Интернет магазин китайских планшетных компьютеров |
|
Компьютеры - Squid - Описание архитектуры07 мая 2011Оглавление: 1. Squid 2. Описание архитектуры Списки контроля доступаДля контроля доступа к ресурсам и определения ряда действий используются списки контроля доступа. Каждый ACL может состоять из нескольких критериев:
ИдентификацияSquid поддерживает несколько видов идентификации пользователей:
Для идентификации по логину/паролю возможно использовать:
Ограничение доступа для группРедиректорыSquid имеет возможность переписывать запрашиваемые URL. Squid может быть сконфигурирован так, чтобы пропускать входящие URL через процесс редиректора выполняемого как внешний процесс, который возвращает новый URL или пустую строку, обозначающую отсутствие изменений. Редиректор не является стандартной частью пакета Squid. Редиректор предоставляет администратору контроль за передвижениями пользователей. Использование редиректора в сочетании с прозрачным проксированием дает простой, но эффективный контроль, над доступом к нежелательным ресурсам. Программа-редиректор должна читать URL со стандартного входа и записывать измененные URL или пустые строки на стандартный выход. Нужно заметить, что программа-редиректор не может использовать буферизированный ввод/вывод. Squid дописывает дополнительную информацию после URL, которую редиректор может использовать для принятия решения. SAMS программное средство для администрирования доступа пользователей к прокси-серверу Squid. На данный момент SAMS настраивает работу редиректоров: • Редиректор SAMS редиректор, работающий напрямую с базами SAMS • SquidGuard очень мощный редиректор. • Стандартный SQUID простейший редиректор, описанный в документации к SQUID Виды редикторов:
Написан специально для SAMS, напрямую использует информацию, содержащуюся в базе данных. Позволяет включить различное перенаправление запросов для пользователей. Редиректор SAMS обеспечивает: • ограничение доступа пользователей к SQUID • контроль времени доступа пользователей к SQUID • ограничение доступа пользователей к запрещенным ресурсам • перенаправление запросов пользователей к баннерам, счетчикам и т. п.
Мощный редиректор с большими возможностями. В состав редиректора входят списки баннерных, порно и пр. доменов. SAMS добавляет в файл конфигурации SquidGuard squidguard.conf настройки на списки запрещенных доменов и перенаправления доступа SAMS. Настройки на списки, идущие с SquidGuard не изменяются и не удаляются. При использовании редиректора SquidGuard в файл squid.conf заносятся acl, разрешающие доступ всех пользователей к SQUID. Ограничение доступа пользователей организовано средствами редиректора.
Этот редиректор описан в документации на SQUID. Написан на perl. Редиректор создается после подачи команды на реконфигурирование SQUID, на основе списков перенаправления запросов. Быстрый и легкий редиректор, но не различает пользователей. При использовании этого редиректора, ограничение доступа пользователей по спискам запрета доступа организовано с использованием ACL SQUID. При использовании редиректора SQUID или если редиректор не используется вовсе, то в существует возможность при отключении пользователей за превышение трафика у них остается доступ к URL и IP адресам, прописанным в списке «Локальные домены». Ограничение максимальной скорости соединенияОграничение максимальной скорости получения пользователем в squid реализовано с помощью механизма англ. delay pools. Механизм ограничения скорости работает по принципу бассейна), в который «втекает» и «вытекает» информация. Отдельные конфигурируемые подобным образом области памяти называются англ. bucket. У ведра есть параметры: «ёмкость», «скорость наполнения». Если пользователь получают информацию на скорости ниже, чем «скорость наполнения», то ведро всегда полно. Если пользователь кратковременно поднимает скорость получения информации выше скорости наполнения, то до момента, пока ведро не пусто, он не ограничивается по скорости, как только ведро становится пустым, клиент получает информацию со скоростью наполнения ведра. В случае наличия групповых и индивидуальных ведёр, они включаются последовательно. Существует три типа delay pools:
Для каждого ведра указываются два параметра: ёмкость и скорость наполнения. −1 означает «без ограничения». Попадание пользователей в то или иное ведро определяется списками доступа к вёдрам, они просматриваются в порядке упоминания в файле конфигурации до первого совпадения. Пользователи, не попадающие ни в одно из вёдер, в скорости не ограничиваются. Обратное кэшированиеОдной из особенностей squid является возможность работать в режиме «обратного прокси», также известного как «ускоритель». В этом случае вместо кэширования запросов нескольких пользователей к множеству сайтов, кешируются запросы множества пользователей к нескольким сайтам. В этом режиме принятый запрос проверяется на «динамичность» и «возраст». Если данные ещё актуальны и не поменялись, то запрос не передаётся серверу, а отдаётся из кеша squid’а. Таким образом существенно снижается нагрузка на серверы. Кроме того, «обратный прокси» способен распределять запросы между несколькими серверами, балансируя нагрузку и/или обеспечивая отказоустойчивость, то есть фактически предоставляет функциональность, аналогичную кластеру. Режим прозрачного прокси-сервераВ сочетании с некоторыми межсетевыми экранами и маршрутизаторами squid может работать в режиме прозрачного прокси. В этом режиме маршрутизатор вместо того, чтобы сразу пересылать HTTP-запросы пользователя HTTP-серверу в Интернете, перенаправляет их прокси-серверу, который может работать как на отдельном хосте, так и на самом маршрутизаторе. Прокси-сервер обрабатывает запрос, это содержимое направляется к запросившему пользователю, для которого оно выглядит как «ответ» сервера, к которому адресовался запрос. Таким образом, пользователь может даже не знать, что все запросы и ответы прошли через прокси-сервер. При таком подходе проксирования аутентификация не предусмотрена, так как прозрачность проксирования это и подразумевает. Достоинства
Недостатки
Просмотров: 2460
|