网络管理与应用10(精品).ppt

《网络管理与应用10(精品).ppt》由会员分享，可在线阅读，更多相关《网络管理与应用10(精品).ppt（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第10章 代理服务器 10.1 代理服务器概述 代理服务器（Proxy）处于客户机与服务器之间，对于服务器来说，Proxy是客户机，Proxy提出请求，服务器响应；对于客户机来说，Proxy是服务器，它接受客户机的请求，并将服务器传来的数据转发给客户机。在设计和规划代理服务器时，一般根据用户需求从两方面考虑：一是从安全角度考虑将代理服务器用作防火墙；二是在一个完全开放的或采用其它类型防火墙的网络中，使用代理服务器来加快网络访问速度。10.2 Windows平台常用代理服务器 10.2.1 WinGate 1.Wingate简介 2.安装并启动WinGate 3.Wingate的三种共享上网方式

2、(1)NAT方式 在GateKeeper的左侧窗格中，单击左下角的“Services”标签，双击其中的相应服务，在打开其属性对话框，在“Connection”选项卡中，选择“Directly”（直接连接）单选项。在客户端TCP/IP网络配置中，将网关和DNS服务器IP地址指向Wingate服务器。(2)WGIC方式这一方式要求在客户端安装Wingate客户端软件。然后针对不同应用服务进行相应的网络访问配置。在客户端启动Wingate客户端软件的“Wingate Internet Client Applet”（WGIC）程序项，选择“Applications”选项卡，如下图所示。对话框显示了Wi

3、ngate客户端安装后，系统默认的一些应用服务程序及其访问方式。(3)Proxy方式 这一共享方式也可针对不同用户进行个性代服务配置。4.WinGate服务器配置(1)配置FTP代理服务 服务器端配置。在GateKeeper的左侧窗格中，单击左下角的“Services”标签，右击“FTP Proxy server”FTP客户端配置（以CuteFTP为例）。启动CuteFTP，单击【工具|全局选项】，弹出“全局选项”对话框(2)配置POP3代理服务 服务器端配置。在GateKeeper的左侧窗格中，右击“POP3 Proxy server”，进入“POP3 Poxy server propert

4、ies”（POP3代理服务器属性）对话框 配置客户端（以OutlookExpress为例）。启动OutlookExpress，单击【工具|帐户】弹出“Internet帐号”对话框。POP3用户名应设置为：POP3用户名+分隔符+POP3服务器，如jack# (3)配置SMTP代理服务 在GateKeeper的左侧窗格的“Services”标签中，右击选择“New service”（新服务），添加一个“SMTP Mapping”服务，进入配置对话框 在客户端，将SMTP服务器设置为WinGate主机名即可(4)配置ICQ代理 服务器端配置。在GateKeeper的左侧窗格的“Services”标

5、签中，右击选择“New service”（新服务），添加一个“UDP Mapping service”(UDP映射服务)，进入配置对话框。选择“General”选项卡，在端口3333上接受连接，默认映射到ICQ服务器，端口：4000。客户端设置。运行ICQ，单击“ICQ”按钮，选择“Preferences”，弹出一个设置窗口。单击“Connection”选项卡，选中“I am using a permanent internet connection(LAN)”以及“I am behind a firewall or proxy”。单击“Firewall set”按钮，选中“I am usin

6、g a SOCKTS4 proxy server”，不选中“Firewall sessions timeout after.”，然后单击“Next”，在SOCKTS4主机项内输入WinGate主机名或地址，端口号设置为1080（与WinGate设置一致）。选中“Use a mapped port on a Proxy”，输入WinGate主机名及ICQ代理使用的端口号3333。(5)IRC代理 服务器端配置。只要在端口6667上建立一个TCP映射代理，映射服务器项输入要登录的IRC服务器，使用Microsoft Chat时，输入“”，端口设置为6667。客户端设置。如果使用MicrosoftC

7、hat客户端不需要附加的设置，只要在登录的服务器项中，输入运行WinGate的主机名字或地址即可。5.访问权限设置 AdministratorAdministrator，即管理员，拥有管理的权力，可以改变别的用户的权限，但必须以该身份启动GateKeeper才能更改Wingate设置。GuestGuest用户用户，所有用户在未被添加为正式用户时都使用Guest作为自己的用户名，由Wingate按默认设置进行管理并提供代理服务。正式用户正式用户，由管理员添加的，有自己独立的帐号的用户。下面通过一个实例介绍如何通过分组来为不同的用户分配权限。假设user1组里的用户限时使用WWW浏览和Socks服

8、务，限制时间为星期一至星期五的上午8:0011:00、下午2:005:00，实行定时开放和关闭，但是收发邮件等其他服务不受限制。user2组的用户不作任何限制。(1)建立用户 选择左侧窗格的Uers标签，右击“Users”，选择“New User”，打开“Properties for new user”对话框(2)建立组 选择左侧窗格的Uers标签，右击“Groups”，选“New Group”，打开“New Group”窗口(3)指派用户，建立用户和主机IP地址的对应关系 双击“Assumed Users”，打开“Assumed Users”对话框，选择“By IP Address”选项卡，

9、单击“Add”按钮，显示“Location”（定位）对话框(4)设置WWW浏览时间限制 单击GateKeeper中“Services”标签，双击“WWW Proxy server”项，在弹出的对话框中单击“Policies”（权限）选项卡，窗口中间有一个“Is granted”列表框，用来显示不同用户或组对应的权限。单击“Add”按钮，打开“Properties for new recipient”窗口，在“Recipient”选项卡中设置分配权限的用户或组。单击“Specify user or group”，选中下面列表框中的“user1”，可以看到“user1”出现在框中。单击“Time”

10、选项卡，“Included times”列表框是设置允许使用时间段，系统到时间会自动开启服务；“Excluded time”列表框是设置拒绝使用时间段，到规定时间会自动关闭服务 6.WinGate高级设置 为防止局域网外的机器“共享”局域网内的代理服务，可通过以下方法实现：(1)把所有的服务只绑定在主机本机和局域网的网卡上，在每一个服务的Bindings选项卡里指定“Specify interface connection will be accepted”（指定允许访问该服务的接口）选项。(2)是使用密码验证，为用户指定密码，同时也可以指定IP范围、登陆时间、能访问网站等。10.2.2 Wi

11、nRoute WinRoute是一个集路由器、DHCP服务器、DNS服务器、NAT、防火墙于一身的代理服务器软件，同时它还是一个可以应用于局域网内部的邮件服务器软件，WinRoute不但可以实现局域网内的所有微机共享一个Internet连接，而且可以实现局域网内部的邮件管理，实现局域网与Internet之间的邮件交换。WinRoute由三个管理工具组成：WinRoute引擎执行所有路由和地址分析操作（包括信息包过滤、端口映射等）；WinRoute引擎监视器用来开始和停止WinRoute引擎；WinRoute管理程序提供了对WinRoute引擎的配置和设置。1.启动WinRoute 在WinRo

12、ute安装完毕重新启动计算机后，从WinRoute管理程序组运行WinRoute引擎监视器。在系统的桌面下角任务栏上显示出一个小圆型的蓝白色图标，这表明WinRoute引擎正在运行，如是有红圆型的图标则表明WinRoute处于停止状态。2.WinRoute接入Internet方式配置(1)专线连接设置方式 采用双网卡。运行WinRoute4.1之后，单击WinRoute主界面上的图标栏倒数第八个图标按钮，或单击“Setting/Interface Table”，弹出对话框，可以看到对话窗口“Interface/NAT”里面装有两块网卡，一块用来与外部因特网连接，配真实IP地址，一块与内部局域网

13、相连，配虚拟IP地址如192.168.1.1。在“Interfaces/NAT”对话框中选择指定的网卡名称，单击属性按钮，弹出“Interface Properties”对话框，该对话框会自动检测到网卡的IP地址以及掩码信息，在“NAT”选项卡的“Setings”选项中，第一个设置选项，是否允许指定的网卡使用NAT选项，接入Internet的那个网卡，必须选中这个NAT复选框，而接入局域网的网卡，则不必选NAT。(2)拨号连接设置方式 设置MODEM的相应参数。在“Interfaces/NAT”的对话框中选择“RAS”，单击“Properties”按钮，将会打开拨号属性对话框来查看拨号网络的属

14、性，再在弹出的窗口中单击“RAS”选项卡 3.代理服务器的设置(1)单击【Settings|Proxy Server】，打开“Proxy Server Setting”对话框，该对话框总共有五个选项卡。(2)设置DHCP服务器单击【Settings|DHCP Server】，打开“DHCP Server”对话框 选中“DHCP Server enabled”，接着用选中“Default Option”（默认选项）后按“Edit”按钮，打开“Change Default Options”（修改默认选项）对话框。该对话框的Options共提供了四个复选项，选中“DNS Server”表示启用了域名

15、转换功能，同时用户可以在右边的“Specify”文本输入框中输入因特网服务商提供的DNS服务器地址，另外还须选中“Lease Time”这一项来指定IP地址的租用时间。单击“Advanced”（高级）按钮，弹出“DHCP Server Advanced”对话框 对话框中的第一个复选项，表示客户机在启动时使用动态IP地址，这样客户机重新启动时就不会占用几个IP地址，第二个复选项表示客户机将自动从远程服务器上获得动态的IP地址。(3)安全性设置 WinRoute4.1提供了两个安全功能，用户可以通过该软件定义一个过滤规则，对经过代理服务器的数据信息进行过滤。还能对外来访问进行隔离，起到了防火墙的作

16、用，自动保护内部网络不受到外部的攻击。单击【Settings|Advanced|Packet Filter】，启动“Packet Filter”对话框。在“Incoming”选项卡上选中连接到Internet的选项，如：网卡、拨号网络“Dial in adapter”，双击打开“Rule”规则对话框，再双击会弹出一对话框 选择“Protocol”（协议）、“Source”（源IP地址）、“Destination”（目标IP地址）和“Action”（动作）。“Action”定义了三个单选项，“Permit”表示允许接纳数据包，“Drop”表示停止接收数据包，但能够将信息保存下来，“Deny”表示

17、拒绝数据包的接收。4.客户端设置 在客户端，只要把TCP/IP网关设置成安装了Winroute4.1的机器IP地址就可以了。10.3 Linux下的代理服务器 Linux下的代理服务器软件很多。但是被广泛应用的只有 Apache、Socks、Squid等几个高性能的代理软件。Apache的主要功能是Web服务器，代理功能只是其中一个模块，Socks虽然强大，但欠灵活。本节以Squid为例讨论Linux下的代理服务器。10.3.1 安装Squid Proxy Server 1.获取软件 可以通过以下途径获取该软件：(1)从Squid的官方站点http:/www.squid-cache.org下载

18、该软件。目前最新的稳定版本是squid-2.5.STABLEX。(2)从linux发行版本中获取该软件。在RedHat Linux7.3安装盘的第二张盘里有squid-2.4.STABLE6-1.7.2.i386.rpm。在linux的安装过程中可以选择此组件，系统会自动将其安装到机器。2.安装软件(1)rpm包的安装#cdcd /mntmnt/cdromcdrom/RedHatRedHat/RPMS/RPMS#rpm -#rpm -ivhivh squid-2.4.STABLE6-1.7.2.i386.rpm squid-2.4.STABLE6-1.7.2.i386.rpm 安装完成。(2)

19、源代码包的安装 从http:/www.squid-cache.org下载squid-2.4.STABLE6-src.tar.gz。将该文件拷贝到/usr/local目录。解开该文件并进行安装#tartar xvzf xvzf squid-2.4.STABLE6-squid-2.4.STABLE6-srcsrc.tar.tar.gzgz。#cdcd squid-2.4.STABLE6 squid-2.4.STABLE6#./configure#./configure#make all#make all#make install#make install10.3.2启动、停止Squid 可以用以下

20、命令启动Squid。#/#/usrusr/local/squid/bin/squid/local/squid/bin/squid 或者，使用RedHat的启动脚本来启动Squid。#/etc/#/etc/rcrc.d/init.d/squid start.d/init.d/squid start 同样地，也可以用下列脚本停止运行Squid或重启动Squid。#/etc/#/etc/rcrc.d/init.d/squid stop.d/init.d/squid stop#/etc/rc.d/init.d/squid restart 10.3.3 Squid的基本配置1.常用的配置选项(1)htt

21、p_port定义Squid监听HTTP客户连接请求的端口。默认是3128，如果使用HTTP加速模式则为80。(2)cache_mem(bytes)指定Squid可以使用的内存的理想值，默认值为8MB。(3)cache_dir指定Squid用来存储对象的交换空间的大小及其目录结构。可以用多个cache_dir命令来定义多个交换空间，并且这些交换空间可以分布不同的磁盘分区。用法为：cache_dir Type Directory-Name Fs-specific-data options如：cache_dir ufs Directory-Name Mbytes L1 L2 options (4)a

22、cl定义访问控制列表。定义语法为：acl aclname acltype string1acl aclname acltype“file”当使用文件时，该文件的格式为每行包含一个条目。(5)http_access 定义根据访问控制列表允许或禁止某一类用户访问。如果某个访问没有相符合的项目，则默认为应用最后一条项目的“非”。比如最后一条为允许，则默认就是禁止。通常把最后的条目设为“deny all”或“allow all”来避免可能出现的访问混乱。2.应用实例 某公司用Squid作代理服务器，该代理服务器配置为PII450/256M/8.4G，公司所用IP段为192.168.1.1/192.16

23、8.1.255，并且想用8080作为代理端口。则相应的Squid配置选项为：(1)cache_mem该服务器只提供代理服务，该值可以尽量设得大一些。cache_mem 194M(2)cache_dir ufs Directory-Name Mbytes Level-1 Level2硬盘为8.4G，在安装系统时应该做好规划，为不同的文件系统划分可用空间。在本例中，可以这样来划分：/cache1 3.5G/cache2 3.5G/var 400Mswap 127M/剩余部分 下面计算所需的第一级和第二级子目录数。已知量：DS=可用交换空间总量（单位KB）/交换空间数目7G/2=3500000KBO

24、S=平均每个对象的大小=20kNO=平均每个二级子目录所存储的对象数目=256未知量：L1=一级子目录的数量L2=二级子目录的数量计算公式：L1 x L2=DS/OS/NO3500000/20/256=684取：L1=16 L2=43 cache_dir语句为：cache_dir ufs /cache1 3500M 16 43cache_dir ufs /cache2 3500M 16 43(3)acl通过src来定义acl.acl allow_ip src 192.168.1.1/192.168.1.255http_access allow allow_ip 10.3.4 Squid的高级配

25、置 1.网络选项tcp_outgoing_addressudp_incoming_addressudp_outgoing_address 2.交换空间设定选项(1)cache_swap_low(percent,0-100)cache_swap_high(percent,0-100)(2)maximum_object_size 3.有关日志的选项(1)cache_access_log (5)pid_filename(2)cache_store_log (6)debug_options (3)cache_log (7)log_fqdn on|off(4)cache_swap_log 4.有关外部支

26、持程序的选项(1)ftp_user设置登录匿名FTP服务器时提供的电子邮件地址，默认值为：ftp_user Squid(2)ftp_list_width 设置FTP列表的宽度，默认值为：ftp_list_width 32(3)cache_dns_program 指定DNS查询程序的完整路径（包括文件的名称及所在的目录）。默认路径为：cache_dns_program /usr/local/squid/libexec/squid/(4)dns_children 设置DNS查询程序的进程数，默认设置为5个。(5)dns_nameservers指定一个DNS服务器列表，强制Squid使用该列表中的D

27、NS服务器而非使用/etc/resolv.conf文件中定义的DNS服务器。默认设置为：dns_nameservers none (6)unlinkd_program 指定文件删除进程的完整路径。默认设置为：unlinkd_program /usr/local/squid/libexec/squid/unlinkd(7)pinger_program 指定ping进程的完整路径，默认为：pinger_program /usr/local/squid/libexec/squid/(8)authenticate_program指定用来进行用户认证的外部程序的完整路径，默认设置为不认证。5.用户访问控

28、制选项(1)request_body_max_size(KB)设置用户请求通讯量的最大允许值(单位为KB)，默认设置为：request_body_max_size 1 MB(2)reference_age Squid根据对象的LRU（最近最少使用算法）来清除对象，默认设置为：reference_age 1 year (3)quick_abort_min(KB)quick_abort_max(KB)quick_abort_pct(percent)6.各类超时设置选项(1)negative_ttl time-units设置消极存储对象的生存时间，默认设置为：negative_ttl 5 minut

29、es(2)positive_dns_ttl time-units 设置缓存成功的DNS查询结果的生存时间。默认为6小时。positive_dns_ttl 6 hours(3)negative_dns_ttl time-units设置缓存失败的DNS查询结果的生存时间。默认为5分钟。negative_dns_ttl 5 minutes(4)connect_timeout time-units设置Squid等待连接完成的超时值。默认值为2分钟。connect_timeout 120 seconds(5)read_timeout time-units在指定的时间内Squid尚未从被请求的服务器读入任

30、何数据，则Squid将终止该客户请求。默认值为15分钟。read_timeout 15 minutes(6)request_timeout设置在建立与客户的连接后，Squid将花多长时间等待客户发出HTTP请求。默认值为30秒。request_timeout 30 seconds(7)client_lifetime time-units设置客户在与Squid建立连接后，可以将该连接保持多长时间，默认值为1天。client_lifetime 1 day(8)half_closed_clients on/off将该值设为off，一旦从客户端返回“no more data to read”的信息，S

31、quid就立即关闭该连接。(9)pconn_timeout设置Squid在与其他服务器和代理建立连接后，该连接闲置多长时间后被关闭。默认值为120秒。pconn_timeout 120 seconds(10)ident_timeout设置Squid等待用户认证请求的时间。默认值为10秒。ident_timeout 10 seconds(11)shutdown_lifetime time-units当 收 到 SIGTERM或 者 SIGHUP信 号 后，Squid进 入 一 种shutdown pending的模式，等待所有活动的套接字关闭。在过了shutdown_lifetime所定义的时间

32、后，所有活动的用户都将收到一个超时信息。默认值为30秒。shutdown_lifetime 30 seconds 7.管理参数选项(1)cache_mgr设置管理员邮件地址。默认为：cache_mgr root(2)cache_effective_user 和cache_effective_group(3)visible_hostname定义返回给用户的出错信息中的主机名。如：visible_hostname www-cache.foo.org(4)unique_hostname有一个代理服务器阵列，且为每个代理服务器指定了同样的“visible_hostname”，则同时须为它们指定不同的“

33、unique_hostname”来避免“orwarding loops”（传输循环）发生。8.其它杂项(1)dns_testnames 设置进行DNS查询测试。(2)logfile_rotateSquid会定期的将日志文件更名并打包。(3)err_html_text定义一个字符串变量，可以用L在返回给用户的错误信息文件中引用。(4)deny_info定制自定义的拒绝访问信息文件，并且可以和不同的用户列表相关联。(5)memory_pools on|off将该项设为on，则Squid保留所有已经分配（但是未使用）的内存池以便在将来使用。默认为on.memory_pools on (6)log_i

34、cp_queries on|off 设置是否对ICP请求作日志。如果系统负载很大，可以用 off来取消该功能。默认为：log_icp_queries on(7)always_direct 允许指定某些用户类，Squid将这些用户类的请求直接转 发给被请求的服务器。语法为：always_direct allow|deny!aclname 例如，直接转发FTP请求可以这样设置：acl FTP proto FTP always_direct allow FTP(8)never_direct 与always_direct相反。语法为：never_direct allow|deny!aclname (9

35、)icon_directory指明向用户传送错误信息时所用到的图标文件的目录。默认路径为：icon_directory /usr/local/squid/etc/icons(10)error_directory向用户传送错误信息所用到的错误描述文件的目录。默认路径为：error_directory/usr/local/squid/etc/errors 10.3.5 用户认证设置 Ncsa是Squid源代码包自带的认证程序之一，下面以squid-2.4.STABLE6版本为例讲述Ncsa的安装和配置。（1）进入/usr/local/squid-2.4.STABLE6/auth_modules/N

36、CSA目录。#makemake#make instal#make install l（2）拷贝生成的执行文件ncsa_auth到/usr/bin目录#cp#cp ncsa ncsa_auth/_auth/usrusr/bin/bin/(3)修改squid.conf中的相关选项如下所示：authenticate_program/usr/local/squid/bin/ncsa_auth/usr/local/squid/etc/passwd (4)定义相关的用户类 acl auth_user proxy_auth REQUIRED 注意，REQUIRED关键字指明了接收所有合法用户的访问。(5)设

37、置http_access http_access allow auth_user manager all(6)利用工具软件htpasswd在/usr/local/squid/etc下生成密码文件并添加相应的用户信息。例如，用htpasswd生成密码文件passwd并添加用户bye。#htpasswdhtpasswd-c/-c/usrusr/local/squid/etc/local/squid/etc/passwdpasswd bye bye 然后重新启动Squid，密码认证已经生效。2.Smb用户认证的实现(1)系统需求 Squid2.0以上版本。Samba2.0.4以上版本(2)从以上所提

38、供的地址处下载smb_auth-0.05.tar.gz(3)展开文件：tar xvzf smb_auth-0.05.tar.gz tar xvzf smb_auth-0.05.tar.gz(4)修改Makefile中的SAMBAPREFIX和INSTALLBIN参数。SAMBAPREFIX=/usr/local，INSTALLBIN=/usr/local/squid/bin (5)#makemake(6)#make install#make install成功后会在INSTALLBIN指定路径中生成可执行文件smb_auth。(7)设置要用于认证的主域控制器(8)修改squid.conf中的相

39、关选项，如下所示：authenticate_program/usr/local/squid/bin/smb_auth your_domain_name(9)定义相关的用户类acl auth_user proxy_auth REQUIRED(10)设置http_access http_access allow auth_user然后重新启动Squid，密码认证已经生效。3.squid.conf中关于认证的其他设置(1)authenticate_children 设置认证子进程的数目。默认为5个。(2)authenticate_ttl设置一次认证的有效期，默认是3600秒。(3)proxy_aut

40、h_realm设置用户登录认证时向用户显示的域名。10.3.6 透明代理的设置 1.Linux的相关配置确定内核已经配置了以下特性：*Network firewalls Socket Filtering*Unix domain sockets*TCP/IP networking IP:multicasting IP:advanced router IP:kernel level autoconfiguration*IP:firewalling IP:firewall packet netlink device*IP:always defragment(required for masquera

41、ding)*IP:transparent proxy support 2.Squid的相关配置选项设置squid.conf中的相关选项，如下所示：http_port 3218httpd_accel_host virtualhttpd_accel_port 80httpd_accel_with_proxy onhttpd_accel_uses_host_header on 3.网关配置 接收所有的回送包：/sbin/ipchains-A input-j ACCEPT-i lo将目标端口为80的TCP包重定向到3128端口/sbin/ipchains-A input-p tcp-d 0.0.0.0

42、/0 80-j REDIRECT 80 echo 1 /proc/sys/net/ipv4/ip_forward 10.3.7 代理服务器阵列的实现 1.代理服务器阵列的概念代理服务器阵列的概念所谓代理服务器阵列就是将一组在逻辑上是父子关系的代理服务器组合在一起，通过特定的缓存协议通信，从而在逻辑上构成一个具有更大缓存，更强处理能力的代理服务器。2.Squid中配置代理服务器阵列中配置代理服务器阵列通过squid.conf配置文件中的cache_peer选项来配置代理服务器阵列，通过其他的选项来控制选择代理伙伴。Cache_peer的使用格式如下：cache_peer hostname typ

43、e http_port icp_port options 3.Peer的选择的选择 可以使用特定的规则来选择不同的父代理服务器，从而达到均衡代理服务器负载的目的，常用的选择规则有：(1)cache_peer_domain 通过目的域进行选择 用法：cache_peer_domain cache-host domain domain.cache_peer_domain cache-host !domain (2)通过访问控制列表进行选择cache_peer_access用法：cache_peer_access cache-host allow|deny!aclname.(3)通过URL进行选择4

44、.配置实例配置实例假设ISP提供了代理服务器()，该代理服务器的监听端口为8080，不支持ICP协议。局域网使用私有IP（假设为192.168.1.0）来配置客户端。为了使使用私有IP的客户机可以上网，使用Squid作代理服务器。局域网和ISP之间通过DDN专线进行互联。则squid.conf中的相关配置如下所示。acl local src 192.168.1.0/255.255.255.0acl all src 0.0.0.0/0.0.0.0http_access allow localhttp_access deny all cache_peer parent 8080 7 default

45、 no-query 10.3.8 Squid的加速器模式 1.Squid加速器模式的概念 所谓Squid的加速器模式，就是用Squid代替Web服务器接受Web客户端的请求，然后再由Squid请求Web服务器并将得到的数据返回给Web客户端。2.Squid中的加速器模式配置选项(1)httpd_accel_host hostnamehttpd_accel_port port定义被加速的Web服务器的主机名（hostname）和（port），hostname可以是主机名或服务器的IP地址。并且，只能定义一个port，因为加速请求只能转发到一个端口。(2)httpd_accel_with_prox

46、y on/off当定义了httpd_accel_host时，默认地，Squid的缓存功能就被取消了，这时如果还想使用Squid的缓存功能，可以设置该值为on。(3)httpd_accel_uses_host_header on/off一般说来，一个HTTP请求包含三个部分：传送的方法，请求文件的路径，HTTP的版本号。因此在加速一个以上的Web服务器时，Squid无法知道请求的是哪一个Web服务器。从HTTP1.1开始，HTTP标准开始支持一个特定的主机头（host header），从而可以方便地定位文件的正确位置。如果要加速一个以上的Web服务器，可以设置该值为on。3.Squid加速模式的

47、配置实例 实例实例1 1：Web服务器和Squid在同一台服务器上假设Web服务器和Squid在同一台服务器上，Web服务器的监听端口为3721。在这种情况出下，Squid在80端口监听客户请求，因为两个进程不可能监听在同一台服务器的同一个端口上，所以需要该Web服务器的监听端口为非80端口。相关的配置选项如下：http_port 80httpd_accel_host 127.0.0.1acl accel_host dst 127.0.0.1/255.255.255.255httpd_accel_port 3721acl accel_ort port 3721httpd_accel_with_

48、proxy onacl all src 0.0.0.0/0.0.0.0no_cache deny acceleratedHosthttp_access allow accel_host accel_port http_access allow all 实例实例2 2Web服务器和Squid位于不同的服务器上如果Web服务器和Squid位于不同的服务器上时，Web服务器和Squid就可以采用同样的监听端口。具体的配置选项如下：http_port 80httpd_accel_host 192.168.1.80acl accel_host dst 192.168.1.80/252525255http

49、d_accel_port 80 acl accel_port port 8000httpd_accel_with_proxy onacl all src 0.0.0.0/0.0.0.0http_access allow accel_host accel_porthttp_access allow all10.3.9 关于关于Squid日志的说明日志的说明1.Squid日志系统的构成(1)access.log该文件主要包含了客户访问的相关信息，如客户机的IP地址，访问的站点，访问的流量大小等等。一般的Squid日志分析程序主要是基于该文件的。(2)cache.log该文件包含着Squid服务进程

50、的相关信息，如启动的状态，错误信息等。(3)store.log该文件包含缓存中存储对象的相关信息，如对象存储的时间，对象的大小，对象超期的时间等。2.access.log日志文件的格式说明 access.log可以有两种基本的格式，一种native日志文件格式，另外一种是common日志文件格式。native日志文件格式如下所示：time elapsed remotehost code/status bytes method URL rfc931 peerstatus/peerhost type(1)time：UNIX时间邮票，以毫秒计。(2)elapsed：用户请求所花费的时间。(3)rem