巧用Squid的ACL和访问列表实现高效访问控制(2)

huhahapz

巧用Squid的ACL和访问列表实现高效访问控制(2)

• 摘要：Squid代理服务器是一个缓存Internet数据的软件，可以代理HTTP、 FTP、GOPHER、SSL和WAIS等协议，提高用户下载页面的速度，并设置过滤。使用Squid可以通过访问控制特性来灵活的控制用户访问时间、站 点等限制。这些可以通过Squid ACL和访问列表来轻松实现。
  
• 标签：Squid ACL  Squid访问列表  Squid
  
• 
  

　　2．http_access访问控制列表
　　根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目，则默认为应用最后一条项目的“非”。比如最后一条为允许，则默认就是禁止。通常应该把最后的条目设为“deny all”或“allow all”来避免安全性隐患。
　　使用该访问控制列表要注意如下问题：

• 这些规则按照它们的排列顺序进行匹配检测，一旦检测到匹配的规则，匹配检测就立即结束。
  
• 访问列表可以由多条规则组成。
  
• 如果没有任何规则与访问请求匹配，默认动作将与列表中最后一条规则对应。
  
• 一个访问条目中的所有元素将用逻辑与运算连接（如下所示）：　　
  http_access Action声明1 AND 声明2 AND
  
  
• 多个http_access声明间用或运算连接，但每个访问条目的元素间用与运算连接。
  
• 列表中的规则总是遵循由上而下的顺序。
  

　　3．使用访问控制
　　上面详细讲述了ACL元素以及http_access访问控制列表的语法以及使用过程中需要注意的问题，下面给出使用这些访问控制方法的实例：
　　（1）允许网段10.0.0.124/24以及192.168.10.15/24内的所有客户机访问代理服务器，并且允许在文件/etc/squid/guest列出的客户机访问代理服务器，除此之外的客户机将拒绝访问本地代理服务器：
　　

　　
acl clients src 10.0.0.124/24 192.168.10.15/24
　　
acl guests src “/etc/squid/guest”
　　
acl all src 0.0.0.0/0.0.0.0
　　
http_access allow clients
　　
http_access allow guests
　　
http_access deny all
　　

　　其中，文件“/etc/squid/guest”中的内容为：
　　

　　
172.168.10.3/24
　　
210.113.24.8/16
　　
10.0.1.24/25
　　

　　（2）允许域名为job.net、gdfq.edu.cn的两个域访问本地代理服务器，其他的域都将拒绝访问本地代理服务器：
　　

　　
acl permitted_domain src job.net gdfq.edu.cn
　　
acl all src 0.0.0.0/0.0.0.0
　　
http_access allow permitted_domain
　　
http_access deny all
　　

　　（3）使用正则表达式，拒绝客户机通过代理服务器访问包含有诸如“sexy”等关键字的网站：
　　

　　
acl deny_url url_regex -i sexy
　　
http_access deny deny_url
　　

　　（4）拒绝客户机通过代理服务器访问文件中指定IP或者域名的网站，其中文件/etc/squid/ deny_ip中存放有拒绝访问的IP地址，文件/etc/squid/deny_dns中存放有拒绝访问的域名：
　　

　　
acl deny_ip dst “etc/squid/deny_ip”
　　
acl deny_dns dst “etc/squid/deny_dns”
　　
http_access deny deny_ip
　　
http_access deny deny_dns
　　

　　（5）允许和拒绝指定的用户访问指定的网站，其中，允许客户1访问网站http://www.sina.com.cn，而拒绝客户2访问网站http://www.163.com：
　　

　　
acl client1 src 192.168.0.118
　　
acl client1_url url_regex ^http://www.sina.com.cn
　　
acl client2 src 192.168.0.119
　　
acl client2_url url_regex ^http://www.163.com
　　
http_access allow client1 client1_url
　　
http_access deny client2 client2_url
　　

　　（6）允许所有的用户在规定的时间内（周一至周四的8：30到20：30）访问代理服务器，只允许特定的用户（系统管理员，其网段为：192.168.10.0/24）在周五下午访问代理服务器，其他的在周五下午一点至六点一律拒绝访问代理服务器：
　　

　　
acl allclient src 0.0.0.0/0.0.0.0
　　
acl administrator 192.168.10.0/24
　　
acl common_time time MTWH 8:30-20:30
　　
acl manage_time time F 13:00-18:00
　　
http_access allow allclient common_time
　　
http_access allow administrator manage_time
　　
http_access deny manage_time