squid 进阶安全 加固策略
linux中代理的软件很好几个,性能最好的或许就属于squid了,几乎也算是稳坐江山了,squid在对内外网的沟通中应用非常广 泛,(增加访问速度,代理上网,提高内部网络性,方便的控制)squid被部署为(标准代理,透明代理,反向代理)多种代理,控制着内外网数 据交换,问题就应该特别重视,至少应该不下于防火墙的程度!(最好是配合使用)
这里假定是有配置经验的,就不多说如何配置squid的了,正题
一:基本控制客户访问
使用和访问列表,系统管理员可以严格,清晰的定义代理的访问控制策略,如:
acl me src 192.168.0.0/24
http_access allow me
http_access deny all
定义的me要在deny all以前被通过,顺序请注意
acl guest src "/etc/squid/guest"
http_access allow guest
http_access deny all
定义的列表文件/etc/squid/guest需要自己创建,列表文件内容如
192.168.0.55/24
192.168.0.94/24
210.133.24.8/16
二:时间控制
acl aliclient src 192.168.0.0/24
acl time time F 13:00-18:00
http_access allow aliclient time
http_access deny all
上边的意思是允许192.168.0.0网段的用户在周一到周四的1点到6点访问服务器
这里简单说下的,有兴趣的可以仔细研究下,很有用的规则
三:站点屏蔽
通过屏蔽非法,色情的站点可以减少客户机中木马或病毒的危险
acl sexip src "/etc/squid/sexip"
acl sexdn desdomain "/etc/squid/sexdn"
acl sexurl url_regex "/etc/squid/sexurl"
acl sextag urlpath_regex "etc/squid/sextag"
http_access deny sexip sexdn sexurl sextag
sexip代表不合法ip,sexdn代表不合法域,sexurl代表不合法网址,sextag代表不合法字眼。
四:拒绝二级代理
目前存在用户使用二级代理软件访问一些不健康网站,可以在squid中通过CONNECT项来拒绝
squid中默认定义了些安全端口,格式是
acl Safe_ports port 80 #http
.....
acl CONNECT method CONNECT
可以设置拒绝非安全端口方式阻止2级代理
http_access deny CONNECT !SSL_ports
五:管理代理服务端口
这个方法非常简单,是防止被别人用做攻击的跳板,在配置中尽量使用这种格式
http_port 192.168.0.1:3128
这样具体绑定接口的定义,就可以阻止其他接口进入的用户访问,如外网
六:对squid用户进行认证
squid本身是不带认证程序的,但可以使用外部认证程序,最常用的是NCSA认证,squid从2.5开始已经包含在basic中,不过认证还是挺复杂 的,有高安全需要的可以找资料看看
七:监控squid运行
squid本身提供一cgi程序,文件名为cachemgr.cgi,安装完squid后将它复制到apache服务器的cgi-bin目录下就可以使 用,此方法需要apache服务配合,使用起来并不困难,提供的数据非常详细,可以监控(网络流量,使用协议,系统负载,数据包发送时间等),基本所有进 出数据都无所遁行
八:为 squid串联HAVP
HAVP是一个开放源代码的linux病毒过滤代理服务器,使用C++编写,通常与squid串联,使用ClamAV anti-virus病毒库,可以增强squid的病毒防范能力,HAVP与squid构成双层代理,squid为父代理
有兴趣朋友可以去http://www.server-side.de官方网站看看HAVP
对squid的大概就说到这里,有兴趣的可以找资料详细研究,这里只提起话头
这里假定是有配置经验的,就不多说如何配置squid的了,正题
一:基本控制客户访问
使用和访问列表,系统管理员可以严格,清晰的定义代理的访问控制策略,如:
acl me src 192.168.0.0/24
http_access allow me
http_access deny all
定义的me要在deny all以前被通过,顺序请注意
acl guest src "/etc/squid/guest"
http_access allow guest
http_access deny all
定义的列表文件/etc/squid/guest需要自己创建,列表文件内容如
192.168.0.55/24
192.168.0.94/24
210.133.24.8/16
二:时间控制
acl aliclient src 192.168.0.0/24
acl time time F 13:00-18:00
http_access allow aliclient time
http_access deny all
上边的意思是允许192.168.0.0网段的用户在周一到周四的1点到6点访问服务器
这里简单说下的,有兴趣的可以仔细研究下,很有用的规则
三:站点屏蔽
通过屏蔽非法,色情的站点可以减少客户机中木马或病毒的危险
acl sexip src "/etc/squid/sexip"
acl sexdn desdomain "/etc/squid/sexdn"
acl sexurl url_regex "/etc/squid/sexurl"
acl sextag urlpath_regex "etc/squid/sextag"
http_access deny sexip sexdn sexurl sextag
sexip代表不合法ip,sexdn代表不合法域,sexurl代表不合法网址,sextag代表不合法字眼。
四:拒绝二级代理
目前存在用户使用二级代理软件访问一些不健康网站,可以在squid中通过CONNECT项来拒绝
squid中默认定义了些安全端口,格式是
acl Safe_ports port 80 #http
.....
acl CONNECT method CONNECT
可以设置拒绝非安全端口方式阻止2级代理
http_access deny CONNECT !SSL_ports
五:管理代理服务端口
这个方法非常简单,是防止被别人用做攻击的跳板,在配置中尽量使用这种格式
http_port 192.168.0.1:3128
这样具体绑定接口的定义,就可以阻止其他接口进入的用户访问,如外网
六:对squid用户进行认证
squid本身是不带认证程序的,但可以使用外部认证程序,最常用的是NCSA认证,squid从2.5开始已经包含在basic中,不过认证还是挺复杂 的,有高安全需要的可以找资料看看
七:监控squid运行
squid本身提供一cgi程序,文件名为cachemgr.cgi,安装完squid后将它复制到apache服务器的cgi-bin目录下就可以使 用,此方法需要apache服务配合,使用起来并不困难,提供的数据非常详细,可以监控(网络流量,使用协议,系统负载,数据包发送时间等),基本所有进 出数据都无所遁行
八:为 squid串联HAVP
HAVP是一个开放源代码的linux病毒过滤代理服务器,使用C++编写,通常与squid串联,使用ClamAV anti-virus病毒库,可以增强squid的病毒防范能力,HAVP与squid构成双层代理,squid为父代理
有兴趣朋友可以去http://www.server-side.de官方网站看看HAVP
对squid的大概就说到这里,有兴趣的可以找资料详细研究,这里只提起话头
顶(0)
踩(0)
- 最新评论