzno4O91
钱宝网 http://a.qbao.com/XgJjk
小旺铺 http://enterprise.qbao.com/merchant/sho ... Id=5165759


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 6 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 4 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译