内容摘要:介绍Linux下常用的Squid代理服务器的安全策略,期望抛砖引玉,对您的工作有所帮助。
172.168.10.3/24
210.113.24.8/16
10.0.1.24/25
◆ 限制访问时段
acl allclient src 0.0.0.0/0.0.0.0
acl administrator 192.168.10.0/24
acl common_time time MTWH 8:30-20:30
acl manage_time time F 13:00-18:00
上面的规则允许所有的用户在规定的时间内(周一至周四的8:30到20:30)访问代理服务器,只允许特定的用户(系统管理员,其网段为:192.168.10.0/24)在周五下午访问代理服务器,其他的在周五下午一律拒绝访问代理服务器。
◆ 站点屏蔽
Squid可以屏蔽某些特定站点或含有某些特定字词的站点。用下面的规则实现:
acl sexip src "/usr/local/squid/etc/sexip"
acl sexdn dstdomain "/usr/local/squid/etc/sexdn"
acl sexurl url_regex "/usr/local/squid/etc/sexurl"
acl sextag urlpath_regex "/usr/local/squid/etc/sextag"
http_access deny sexdn
http_access deny sexip
http_access deny sexurl
http_access deny sextag
上述代码中共有两部分,它们分别表示:sexip记录不法IP地址133.3.103.6;sexdn记录不法域sex.abc.com;exurl记录不合法网址;sextag记录不合法字眼—情色。在实际应用中,无须把需要屏蔽的所有站点或字词都列在上面,可以先保存在一个文件中。ACL将从该文件中读出所需信息用以屏蔽被禁止的站点。
◆ CONNECT的设置
目前存在有些用户通过二级代理软件访问一些不健康的站点,可以在Squid中通过CONNECT项来拒绝。首先设置安全端口:
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
责编:豆豆技术应用