代理服务器的概念

代理服务器（Proxy Server）是个人网络和Internet服务商之间的中间代理机构，它负责转发合法的网络信息，对转发进行控制和登记。代理服务器作为连接Internet(广域网)与Intranet（局域网）的桥梁，在实际应用中发挥着极其重要的作用，它可用于多个目的，最基本的功能是连接，此外还包括安全性，缓存，内容过滤,访问控制管理等功能。代理服务器，顾名思义就是局域上不能直接上网的机器将上网请求（比如说，浏览某个主页）发给能够直接上网的代理服务器，然后代理服务器代理完成这个上网请求，将它所要浏览的主页调入代理服务器的缓存；然后将这个页面传给请求者。这样局域网上的机器使用起来就像能够直接访问网络一样。并且，代理服务器还可以进行一些网站的过滤和控制的功能，这样就实现了我们控制和节省上网费用。 

　　代理服务器能够让多台没有IP地址的电脑使用其代理功能高速、安全地访问互联网资源。当代理服务器客户端发出一个对外的资源访问请求，该请求先被代理服务器识别并由代理服务器代为向外请求资源。由于一般代理服务器拥有较大的带宽，较高的性能，并且能够智能地缓存已浏览或未浏览的网站内容，因此，在一定情况下，客户端通过代理服务器能更快速地访问网络资源。代理服务器应用的常见例子：拥有上百台电脑的局域网通过一台能够访问外部网络资源的代理服务器而也能访问外部互联网。



代理服务器的功能

　　(1) 充当局域网与外部网络的连接出口 

　　充当局域网与外部网络的连接出口，同时将内部网络结构的状态对外屏蔽起来，使外部不能直接访问内部网络。从这一点上说，代理服务器就充当的网关。 

　　（2）作为防火墙 

　　代理服务器．可以保护局域网的安全，起防火墙的作用。通过设置防火墙，为公司内部的网络提供安全边界，防止外界的侵入。 

　　（3）网址过滤和访问权限限制 

　　代理服务器可以设置IP地址过滤，对外界或内部的Internet地址进行过滤，限制不同用户的访问权限。例如代理服务器可以用来限制封锁IP地址，禁止用户对某些网页进行浏览。 

　　（4）提高访问速度 

　　代理服务器将远程服务器提供的数据保存在自己的硬盘上，如果有许多用户同时使用这一个代理服务器，他们对Internet站点所有的访问都会经由这台代理服务器来实现。当有人访问过某一站点后，所访问站点的内容便会被保存在代理服务器的硬盘上，如果下一次有人再要访问这个站点时，这些内容便会直接从代理服务器磁盘中取得，而不必再次连接到远程服务器上去取。因此，它可以节约带宽、提高访问速度。 

　　



代理服务器的工作原理

　　 

　　代理服务器（Proxy Server）的工作原理是：当客户在浏览器中设置好Proxy Server后，你使用浏览器访问所有WWW站点的请求都不会直接发给目的主机，而是先发给代理服务器，代理服务器接受了客户的请求以后，由代理服务器向目的主机发出请求，并接受目的主机的数据，存于代理服务器的硬盘中，然后再由代理服务器将客户要求的数据发给客户。下面我们来详细说明其工作过程： 

　　在网络上，当客户端向服务器端请求数据时，服务器端会随即将所需的数据传给客户端。但是这个服务器可能在很远的地方（例如在美国），数据传输需要较长的时间，如果需要同样数据的用户很多，则每次都要重复传送. 

1、代理服务器的角色 

　　代理服务器是为了减少长距离的传送而诞生的。它不仅可以代理客户端向服务器端提出请求，也可以代理服务器传给客户端所需要的数据。 

当客户端对服务器端提出请求时，此请求会被送到代理服务器，然后代理服务器会检查本身是否有客户端所需要的数据。如果有，代理服务器便代替服务器将数据传给客户端。而代理服务器一般都是设置距自己传输距离较近的某台代理服务器，所以它传数据给客户端的速度会比从远程服务器传数据要快。 

　　如果代理服务器没有客户端所请求的数据，它会去服务器获取所需的数据。在代理服务器从服务器端取得数据传给客户端时，自己保存一份，待下次如果有用户提出相同的请求时，便可以将数据直接传过去，而不需要再去服务器端获取了。可见，代理服务器改善网络数据传输阻塞的功能是显而易见的。



代理服务器主要类型

　　HTTP代理：最简单的一种代理形式，能够代理客户机的HTTP访问，上网浏览网页使用的都是HTTP协议，通常的HTTP代理端口为80、3128或8080端口。

　　SOCKS代理：SOCKS代理与HTTP等其他类型的代理不同，它只是简单地传递数据包，而并不关心是何种应用协议，既可以是HTTP协议，也可以是FTP协议，或者其他任何协议，所以SOCKS代理服务器比其他类型的代理服务器速度要快得多。SOCKS代理又分为SOCKS4和 SOCKS5，二者不同的是SOCKS4代理只支持TCP协议（即传输控制协议），而SOCKS5代理则既支持TCP协议又支持UDP协议（即用户数据包协议），还支持各种身份验证机制、服务器端远程域名解析（解决DNS污染就靠这个了）等。SOCK4能做到的SOCKS5都可得到，但SOCKS5能够做到的SOCKS则不一定能做到。目前SOCKS5是最常用的一种SOCKS代理。

NAT技术的定义：

NAT是一种网络地址翻译技术，将内部私有IP地址改变成可以在公网上使用的:公网IP。 

NAT技术出现的原因： 

我们国家公网IP地址太少了不够用，才使NAT技术兴起。

NAT还具备一些衍生功能，诸如隐藏并保护网络内部的计算机，以避免来自网络外部的攻击、方便内部网络地址规划，等等。

1 名词解释

公有IP地址：也叫全局地址，是指合法的IP地址，它是由NIC（网络信息中心）或者ISP(网络服务提供商)分配的地址，对外代表一个或多个内部局部地址，是全球统一的可寻 址的地址。

私有IP地址：也叫内部地址，属于非注册地址，专门为组织机构内部使用。因特网分配编号委员会（IANA）保留了3块IP地址做为私有IP地址：

10.0.0.0 ——— 10.255.255.255

172.16.0.0——— 172.16.255.255

192.168.0.0———192.168.255.255

地址池：地址池是有一些外部地址（全球唯一的IP地址）组合而成，我们称这样的一个地址集合为地址池。在内部网络的数据包通过地址转换到达外部网络时，将会在地址池中选择某个IP地址作为数据包的源IP地址，这样可以有效的利用用户的外部地址，提高访问外部网络的能力。

NAT英文全称是“Network Address Translation”，中文意思是“网络地址转换”，它是一个IETF(Internet Engineering Task Force, Internet工程任务组)标准，允许一个整体机构以一个公用IP（Internet Protocol）地址出现在Internet上。顾名思义，它是一种把内部私有网络地址（IP地址）翻译成合法网络IP地址的技术，如下图所示。因此我们可以认为，NAT在一定程度上，能够有效的解决公网地址不足的问题。

NAT技术简介

简单地说，NAT就是在局域网内部网络中使用内部地址，而当内部节点要与外部网络进行通讯时，就在网关（可以理解为出口，打个比方就像院子的门一样）处，将内部地址替换成公用地址，从而在外部公网（internet）上正常使用，NAT可以使多台计算机共享Internet连接，这一功能很好地解决了公共 IP地址紧缺的问题。通过这种方法，可以只申请一个合法IP地址，就把整个局域网中的计算机接入Internet中。这时，NAT屏蔽了内部网络，所有内部网计算机对于公共网络来说是不可见的，而内部网计算机用户通常不会意识到NAT的存在。如下图所示。这里提到的内部地址，是指在内部网络中分配给节点的私有IP地址，这个地址只能在内部网络中使用，不能被路由转发。

随着接入Internet的计算机数量的不断猛增，IP地址资源也就显得愈加紧张。在实际应用中，一般用户几乎申请不到整段的C类和B类IP地址。当我们的企业向ISP申请IP地址时，所分配的地址也不过只有几个或十几个IP地址。显然，这样少的IP地址根本无法满足网络用户的需求。为了缓解供给和需求不可调和的矛盾，使用NAT技术便成为了企业和ISP的必然选择。 

NAT还具备一些衍生功能，诸如隐藏并保护网络内部的计算机，以避免来自网络外部的攻击、方便内部网络地址规划，等等

企业使用NAT时，一般认为应当使用RFC1918规定的三段私有地址部署企业内部网络。当企业内部设备试图以私有地址为源，向外部网络（Internet）发送数据包的时候，NAT可以对IP包头进行修改，先前的源IP地址-私有地址被转换成合法的公有IP地址（前提是，该共有IP地址应当是企业已经从ISP申请到的合法公网IP），这样，对于一个局域网来说，无需对内部网络的私有地址分配做大的修改，就可以满足内网设备和外网通信的需求。

由于设备的源IP地址被NAT替换成了公网IP地址，设备对于外网用户来说就显得“不透明”，达到了保证设备安全性的目的。在这种情况下，内部私有地址和外部公有地址是一一对应的。甚至，我们只需使用少量公网IP地址(甚至是1个)即可实现私有地址网络内所有计算机与Internet的通信需求。



NAT的实现方式

在企业网络中，NAT的实现方式有三种，即静态转换NAT、动态转换NAT 以及 端口多路复用（PAT）。 

1.静态转换 

静态转换是指将内部网络的私有IP地址转换为公有IP地址，IP地址对是一对一的，是一成不变的，某个私有IP地址只转换为某个公有IP地址。私有地址和公有地址的对应关系由管理员手工指定。借助于静态转换，可以实现外部网络对内部网络中某些特定设备(如服务器)的访问，并使该设备在外部用户看来变得“不透明”。

2.动态转换

动态转换是指将内部网络的私有IP地址转换为公用IP地址时，IP地址对并不是一一对应的，而是随机的。所有被管理员授权访问外网的私有IP地址可随机转换为任何指定的公有IP地址。也就是说，只要指定哪些内部地址可以进行转换，以及用哪些合法地址作为外部地址时，就可以进行动态转换。每个地址的租用时间都有限制。这样，当ISP提供的合法IP地址略少于网络内部的计算机数量时，可以采用动态转换的方式。

3.端口多路复用(Port address Translation,PAT)

通过使用端口多路复用，可以达到一个公网地址对应多个私有地址的一对多转换。在这种工作方式下，内部网络的所有主机均可共享一个合法外部IP地址实现对Internet的访问，来自不同内部主机的流量用不同的随机端口进行标示，从而可以最大限度地节约IP地址资源。同时，又可隐藏网络内部的所有主机，有效避免来自internet的攻击。因此，目前网络中应用最多的就是端口多路复用方式。 

NAT的基本概念和原理我们就向大家介绍完了

2.1 地址转换

NAT的基本工作原理是，当私有网主机和公共网主机通信的IP包经过NAT网关时，将IP包中的源IP或目的IP在私有IP和NAT的公共IP之间进行转换。

如下图所示，NAT网关有2个网络端口，其中公共网络端口的IP地址是统一分配的公共 IP，为202.20.65.5；私有网络端口的IP地址是保留地址为192.168.1.1。私有网中的主机192.168.1.2向公共网中的主机202.20.65.4发送了1个IP包(Dst=202.20.65.4,Src=192.168.1.2)。 

 

NAT Gateway的公共IP并转发到公共网，此时IP包（Dst=202.20.65.4，Src=202.20.65.5）中已经不含任何私有网IP的信息。由于IP包的源IP已经被转换成NAT Gateway的公共IP，Web Server发出的响应IP包（Dst= 202.20.65.5,Src=202.20.65.4）将被发送到NAT Gateway。

这时，NAT Gateway会将IP包的目的IP转换成私有网中主机的IP，然后将IP包（Des=192.168.1.2，Src=202.20.65.4）转发到私有网。对于通信双方而言，这种地址的转换过程是完全透明的。转换示意图如下。 

简介

今天我们将学习Squid代理服务器的构建与控制。Squid是Linux系统中最常见的一款开源代理服务软件

可以很好的实现HTTP和FTP，以及DNS查询，SSL等应用的缓存代理，功能十分强大。

结构图



Squid代理服务器

一.squid代理

1.squid代理的作用和特点

1）squid代理的作用

代理程序

2）squid的特点

隐藏内部网络

安全性强

缓存用户访问历史数据

减少带宽资源占用

加快用户访问速度

2.常用的代理程序

1）squid

针对应用层实现

缓存用户历史数据

2）nginx

针对网站配置负载均衡

增加访问并发量

避免单点故障

3.squid的工作原理

1）客户端请求代理

客户端向squid代理发送查询请求

2）squid查询缓存

缓存保存用户数据直接返回客户端

缓存没有用户查询数据，squid请求目标服务器，缓存数据后，返回给客户端‘

4.代理的类型

1）传统代理

管理员需要给客户端手动配置代理服务器

配置工作量大，效率低

2）透明代理

管理员不需要手动给客户端配置代理服务器

防火墙端口映射自动配置代理

2.安装配置代理服务器

1.安装squid代理服务器

1）创建管理squid账户



2）配置squid



3）编译安装



4)修改squid目录的所用者



5）优化squid命令



2.检查squid配置文件和启动服务

1）检查squid配置文件是否有错误



2）初始化缓存目录



3）启动squid服务



3.配置传统代理

1）修改主配置文件

vim /etc/squid.conf



2)检查主配置文件是否错误





3）启动squid服务



4）配置客户端设置代理



测试



设置限制10M







4.配置透明代理

1）开启代理服务器的路由功能



2）配置透明代理

vim /etc/squid.conf

开启代理功能



3）安装防火墙

安装iptables防火墙



清空所有防火墙规则



查看防火墙规则



保护防火墙规则



4）将网站映射到3128端口





三.squid的访问控制

1.访问控制的方式

1）使用访问控制列表

acl     访问控制列表名字    列表类型    列表内容

2）使用http_access调用访问控制列表

http_access allow/deny  访问控制列表

2.访问控制列表限制的类型

1）src

源主机或者网络

2）dst

目标主机或者网络

3）port

目标端口

4）dstdomain

目标域

5）time

访问时间

6)maxconn

访问最大并发数

7）限制特定的目标网络

url_regex -i ^test:// -i不区分大小写

8）整个目标网址限制

Urlpath_regex -i .mp3$ ,不允许下载mp3文件

3.限制特定网络通过squid访问目标

Squid代理服务器
技能展示：

了解代理服务的常见类型

学会构建传统代理，透明代理服务

学会配置Squid的访问控制策略
简介

学习Squid代理服务器的构建与控制。Squid是Linux系统中最常用的一款开源代理访问软件（官方网站为http://www.squid-cache.org）,可以很好地实现HTTP和FTP，以及DNS查询.SSL等应用的缓存代理，功能十分强大。
重点

构建透明代理服务器

Squid服务的访问控制策略
理论讲解

Squid服务基础

本节将介绍缓存代理的工作机制，类型，以及Squid服务的安装和运行控制，主配置文件。

缓存代理概述

作为应用层的代理服务软件.Squid主要提供缓存加速，应用层过滤控制的功能。

1.代理的工作机制

当客户机通过代理来请求Web页面时,指定的代理服务器会先检查自己的缓存,如果缓存中已,经有客户机需要的页面,则直接将缓存中的页面内容反馈给客户机如果缓存中没有客户机要访问的页面,则由代理服务器向henet发送访问请求,获得返回的Web页面以后,将网页数据保存到缓存中并发送给客户机。如下图



HTTP代理的缓存加速对象主要是文字、图像等静态Web元素。使用缓存机制后,当客户机在不同的时候访问同-Web元素,或者不同的客户机访问相同的Web元素时,可以直接从代理服务器的缓存中获得结果,这样就大大减少了向Internet提交重复的Web请求的过程,提高了客户机的Webi问响应速度。

由于客户机的Wet访问请求实际上是由代理服务器来代替完成的,从而可以隐藏用户的真实IP地址,起到一定的保护作用。另一方面,代理服务器担任着类似“经纪人的角色,可以针对要访问的目标、客户机的地址、访问的时间段等进行过滤控制。

2.代理的基本类型

根据实现方式不同,代理服务可分为传统代理和透明代理两种常见的代理服务。

>传统代理:也就是普通的代理服务,首先必须在客户机的浏览器,00聊天工具,下载软件等程序中手动设置代理服务器的地址和端口,然后才能使用代理来访问网络,对于网页浏览器,访问网站时的域名解析请求也会发给指定的代理服务器。

> 透明代理:提供与传统代理相同的功能和服务,其区别在于客户机不需要指定代理服务器的地址和端口,而是通过默认路由,防火墙策略将Web访问重定向,实际仍然交给代理服务器来处理,重定向的过程对客户机来说是"透明"的,用户甚至并不知道自己在使用代理服务,所以称为透明代理,使用透明代理时,网页浏览器访问网站时的域名解析请求将优先发给DNS服务器。

实际应用中,传统代理多见于Internet环境,如为00程序使用代理可以隐藏本机真实P地址为下载工具使用多个代理可以规避服务器的并发连接限制,而透明代理多见于局域网环境,如在Linux网关中启用透明代理后,局域网主机无须进行额外设置就可以享受更好的上网速度。
基础知识

一.squid代理的作用和特定

1）squid代理的作用

代理程序

2）squid的特定

隐藏内部网络

安全性强

缓存用户访问历史数据

减少带宽资源占用

加快用户访问速度

2.常见的代理程序

1）squid

针对应用层实现

缓存用户历史数据

2）nginx

针对网站配置负载均衡

增加访问并发量

避免单点故障	

3.squid的工作原理

1）客户端请求代理

客户端向squid代理发送查询请求

3）squid查询缓存

缓存保存用户数据直接返回客户端

缓存没有用户查询数据，squid请求目标服务器，缓存数据后返回客户端

4.代理的类型

1）传统代理

管理员需要给客户端手动配置代理服务器

配置工作量大，效率低

2）透明代理

管理员不需要手动给客户端配置代理服务器

防火墙端口映射自动配置代理

二．安装配置代理服务器

1.安装squid代理服务器

1）创建管理squid账户

[root@centos03 ~]# useradd -M -s /sbin/nologin squid

2）配置squid

[root@centos03 squid-3.4.6]#./configure --prefix=/usr/local/squid --sysconfdir=/etc –	enable-linux-netfilter --enable-async-io-240 --enable-default-err-languge-Simplify_Chinese –	disable-poll --enable-epoll --enable-gunregex




3）编译安装

[root@centos03 squid-3.4.6]# make && make install


4）修改squid目录的所有者

[root@centos03 ~]# chown -R squid:squid /usr/local/squid/

5）优化squid命令

[root@centos03 ~]# ln -s /usr/local/squid/sbin/* /usr/local/sbin/

6）创建存储日志文件

[root@centos03 ~]# touch  /usr/local/squid/var/logs/cache.log

2.检查squid配置文件和启动服务器

1）检查squid配置文件是否有错误

[root@centos03 ~]#squid -k parse	

2）初始化缓存目录

[root@centos03 ~]# squid -z

3）启动squid服务

[root@centos03 ~]# squid

3.配置传统代理


1）修改主配置文件

[root@centos03 ~]# vim /etc/squid.conf

http_access allow all			允许所有人使用squid

http_port 3128				默认监听端口3128

cache_effective_user squid		管理squid用户

cache_effective_group squid		管理squid组

reply_body_max_size 10 MB		限制用户通过代理下载文件10M

2）检查主配置文件是否错误

[root@centos03 ~]# squid -k parse

3）启动squid服务

[root@centos03 ~]# squid

4）配置客户端设置代理

[root@centos02 ~]# vim /etc/profile

HTTP_PROXY=http://192.168.100.30:3128

HTTPS_PROXY=http://192.168.100.30:3128

FTP_PROXY=http://192.168.100.30:3128

NO_PROXY=192.168.100.10,192.168.100.50

export HTTP_PROXY HTTPS_PROXY FTP_PROXY NO_PROXY

4.配置透明代理


1）开启代理服务器的路由功能

[root@centos03 ~]# vim /etc/sysctl.conf

net.ipv4.ip_forward = 1



2）配置透明代理

[root@centos03 ~]# vim /etc/squid.conf

http_port 3128 transparent 	开启代理功能

3）安装防火墙

[root@centos03 ~]# yum -y install iptables-services	安装iptables防火墙

[root@centos03 ~]# iptables -F					清空所有防火墙规则

[root@centos03 ~]# iptables -L					查看防火墙规则

[root@centos03 ~]# iptables-save 					保存防火墙

4）将网站映射到3128端口

[root@centos03 ~]# iptables -t nat -I PREROUTING -i ens32 -s 192.168.100.0/24 -p tcp 			--dport 80 -j REDIRECT --to 3128

[root@centos03 ~]# iptables -t nat -I PREROUTING -i ens32 -s 192.168.100.0/24 -p tcp 			--dport 21 -j REDIRECT --to 3128

[root@centos03 ~]# iptables -t nat -I PREROUTING -i ens32 -s 192.168.100.0/24 -p tcp 		--dport 443 -j REDIRECT --to 3128

三．squid的访问控制


1.访问控制的方式

1）使用访问控制列表

acl	访问控制列表名字	列表类型	列表内容

2）使用http_access调用访问控制列表

http_access allow/deny	访问控制列表

2.访问控制列表限制的类型

1）Src

源主机或者网络

2）dst

目标主机或者网络

3）Port

目标端口号

4）Dstdomain

目标域

5）time

访问时间

6）max connect

访问最大并发数

7）限制特定的目标网络

url_regex -j ^test:// ,i 不区分大小写

8）整个目标网址限制

Url path_regex -i .mp3$ ,不允许下载mp3文件

3.限制特定网络通过squid访问目标

1）写访问控制列表限制源网络

acl AA src 192.168.100.0/24

2）调用访问控制列表

http_access deny AA

4.通过定义列表名单限制主机

1）创建列表名当

[root@centos03 ~]# vim /etc/ipblock.list

192.168.100.50

2）定义访问控制列表

acl IPBLOCK src “/etc/ipblock.list”

3）调用访问控制列表

http access deny IPBLOCK
感谢观看，拜拜😊😄😁