プロキシサーバーの機能は、ネットワークユーザーにプロキシを使用してネットワーク情報を取得することです。これがネットワーク情報の通過点です。プロキシサーバーの普及に伴い、一連のセキュリティ問題が続いています。プロキシサーバーのアクセス制御ポリシーの包括的で詳細な設定がないため、ユーザーはプロキシサーバーを介して多くのポルノおよび反動的な違法Webサイトに自由にアクセスでき、これらの行動は追跡が困難なことが多く、管理作業に大きな不便をもたらします。 。以下は、Linuxで一般的に使用されているSquidプロキシサーバのセキュリティポリシーの簡単な紹介です。
クライアントアクセスの制御
アクセス制御機能を使用すると、アクセス中の特定の時間間隔に基づいて、キャッシュの制御、特定のサイトまたはサイトのグループへのアクセスなどを制御できます。 Squidアクセス制御には、ACL要素とアクセスリストの2つの要素があります。これらの方法を使用することにより、システム管理者はプロキシサーバーのアクセス制御ポリシーを厳密かつ明確に定義できます。以下に例をいくつか示します。
◆内部ネットワークセグメントのプライベートIPアドレスを転送することを許可します。
acl me src 172.16.0.0/255.255.0.0
http_access allow all
上記の規則ではネットワークセグメント172.16.0.0のIPを転送できますが、設定ファイルの最後に "ld_; http_access deny all"を追加する必要があります。これは、上記の規則がすべて一致し、すべてのパケットを拒否することを示します。 ?/p>
◆リスト内のコンピュータがインターネットにアクセスできるようにします。
aclクライアントsrc 10.0.0.124/24 192.168.10.15/24
aclゲストsrc' /etc /squid /guest'
acl all src 0.0.0.0/0.0.0.0
http_accessがクライアントを許可する
http_accessがゲストを許可する
http_accessがすべてを拒否する
ネットワークセグメント10.0.0.124/24および192.168.10.15/24内のすべてのクライアントにプロキシサーバーへのアクセスを許可し、ファイル/etc /squid /guestにリストされているクライアントからプロキシサーバーへのアクセスを許可する場合外部のクライアントはローカルプロキシサーバーへのアクセスを拒否します。ファイル「/etc /squid /guest」の内容は次のとおりです。
172.168.10.3/24
210.113.24.8/16
10.0.1.24/25
◆アクセス期間の制限
acl allclient src 0.0.0.0/0.0.0.0
acl管理者192.168.10.0/24
acl common_time time MTWH 8 :30-20:30
acl manage_time time F 13:00-18:00
上記のルールは全てのユーザーが指定された時間内に入ることを許可します(月曜日から木曜日の8:30)。 20:30までにプロキシサーバーにアクセスし、特定のユーザー(システム管理者、そのネットワークセグメント:192.168.10.0/24)のみが金曜日の午後にプロキシサーバーにアクセスできるようにし、もう一方のユーザーは金曜日の午後にプロキシサーバーへのアクセスを拒否します。
◆サイトのブロック
Squidは特定のサイトまたは特定の単語を含むサイトをブロックできます。次のルールに従ってください。
acl sexip src" /usr /local /squid /etc /sexip"
acl sexdn dstdomain" /usr /local /squid /etc /sexdn"
acl sexurl url_regex" /usr /local /squid /etc /sexurl"
acl sextag urlpath_regex" /usr /local /squid /etc /sextag"
Http_access deny sexdn
http_access deny sexipl
http_access deny sexurl
上記のコードには、それぞれ次の2つの部分があります。sexipレコードが不正です。 IPアドレス133.3.103.6; sexdnは違法ドメインを記録するsex.abc.com; exurlは違法URLを記録する; sextagは違法単語を記録する - エロティック。実際には、ブロックする必要があるサイトや単語をすべてリストする必要はありません。最初にファイルに保存することができます。 ACLはファイルから必要な情報を読み取り、禁止されているサイトをブロックします。
◆CONNECTの設定
セカンダリエージェントソフトウェアを介して一部の異常なサイトにアクセスするユーザーがいますが、これはCONNECT項目のSCONNECTによって拒否される可能性があります。まず安全なポートを設定します。
acl SSL_portsポート443 563
acl Safe_portsポート80#http
acl Safe_portsポート21#ftp
acl Safe_portsポート443 563#https、snews
acl Safe_portsポート70#gopher
acl Safe_portsポート210#wais
acl Safe_portsポート1025-65535#未登録のポート
Acl Safe_portsポート280#http-mgmt
acl Safe_portsポート488#gss-http
acl Safe_portsポート591#filemaker
acl Safe_portsポート777#multiling http
acl CONNECTメソッドCONNECT
次のコマンドを使用して、CONNECTを介した非セキュアポートの拒否が行われます。
http_access deny CONNECT!SSL_ports
最後のre-squid編集:
#/squid /bin /squid -k reconfigure
tail /squid /logs /access.log -fから
grep CONNECT'コマンドを実行すると、CONNECTを使用してインターネットにアクセスする非セキュアポートコンピュータは拒否されます。
プロキシサーバーのポートを管理する
自分のサーバーをプロキシサーバーとして使用することを希望する人はいませんが、同時に他のユーザーを攻撃するための踏み台としてプロキシサーバーを簡単に使用することができます。したがって、プロキシサーバーソフトウェアのSquidはサービスを自由に提供できません。この目的を達成するには、対応するsquid.confにhttp_port 192.168.0.254:3128'を追加するだけです。他のインタフェースから入るユーザーは、プロキシサービスを使用できません。
Squidログをたどる
Linuxネットワーク管理者は、すべてのログを記録するようにしてください。これにより、すべての例外が記録されます。最も簡単な方法はブラウザを通して見ることです。 Squid自体がcgiプログラムを提供し、ファイル名はcachemgr.cgiです。SquidはApacheサーバの下のcgi-binディレクトリにコピーした後に使用できます。
mv /usr/lib/squid/cachemgr.cgi /home /httpd /cgi-bin
Apacheを介したsquidの監視、設定ファイルの編集/etc/http/conf/http.conf次のコードを追加します。
< Location /cgi-bin/cachemgr.cgi>
AuthType Basic
AuthNamw" Squid admin"
AuthUserFile /usr/local/squid/etc/squid.pwd
require valid-user
< /Location>パスワードファイルを生成します。
cd /usr /local /squid /etc
htpasswd -c squid.pwd squidadmin
chown apache:apche squid.pwd
キャッシュマネージャが提供する情報を表示するには、次の手順に従ってください。ブラウザのアドレスバーに、「http://サーバー名」または「IPアドレス/cgi-bin /cachemgr.cgi」と入力します。認証が終了したら、ログインインタフェースを入力し、プロキシサーバーのアドレスとポート番号を入力し、[続行]をクリックして図1に示すような作業用のインタフェースに入ります。
Squidプロキシサーバー用のHAVPの一覧表示
HAVPは、C ++で書かれたオープンソースのLinuxウイルスフィルタリングプロキシサーバーです。 HAVPは通常Squidと並行して使用され、SquidはSquidのウイルス防御能力を高めるためにClamAVアンチウイルスウイルスライブラリを使用します。
ログイン
HAVP構成手順:.
第1の抽出アーカイブ
#gunzip havp-0.70.tar.gz
# Cd /havp-0.70
2.設定ファイルhavp /default.hを変更します。
#define SCANTEMPFILE" /tmp/virus/havp-0.70 /スキャンの一時ディレクトリを定義する/
#define MAXSCANTEMPFILELENGTH 200 /一時ファイルのディレクトリ長/
#define ACCESSLOG" /var/log/havp/access.txt" /accessログファイル/
#define ERRORLOG" /var/log/havp/error.txt" /エラーログファイル/
#define KEEPBACKBUFFER 50005 /ループバックバッファサイズ/
#define MAXRECV 50000 /リターンバッファサイズ/
#define USER nobody /HAVPプロセスuser /
……
3. ClamAVファイルのclamav-config.hファイルを変更し、オプションSCANBUFFを" MAXRECV&'に設定しますSmall
4.ファイルをコンパイルする
#。/configure; make; make install
5.Start HAVP
#/usr /local /Bin /havp
Webサイトでページを表示してください。http://www.eicar.org/anti_virus_test_file.htm結果は正常です。ただし、HAVPはHTTPプロトコルのウイルスを検出してフィルタリングすることしかできませんが、HTTPSやFTPなどの他のプロトコルには実装できません。
zh-CN"],null,[1],zh-TW"]]]