搭建Linux下的Squid代理服务器（图）

本文介绍Linux下非常著名、常用的Squid代理服务器的使用，并着重讲述怎么样使用其提供的访问控制策略，来保证代理服务器的合法使用。
　　
　　代理服务器的功能是代理网络用户取得网络信息，它是网络信息的中转站。随着代理服务器的广泛使用，随之而来的是一系列的安全问题。由于没有对代理服务器的访问控制策略作全面细致的配置，导致用户可以随意地通过代理服务器访问许多色情、反动的非法站点，而这些行为往往又很难追踪，给管理工作带来极大的不便。
　　
　　Squid是Linux下一个缓存Internet数据的代理服务器软件，其接收用户的下载申请，并自动处理所下载的数据。也就是说，当一个用户想要下载一个主页时，可以向Squid发出一个申请，要Squid代替其进行下载，然后Squid连接所申请网站并请求该主页，接着把该主页传给用户同时保留一个备份。当别的用户申请同样的页面时，Squid把保存的备份立即传给用户，使用户觉得速度相当快。目前，Squid可以代理HTTP、FTP、GOPHER、SSL和WAIS协议，暂不能代理POP3、NNTP等协议。Squid可以工作在很多操作系统中，如AIX、Digital、Unix、FreeBSD、HP-UX、Irix、Linux、NetBSD、Nextstep、SCO、Solaris、OS/2等。
　　
　　安装和配置Squid Server
　　
　　通常说来，安装Squid有两种方法：一是从Red Hat Linux 9中获取该软件的RPM包进行；二是安装从Squid的官方站点http://www.squid-cache.org/ 下载该软件的源码进行编译后安装。目前网上最新的稳定版本为squid-2.5.STABLE10，下面以此版本为例对两种安装方法进行介绍。
　　
　　Squid服务器工作原理示意图
　　
　　1． RPM包的安装
　　
　　首先，查看是否已经安装了squid：
　　
　　#rpm －qa | grep squid
　　
　　Red Hat Linux9自带了Squid安装软件包，将第一张安装光盘放入光驱后挂装光盘分区：
　　
　　#mount /mnt/cdrom
　　
　　然后，进入/mnt/cdrom/Red Hat/RPMS目录：
　　
　　#cd /mnt/cdrom/Red Hat/RPMS
　　
　　最后，执行安装：
　　
　　#rpm -ivh squid-2.5.STABLE1-2.i386.rpm
　　
　　当然，我们也可以在开始安装系统的过程中安装该软件。
　　
　　2． 源代码包的安装
　　
　　从http://www.squid-cache.org/下载squid软件的最新源代码包squid-2.5.STABLE10.tar.gz，然后，按照如下步骤进行安装。
　　
　　首先，将该文件拷贝到/tmp目录：
　　
　　#cp squid-2.5.STABLE10.tar.gz /tmp
　　
　　然后，解开该文件：
　　
　　#tar xzvf squid-2.5.STABLE10.tar.gz
　　
　　解开后，在/tmp生成一个新的目录squid-2.5.STABLE10，为了方便使用mv命令，将该目录重命名为squid：
　　
　　#mv squid-2.5.STABLE10 squid
　　
　　切换进入squid目录：
　　
　　#cd squid
　　
　　接着，执行/configure，可以用./configure --prefix=/directory/you/want指定安装目录，系统默认安装目录为/tmp/squid：
　　
　　#./configure
　　
　　最后，分别执行make all、make install：
　　
　　#make all
　　
　　#make install
　　
　　安装结束后，Squid的可执行文件在安装目录的bin子目录下，配置文件在etc子目录下。
　　
　　Squid软件向用户提供了许多与配置、应用程序和库、日志等相关的文档进行配置和管理，Squid有一个主要的配置文件squid.conf。同时，在Red Hat环境下所有Squid的配置文件都位于/etc/squid子目录下。在该目录当中，系统同时提供了一个默认的配置文件，其名称为squid.conf.default，然而，在实际的应用当中，该默认的配置文件存在某些问题，所以在使用Squid之前，必须首先对该配置文件的有关内容进行修改。
　　
　　下面介绍squid.conf文件的结构以及一些常用的选项。squid.conf配置文件可以分为13个部分。虽然Squid的配置文件很庞大，该配置文件的规模达到了3000多行。然而，如果只是为一个中小型网络提供代理服务，并且只准备使用一台服务器，那么，配置问题将会变得相对简单，只需要修改配置文件中的几个选项即可满足应用需求。这些几个常用选项分别是：
　　
　　1. http_port
　　
　　该选项定义Squid监听HTTPD客户连接请求的端口。默认是3128，如果使用HTTPD加速模式，则为80。可以指定多个端口，但是所有指定的端口都必须在一条命令行上出现，程序才能正确地识别。
　　
　　2. cache_mem（bytes）
　　
　　该选项用于指定Squid可以使用的内存的理想值。这部分内存被用来存储以下对象：In-Transit objects（传入的对象）、Hot Objects（热对象，即用户常访问的对象）、Negative-Cached objects（消极存储的对象）。
　　
　　3. cache_dir Directory-Name Mbytes Level1 Level2
　　
　　该选项指定Squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个交换空间，并且这些交换空间可以分布在不同的磁盘分区。“directory”指明了该交换空间的顶级目录。如果想用整个磁盘作为交换空间，那么可以将该目录作为装载点将整个磁盘挂装上去。默认值为/var/spool/squid。Mbytes定义了可用的空间总量。
　　
　　配置访问控制
　　
　　使用访问控制特性，可以控制在访问时根据特定的时间间隔进行缓存、访问特定站点或一组站点等。Squid访问控制有两个要素：ACL元素和访问列表。通过使用这些方法，系统管理员可以严格、清晰地定义代理服务器的访问控制策略。
　　
　　1． ACL元素
　　
　　该元素定义的语法如下：
　　
　　acl aclname acltype string1…
　　
　　acl aclname acltype “file”…
　　
　　当使用文件时，该文件的格式为每行包含一个条目。其中，acltype可以是任一个在ACL中定义的名称；任何两个ACL元素不能用相同的名字；每个ACL由列表值组成，当进行匹配检测的时候，多个值由逻辑或运算连接，换句话说，任一ACL元素的值被匹配，则这个ACL元素即被匹配; 并不是所有的ACL元素都能使用访问列表中的全部类型；不同的ACL元素写在不同行中，Squid将这些元素组合在一个列表中。