linux网关及安全应用第4章构建squid代理服务器理论课教案焦可伟.docx
《linux网关及安全应用第4章构建squid代理服务器理论课教案焦可伟.docx》由会员分享,可在线阅读,更多相关《linux网关及安全应用第4章构建squid代理服务器理论课教案焦可伟.docx(12页珍藏版)》请在冰点文库上搜索。
linux网关及安全应用第4章构建squid代理服务器理论课教案焦可伟
《linux网关及安全应用》理论课教案
第4章(构建squid代理服务器)
《linux网关及安全应用》理论课教案1
一.课程回顾1
二.本章工作任务(问题列表)2
三.本章技能目标2
四.本章重点难点2
4.1课程重点2
4.2课程难点2
五.整章授课思路[100分钟]3
5.1本章授课思路:
3
5.2预习检查、任务、目标部分[10分钟]3
5.3技能点讲解[80分钟]4
5.4总结[6分钟]采用提问方式,注意引导学员回答重点即可!
7
六.布置作业:
[4分钟]8
6.1本章作业8
6.2作业的提交方式与要求8
6.3课后习题答案8
七.习题8
课时:
2学时
授课人:
焦可伟
一.课程回顾
❑SNAT、DNAT分别表示什么,有哪些典型应用?
SNAT:
修改数据包源地址,典型应用——实现局域网用户共享单个公网IP地址接入Internet
DNAT:
修改数据包目标地址、目标端口,典型应用——在Internet中发布局域网内的应用服务器(如网站、邮件等)
❑netfilter-layer7补丁文件包的作用是什么?
netfilter-layer7补丁文件包包含了对Linux内核、iptables的补丁文件
❑编译并安装Linux内核包括哪些基本步骤?
编译并安装Linux内核的基本步骤包括:
解包(tar)、配置(makemenuconfig)、编译(make)、安装模块(makemodules_install)、安装内核(makeinstall)
❑在配置Linux内核时,对于特定的功能项,可以有哪些选择方式?
不编译([])、编入内核([*])、编为模块([M])
二.本章工作任务(问题列表)
❑公司接入Internet的带宽有限,而需要上网的用户较多,如何配置Squid代理服务器以平衡这种矛盾?
❑在Linux网关上如何禁止局域网用户下载超过限制大小的文件?
❑公司在Linux网关上架设了Squid代理服务,如何结合防火墙进行配置,以避免大量客户端的重复设置工作?
❑如何配置使用Squid反向代理,以适当提高Internet访问公司网站服务器的速度?
三.本章技能目标
❑熟悉代理服务器的原理
❑会使用Squid搭建传统代理服务
❑会配置Squid的访问控制
❑会结合iptables、Squid搭建透明代理服务
❑会使用Squid搭建反向代理服务
四.本章重点难点
4.1课程重点
⏹缓存代理的原理
⏹基本代理功能的实现
⏹ACL访问控制
⏹透明代理
4.2课程难点
⏹ACL访问控制
⏹透明代理
⏹反向代理
(强调:
这个知识点即是重点也是难点,需要在课上强调)
五.整章授课思路[100分钟]
5.1本章授课思路:
本章主要讲述Squid代理服务器的构建,侧重于基本代理功能的实现和ACL(访问控制列表)的使用、透明代理服务的构建,传统代理、透明代理以及反向代理的特点和用途,应该让学员理解透彻。
基本代理功能的实现、访问控制列表、透明代理和反向代理的案例需要演示。
5.2预习检查、任务、目标部分[10分钟]
1)预习检查:
(2分钟)
❑什么是代理服务器?
❑通过squid实现代理服务器?
❑ACL的概念。
2)技能目标讲解:
(4分钟)
1.熟悉代理服务器的原理
2.会使用Squid搭建传统代理服务
3.会配置Squid的访问控制
4.会结合iptables、Squid搭建透明代理服务
5.会使用Squid搭建反向代理服务
3)课程结构:
(4分钟)
5.3技能点讲解[80分钟]
1)缓存代理概述[10分钟]
a)引入:
以提问的方式来引入,提问什么是代理服务器?
然后说明代理服务器的基本工作原理,根据PPT图示来说明缓存代理的原理。
b)讲解要点:
缓存代理:
❑通过缓存的方式为用户提供Web访问加速
❑对用户的Web访问进行过滤控制
包括:
❑普通代理服务
❑透明代理服务
❑反向代理服务
2)squid基本配置[20分钟]
a)引入:
介绍了代理服务器概念和缓存代理原理后,来说明如何实现代理服务。
在linux系统下实现代理服务使用的软件是Squid。
b)讲解要点:
Squid介绍:
RHEL5自带的代理服务软件包squid的相关内容
接下来介绍主配置文件squid.conf中的常用配置项
需要修改squid.conf配置文件之前,提醒学员先作好备份(squid提供了一个默认配置squid.conf.default,也可以用作备份)
squid软件包
Ø软件包名:
squid-2.6.STABLE6-3.el5
Ø服务名:
squid
Ø主程序:
/usr/sbin/squid
Ø配置目录:
/etc/squid/
Ø主配置文件:
/etc/squid/squid.conf
Ø默认监听端口:
TCP3128
Ø默认访问日志文件:
/var/log/squid/access.log
Squid配置文件常用配置项:
http_port3128
cache_mem64MB
maximum_object_size4096KB
reply_body_max_size10240000allowall
access_log/var/log/squid/access.logsquid
visible_hostname
dns_testnames
cache_dirufs/var/spool/squid10016256
c)课堂案例:
案例一:
实现基本的代理服务
简单需求:
1.为局域网用户(192.168.1.0/24)访问Internet网站提供缓存加速
2.禁止所有用户通过代理下载超过10M大小的文件
3.Internet中的Web站点“”可以先使用IP地址,以方便测试218.29.30.29
d)小结采用提问方式,注意引导学员回答重点即可!
1.squid服务的主配置文件、访问日志文件各是什么?
主配置文件和访问日志文件:
/etc/squid/squid.conf、/var/log/squid/access.log
2.什么配置项用于设置代理服务器的监听端口?
http_port
3.什么配置项可用于限制为客户端缓存的最大文件?
maximum_object_size
4.什么配置项可用于限制客户端下载的最大文件大小?
reply_body_max_size
5.cache_mem、visible_hostname配置的作用是什么?
cache_mem设置用于缓存数据的物理内存大小、visible_hostname设置代理服务器的FQDN主机名
6.哪些方式可以对squid服务的缓存目录进行初始化?
初始化缓存目录:
servicesquidstart、squid-z
3)配置透明代理[20分钟]
a)引入:
代理服务适用于企业的网关主机(共享接入Internet)中,基本代理服务要求客户端进行相应的设置才可以,如果客户机不需要指定代理服务器地址、端口等信息
,需要设置防火墙策略将客户机的Web访问数据转交给代理服务程序处理。
这就是所谓的透明代理。
b)讲解要点:
实现透明代理的基本条件
前提:
❑客户机的Web访问数据要能经过防火墙
❑代理服务构建在网关(防火墙)主机中
配置要求:
❑代理服务程序能够支持透明代理
❑设置防火墙规则,将客户机的Web访问数据自动重定向给代理服务程序处理
配置透明代理基本实现步骤:
❑修改squid.conf配置文件,并重新加载该配置
http_port192.168.1.1:
3128transparent
❑添加iptables规则
iptables-tnat-IPREROUTING-ieth1-s192.168.1.0/24-ptcp--dport80-jREDIRECT--to-ports3128
❑客户机浏览器
不需要在浏览器中指定代理服务器的地址、端口
❑验证透明代理的实施效果
4)配置反向代理[30分钟]
a)引入:
传统代理也好、透明代理也好,大多是为局域网用户访问Internet中的Web站点提供缓存代理;而反向代理恰恰相反,主要为Internet中的用户访问企业局域网内的Web站点提供缓存加速,是一个反方向的代理过程。
b)讲解要点:
配置反向代理:
基本实现步骤:
修改squid.conf文件,并重新加载该配置
配置参数格式:
cache_peerWeb服务器地址服务器类型http端口icp端口[可选项]
5.4总结[6分钟]采用提问方式,注意引导学员回答重点即可!
提问:
(一)在squid.conf配置文件中,使用什么配置项指定Squid服务器监听的IP地址、端口?
(二)为squid服务新增访问控制策略时包括哪些步骤?
(三)配置透明代理服务器时,应该如何添加相应的防火墙规则?
(四)反向代理的原理和主要用途是什么?
六.布置作业:
[4分钟]
6.1本章作业
a)课后选择题:
P98
b)课后简答题:
P105题1、2、3、4、5
c)抄写和背诵本章单词列表
d)完成本章实验案例一、案例二
6.2作业的提交方式与要求
a)课后选择题:
把答案写在课本上
b)课后简答题:
作业写在作业本上,下次上课提交
c)抄写和背诵本章单词列表:
写在作业本上,至少5遍
d)完成本章实验案例一和案例二:
提交实验报告
6.3课后习题答案
1.D
2.B
3.A
4.A
5.B
七.习题
1.在linux系统中,使用squid实现代理服务器,可以实现的缓存代理方式有:
()(选择三项)
A.普通代理
B.透明代理
C.正常代理
D.反向代理
正确答案:
ABD
考点:
代理服务器的原理[★]
2.通过squid代理服务器软件可以实现缓存代理的功能,关于/etc/squid/squid.cond配置项描述错误的是:
()
A.http_port用来设置代理服务器监听的地址和端口
B.cache_mem设置用于缓存功能的内容空间大小
C.maximum_object_size允许保存到缓存目录的数据容量的大小
D.cache_dir设置缓存数据时使用的目录参数
正确答案:
C
考点:
squid.conf文件常用配置的含义[★★]
3.在配置squid代理服务器时,设置服务器端以便实现代理功能时,需要进行初始化squid缓存目录,可以使用的命令有()
A.squid
B.squid-z
C.squid-D
D.squid-k
正确答案:
B
考点:
设置Squid普通代理服务[★★★]
4.在squid配置中使用ACL访问控制时,访问控制规则的匹配顺序,说法正确的是()(选择两项)
A.没有设置任何规则时,将允许所有客户端的访问请求;
B.没有设置任何规则时,将拒绝所有客户端的访问请求;
C.有规则但找不到相匹配的项时,将全部允许;
D.有规则但找不到相匹配的项时,将采用与最后一条规则相反的权限;
正确答案:
BD
考点:
Squid代理服务的访问控制[★★★]
5.通过squid配置和iptables规则实现了透明代理后,客户端是否需要做适当的配置。
()(选择两项)
A.不需要做任何配置
B.需要做配置项,设置客户端的网关地址即可
C.不需要在浏览器中指定代理服务器的地址、端口
D.需要在浏览器中指定代理服务器的地址、端口
正确答案:
BC
考点:
设置Squid透明代理服务[★★★]
6.使用squid代理服务器实现反向代理时,哪个配置项可以用于指定真正的Web服务器的位置?
()
A.cache_dir
B.cache_host
C.Vhost
D.cache_peer
正确答案:
D
考点:
设置Squid反向代理服务[★★]
升级会员 