解析squid安全策略

　　代理服务器的功能是代理网络用户取得网络信息，它是网络信息的中转站。随着代理服务器的广泛使用，随之而来的是一系列的安全问题。由于没有对代理服务器的访问控制策略做全面细致地配置，导致用户可以随意地通过代理服务器访问许多色情、反动的非法站点，而这些行为往往又很难追踪，给管理工作带来极大的不便。以下为您介绍Linux下常用的Squid代理服务器的安全策略，期望抛砖引玉，对您的工作有所帮助。

　　控制对客户端访问

　　使用访问控制特性，可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素：ACL元素和访问列表。通过使用这些方法，系统管理员可以严格、清晰地定义代理服务器的访问控制策略。下面介绍一些例子：

　　◆ 允许内部一个网段的私有IP地址进行转发

　　acl me src 172.16.0.0/255.255.0.0

　　http_access allow all

　　上面的规则允许172.16.0.0这个网段的IP都被转发，但注意要在配置文件的最后加上“http_access deny all”，表示以上各规则都不匹配时拒绝所有的数据包。

　　◆ 允许列表中的机器访问互联网

　　acl clients src 10.0.0.124/24 192.168.10.15/24

　　acl guests src “/etc/squid/guest”

　　acl all src 0.0.0.0/0.0.0.0

　　http_access allow clients

　　http_access allow guests

　　http_access deny all

　　如果允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器，并且允许在文件/etc/squid/guest列出的客户机访问代理服务器，除此之外的客户机将拒绝访问本地代理服务器。其中，文件“/etc/squid/guest”中的内容为：

责编：豆豆技术应用