用Squid代理服務(wù)實(shí)現(xiàn)對校園網(wǎng)數(shù)字資源的遠(yuǎn)程訪問

王宇一，陳正權(quán)

（江蘇信息職業(yè)技術(shù)學(xué)院 現(xiàn)代教育技術(shù)中心，江蘇 無錫 214153）

隨著校園數(shù)字化建設(shè)的推進(jìn)，校園網(wǎng)上的數(shù)字資源越來越多，廣大師生員工對校園網(wǎng)的訪問也越來越多，學(xué)校各項(xiàng)工作的開展幾乎都依賴于校園網(wǎng).眾所周知，校園網(wǎng)上的資源分為兩種：一種是面向公眾的開放信息，登錄到Internet的任何人均可瀏覽；另一種是僅對校園網(wǎng)內(nèi)用戶開放的內(nèi)部資源，如期刊數(shù)據(jù)庫、電子圖書、精品課程等.對于有數(shù)字版權(quán)的數(shù)字資源要遵守?cái)?shù)字版權(quán)保護(hù)的規(guī)定，這就使得學(xué)校所購買的數(shù)字資源都有IP地址范圍的限制訪問，即校內(nèi)用戶可使用而校外合法用戶卻無法使用這些數(shù)字資源[1]，為此本文提出了一種Squid代理服務(wù)技術(shù)來解決這個(gè)問題.

1 Proxy Server的工作機(jī)制

代理服務(wù)器是接受網(wǎng)絡(luò)用戶的服務(wù)請求，代替網(wǎng)絡(luò)用戶去訪問目標(biāo)服務(wù)器，然后將用戶所要的信息取回并傳送給用戶.許多Proxy Sever均具有緩沖功能，且存儲(chǔ)空間較大，可將新取的數(shù)據(jù)不斷地儲(chǔ)存到代理服務(wù)器的Cache中.若其他用戶請求的數(shù)據(jù)在Proxy Server的Cache中已經(jīng)存在而且是最新的，那么它就不用到目標(biāo)服務(wù)器去取數(shù)據(jù)，而是將Cache中的數(shù)據(jù)直接傳送給用戶，大大地提高了響應(yīng)速度和瀏覽效率[2].

本文選用的Squid軟件是基于cache（高速緩存）代理服務(wù)器軟件，它支持多種協(xié)議，如HTTP、FTP、SSL等，該軟件具有功能強(qiáng)、效率高、響應(yīng)快、運(yùn)行穩(wěn)定和設(shè)置簡單等優(yōu)點(diǎn)，只要對配置文件（squid.conf）進(jìn)行修改即可實(shí)現(xiàn)代理功能.

2 Proxy Server的作用

2.1 共享上網(wǎng)，分隔內(nèi)外網(wǎng)

通過代理服務(wù)器共享上網(wǎng)，可加快內(nèi)網(wǎng)用戶的訪問速度，解決公網(wǎng)IP的不足，讓眾多LAN用戶共享上網(wǎng)，還可作為Firewall將內(nèi)外網(wǎng)隔開，并具有監(jiān)控網(wǎng)絡(luò)和記錄傳輸信息的作用，而且加強(qiáng)了LAN的安全，方便了上網(wǎng)用戶的管理.

2.2 通過代理，加速訪問

在網(wǎng)絡(luò)出現(xiàn)故障或擁塞時(shí)，通過Proxy Server訪問目標(biāo)網(wǎng)站，可明顯加快訪問速度.比如假設(shè)甲是代理服務(wù)器，乙要訪問丙，但乙到丙出現(xiàn)問題，此時(shí)乙繞道通過甲，再由甲到丙.此外在代理服務(wù)器的緩存文件中存有不少數(shù)據(jù)，如果當(dāng)前所訪問的數(shù)據(jù)就在此文件中，那么就直接讀取，就不需要去訪問遠(yuǎn)程的WWW服務(wù)器，這樣就大大加快了訪問速度.

2.3 隱藏自己，以防攻擊或攻擊目標(biāo)

有了代理服務(wù)器，我們可以隱藏自己真實(shí)的地址，以防黑客攻擊.其實(shí)黑客也是經(jīng)常通過代理服務(wù)器來實(shí)施各種攻擊活動(dòng)的，比如掃描、刺探，對內(nèi)網(wǎng)進(jìn)行滲透等，一般黑客是通過多級(jí)跳板中轉(zhuǎn)后來攻擊目標(biāo)機(jī)器的，這樣就可以隱藏自己的身份，保證自身的安全.

2.4 突破限制，提高速度

對于LAN對上網(wǎng)用戶的端口、目標(biāo)網(wǎng)站、游戲、QQ軟件等限制，可以用代理服務(wù)器來突破.目前許多站點(diǎn)都提供了下載資源，但有IP地址和線程的限制，為了提高下載速度，突破下載限制，我們可以設(shè)置一個(gè)線程一個(gè)代理，用來突破IP的限制，這樣就可通過不同的代理服務(wù)器同時(shí)從WEB和FTP上下載多個(gè)資源.由于用戶賬號(hào)的限制，代理服務(wù)器就不能突破論壇里面對資源的限制[3].

2.5 保護(hù)私有資源，只允許授權(quán)用戶訪問私有資源

一般防火墻只允許內(nèi)網(wǎng)訪問外網(wǎng)，但禁止外網(wǎng)訪問內(nèi)網(wǎng)，這就造成了合法用戶無法從外網(wǎng)訪問內(nèi)網(wǎng).為此，互聯(lián)網(wǎng)工作委員會(huì)專門制定了RFC1928，即SOCKS v5協(xié)議.該協(xié)議是位于應(yīng)用層與傳輸層之間，它以代理原理為基礎(chǔ)，對用戶的合法性進(jìn)行驗(yàn)證，同時(shí)給合法用戶授予一定的訪問權(quán)限，這樣合法用戶就可以訪問被保護(hù)的內(nèi)網(wǎng)資源.

3 squid代理服務(wù)在遠(yuǎn)程訪問數(shù)字資源中的具體應(yīng)用

現(xiàn)在不少學(xué)校都購置了如維普、知網(wǎng)、超星、匯文等數(shù)字資源.由于數(shù)字版權(quán)保護(hù)的原因，它們大多采用了訪問控制技術(shù)，通過限制訪問者的IP地址來限制服務(wù)的地域范圍.例如，在江蘇信息學(xué)院，要瀏覽或下載這些資源，必須是校園網(wǎng)用戶，否則就不能使用.但有不少教職工希望在家里也能訪問這些數(shù)字資源.為了滿足教職工的要求，我們架設(shè)了Squid代理服務(wù)器，通過代理服務(wù)器的用戶身份驗(yàn)證來實(shí)現(xiàn)對校園網(wǎng)數(shù)字資源的遠(yuǎn)程訪問.在Squid代理服務(wù)器上，我們?yōu)槊恳晃恍枨笳咴O(shè)置一個(gè)賬戶，通過用戶身份驗(yàn)證后，他們在家中只要簡單設(shè)置即可訪問.

3.1 服務(wù)器端的安裝與配置

3.1.1 Squid的安裝

先從http://www.acmeconsulting.it/SquidNT/download.html上下載Squid for Windows版本，然后解壓此ZIP文件到C盤的根目錄生成一個(gè)squid文件夾，即C:squid.接著在命令提示符窗口中運(yùn)行如下命令：

C:squid＞copy c:squidetcsquid.conf.default squid.conf.

3.1.2 Squid的配置

1）配置squid.conf文件

雙擊打開【我的電腦】，雙擊打開C:squid文件夾中的squid.conf文件，用文本編輯器對配置文件Squid.conf進(jìn)行修改，內(nèi)容如下：

auth_param basic program c:/squid/libexec/ncsa_auth.exe c:/squid/etc/passwd

auth_param basic children 10 #指定認(rèn)證程序的進(jìn)程數(shù)

auth_param basic realm 蘇信院代理 #瀏覽器窗口彈出輸入用戶/密碼對話框時(shí)的顯示內(nèi)容

auth_param basic credentialsttl 10 minute #基本的用戶認(rèn)證有效時(shí)間10分鐘，超過時(shí)間需再次認(rèn)證

auth_param basic casesensitive off #不區(qū)分大小寫

acl password proxy_auth REQUIRED #用戶需要通過認(rèn)證才能訪問Internet

#定義訪問Squid的IP地址、訪問列表及其對應(yīng)的名稱

acl all src all

acl manager proto cache_object

acl localhost src 127.0.0.1/32 #定義所有來自127.0.0.1/32的機(jī)器對應(yīng)的名稱為localhost

acl to_localhost dst 127.0.0.0/8

acl SSL_ports port 443

acl Safe_ports port 80 #http

acl CONNECT method CONNECT

http_access allow manager localhost #允許本地的manager上網(wǎng)

http_access deny manager #不允許非本地的manager上網(wǎng)

http_access deny！Safe_ports #拒絕通過非Safe_ports列表中端口進(jìn)行http訪問

http_access deny CONNECT！SSL_ports #拒絕通過非ssl_ports列表中端口連接進(jìn)行http請求

http_access allow password #允許認(rèn)證通過的用戶訪問

http_access allow all #設(shè)置訪問控制列表為允許所有客戶機(jī)訪問

http_reply_access allow all

icp_access allow all

http_port 3128 #告訴squid在默認(rèn)端口3128偵聽HTTP請求，也可是http_port 192.168.16.1:3128

icp_port 3130

http_port 80 transparent#做透明代理，使用者不需要在瀏覽器上做任何配置，只要在 NAT主機(jī)上配置即可

cache_peer lib.jsit.edu.cn parent 3128 3130 proxy-only

hierarchy_stoplist cgi-bin?

cache_mem 1024 MB #設(shè)置緩存大小為1024MB

cache_dir squidvarsquid 4096 16 256 #設(shè)置硬盤緩沖區(qū)最大4096MB，16個(gè)一級(jí)目錄，256個(gè)二級(jí)目錄

cache_dir ufs c:/squid/var/cache 8192 16 256

cache_mgr webmaster@jsit.edu.cn #設(shè)置服務(wù)器管理員郵箱，出錯(cuò)時(shí)便于聯(lián)系

visible_hostname proxy.jsit.edu.cn #如不配置，則在啟動(dòng)squid服務(wù)的時(shí)候會(huì)報(bào)錯(cuò)

#設(shè)置squid主機(jī)名稱為proxy.jsit.edu.cn（一般為IP地址），出錯(cuò)時(shí)會(huì)顯示在頁面上

coredump_dir c:/squid/var/cache

最后保存對squid.conf配置文件的編輯修改，并關(guān)閉此文件.

2）生成squid中所需要的用戶認(rèn)證文件即passwd文件

首先從Apache中找到htpasswd.exe文件，把它復(fù)制到C:＞squidin中，然后進(jìn)入到windows命令提示符窗口中，運(yùn)行如下命令：

C:squidin＞htpasswd-c C:squidetcpasswd jsit 第一次生成密碼文件要加參數(shù)-c

Automatically using MD5 format.

New password:*********

Re-type new password:*********

Adding password for user jsit

C:squidin＞htpasswd-b C:squidetcpasswd wangyy 5498 #往passwd文件中增加用戶wangyy，密碼為5498

3.1.3 Squid的運(yùn)行啟動(dòng)

配置完畢后在命令窗口中運(yùn)行如下命令：

c:squidsbin＞squid-i #注冊squid為windows服務(wù)

squid-z #生成高速緩存的目錄

squid #啟動(dòng)squid

到此squid服務(wù)器就搭建成功并啟動(dòng)運(yùn)行了.

3.2 客戶端的設(shè)置

打開Internet Explorer瀏覽器的任意一個(gè)窗口，在IE窗口中依次使用菜單：“工具”菜單→“Internet選項(xiàng)”菜單項(xiàng)→“連接”選項(xiàng)卡，然后針對不同的用戶進(jìn)行不同的設(shè)置.

3.2.1 ADSL撥號(hào)用戶

在“撥號(hào)與虛擬專用網(wǎng)絡(luò)設(shè)置”下面選擇所用的撥號(hào)連接，（此連接名稱是你自己命名的，演示使用的是江蘇信息），點(diǎn)擊【設(shè)置（S）…】按鈕，選擇“對此連接使用代理服務(wù)器”，輸入IP地址（或域名）和端口號(hào).

3.2.2 使用路由器的ADSL用戶或LAN用戶

在“連接”選項(xiàng)卡窗口中，點(diǎn)下方的【局域網(wǎng)設(shè)置（L）…】，在彈出的窗口中的“代理服務(wù)器”選項(xiàng)下面輸入IP地址（或域名）和端口號(hào).

最后設(shè)置完成后，再次打開網(wǎng)頁時(shí)，代理服務(wù)器系統(tǒng)會(huì)要求輸入密碼，例如用戶名：jsit密碼：******，這樣即可進(jìn)入校園網(wǎng)，和校內(nèi)用戶一樣，使用內(nèi)網(wǎng)的數(shù)字資源了.

4 結(jié)束語

Squid代理服務(wù)器安裝調(diào)試結(jié)束就投入了使用，并在校園網(wǎng)內(nèi)發(fā)布了其使用方法，由于這種方法無需安裝客戶端軟件，客戶端的設(shè)置也很簡單，教職工很快就掌握了使用方法，滿足了教職工在校外使用數(shù)字資源的需求，因此，利用Squid代理服務(wù)來實(shí)現(xiàn)對校園網(wǎng)數(shù)字資源的遠(yuǎn)程訪問具有一定的實(shí)用價(jià)值.

[1]李默，楊彬.Squid技術(shù)在圖書館電子資源遠(yuǎn)程訪問中的應(yīng)用[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2007，17（31）:11-13.

[2]任瑤.代理服務(wù)器在訪問電子資源方面的應(yīng)用[J].圖書館學(xué)研究，2004（12）：26-28.

[3]焦煜.用Squid實(shí)現(xiàn)網(wǎng)外用戶對局域網(wǎng)的訪問[J].福建電腦，2006（7）：162-167.