一、代理服務(wù)器概述

1.1什么是代理服務(wù)器

在TCP/IP網(wǎng)絡(luò)中，傳統(tǒng)的通信過程是這樣的：客戶端向服務(wù)器請(qǐng)求數(shù)據(jù)，服務(wù)器響應(yīng)該請(qǐng)求，將數(shù)據(jù)傳送給客戶端。在引入了代理服務(wù)器以后，這一過程變成了這樣：客戶端向服務(wù)器發(fā)起請(qǐng)求，該請(qǐng)求被送到代理服務(wù)器；代理服務(wù)器分析該請(qǐng)求，先查看自己緩存中是否有請(qǐng)求數(shù)據(jù)，如果有就直接傳送給客戶端，如果沒有就代替客戶端向該服務(wù)器發(fā)出請(qǐng)求。服務(wù)器響應(yīng)以后，代理服務(wù)器將響應(yīng)的數(shù)據(jù)傳送給客戶端，同時(shí)在自己的緩存中保留一份該數(shù)據(jù)的拷貝。這樣，再有客戶端請(qǐng)求相同的數(shù)據(jù)時(shí)，代理服務(wù)器就可以直接將數(shù)據(jù)傳送給客戶端，而不需要再向該服務(wù)器發(fā)起請(qǐng)求。

1.2代理服務(wù)器的功能

一般說來，代理服務(wù)器具有以下的功能：

1.通過緩存增加訪問速度

隨著Internet的迅猛發(fā)展，網(wǎng)絡(luò)帶寬變得越來越珍貴。所以為了提高訪問速度，好多ISP都提供代理服務(wù)器，通過代理服務(wù)器的緩存功能來加快網(wǎng)絡(luò)的訪問速度。一般說來，大多數(shù)的代理服務(wù)器都支持HTTP緩存，但是，有的代理服務(wù)器也支持FTP緩存。在選擇代理服務(wù)器時(shí)，對(duì)于大多數(shù)的組織，只需要HTTP緩存功能就足夠了。
通常，緩存有主動(dòng)緩存被動(dòng)緩存之分。所謂被動(dòng)緩存，指的是代理服務(wù)器只在客戶端請(qǐng)求數(shù)據(jù)時(shí)才將服務(wù)器返回的數(shù)據(jù)進(jìn)行緩存，如果數(shù)據(jù)過期了，又有客戶端請(qǐng)求相同數(shù)據(jù)時(shí)，代理服務(wù)器又必須重新發(fā)起新的數(shù)據(jù)請(qǐng)求，在將響應(yīng)數(shù)據(jù)傳送給客戶端時(shí)又進(jìn)行新的緩存。所謂主動(dòng)緩存，就是代理服務(wù)器不斷地檢查緩存中的數(shù)據(jù)，一旦有數(shù)據(jù)過期，則代理服務(wù)器主動(dòng)發(fā)起新的數(shù)據(jù)請(qǐng)求來更新數(shù)據(jù)。這樣，當(dāng)有客戶端請(qǐng)求該數(shù)據(jù)時(shí)就會(huì)大大縮短響應(yīng)時(shí)間。還需要說明的是，對(duì)于數(shù)據(jù)中的認(rèn)證信息，大多數(shù)的代理服務(wù)器都不會(huì)進(jìn)行緩存的。

2.提供用私有IP訪問Internet的方法

IP地址是不可再生的寶貴資源，假如你只有有限的IP地址，但是需要提供整個(gè)組織的Internet訪問能力，那么，你可以通過使用代理服務(wù)器來實(shí)現(xiàn)這一點(diǎn)。

3.提高網(wǎng)絡(luò)的安全性

這一點(diǎn)是很明顯的，如果內(nèi)部用戶訪問Internet都是通過代理服務(wù)器，那么，代理服務(wù)器就成為進(jìn)入Internet的唯一通道；反過來說，代理服務(wù)器也是Internet訪問內(nèi)部網(wǎng)的唯一通道，如果你沒有做反向代理，則對(duì)于Internet上的主機(jī)來說，你的整個(gè)內(nèi)部網(wǎng)只有代理服務(wù)器是可見的，從而大大增強(qiáng)了網(wǎng)絡(luò)的安全性。

1.3代理服務(wù)器的分類及特點(diǎn)

通常的代理服務(wù)器分類方法，是從實(shí)現(xiàn)的機(jī)理分為線路層代理、應(yīng)用層代理、智能線路層代理等等。在這里，我想從另外一個(gè)角度出發(fā)，把代理服務(wù)器分為傳統(tǒng)代理服務(wù)器和透明代理服務(wù)器。
我認(rèn)為有必要好好搞清楚兩者的區(qū)別，只有真正明白了內(nèi)在地機(jī)理，才能在遇到問題時(shí)，有章可循，才不會(huì)一頭霧水，不知從何解決問題。因此，下面我們就通過具體的實(shí)例來說明。本章的寫作思路來源于PaulRussell所寫的IPCHAINS-HOWTO。下面所舉的例子也來源于該文章，我覺得我讀該文的最大收獲在于對(duì)內(nèi)部網(wǎng)訪問外部網(wǎng)以及外部網(wǎng)訪問內(nèi)部網(wǎng)的實(shí)現(xiàn)手段有了一個(gè)清晰的認(rèn)識(shí)。當(dāng)然，這里所謂的內(nèi)部網(wǎng)是指使用私有IP的內(nèi)部網(wǎng)絡(luò)。
我們的例子都基于以下假設(shè)：
你的域名為sample.com,你的內(nèi)部網(wǎng)(192.168.1.*)用戶通過proxy.sample.com(外部接口eth0:1.2.3.4;內(nèi)部接口eth1:192.168.1.1)的代理服務(wù)器訪問Internet，換句話說，該代理服務(wù)器是唯一一臺(tái)直接與Internet和內(nèi)部網(wǎng)相連的機(jī)器。并假該設(shè)代理服務(wù)器上運(yùn)行著某種代理服務(wù)器軟件（如squid)。假設(shè)內(nèi)部網(wǎng)中某一客戶機(jī)為client.sample.com(192.168.1.100)。

+-------------------+
|內(nèi)部網(wǎng)(192.168.1.*)|eth1+--------+eth0DDN
|+------------|proxy|<===============>Internet
|client198.168.1.100|+--------+
+-------------------+

eth0:1.2.3.4
eth1:198.168.1.1

1.3.1傳統(tǒng)代理

在以上基礎(chǔ)上我們做以下工作：
1.代理服務(wù)軟件被綁定到代理服務(wù)器的8080端口。
2.客戶端瀏覽器被配置使用代理服務(wù)器的8080端口。
3.客戶端不需要配置DNS。
4.代理服務(wù)器上需要配置代理服務(wù)器。
5.客戶端不需要配置缺省路由。

當(dāng)我們?cè)诳蛻舳藶g覽器中打開一個(gè)web請(qǐng)求，比如“http://www.linuxaid.com.cn”，這時(shí)將陸續(xù)發(fā)生以下事件：
1.客戶端使用某一端口（比如1025)連接代理服務(wù)器8080端口，請(qǐng)求web頁面“http://www.linuxaid.com.cn”
2.代理服務(wù)器向DNS請(qǐng)求“www.linuxaid.com.cn”,得到相應(yīng)的IP地址202.99.11.120。然后，代理服務(wù)器使用某一端口（比如1037)向該IP地址的80端口發(fā)起web連接請(qǐng)求，請(qǐng)求web頁面。
3.收到響應(yīng)的web頁面后，代理服務(wù)器把該數(shù)據(jù)傳送給客戶端。
4.客戶端瀏覽器顯示該頁面。

從www.linuxaid.com.cn的角度看來，連接是在1.2.3.4地1037端口和202.99.11.120的80端口之間建立的。從client的角度看來，連接是在192.168.1.100的1025端口和1.2.3.4的8080端口之間建立的。

1.3.2透明代理

透明代理的意思是客戶端根本不需要知道有代理服務(wù)器的存在。
在以上基礎(chǔ)上我們做以下工作：
1.配置透明代理服務(wù)器軟件運(yùn)行在代理服務(wù)器的8080端口。
2.配置代理服務(wù)器將所有對(duì)80端口的連接重定向到8080端口。
3.配置客戶端瀏覽器直接連解到Internet。
4.在客戶端配置好DNS.
5.配置客戶端的缺省網(wǎng)關(guān)為192.168.1.1.

當(dāng)我們?cè)诳蛻舳藶g覽器中打開一個(gè)web請(qǐng)求，比如“http://www.linuxaid.com.cn”，這時(shí)將陸續(xù)發(fā)生以下事件：
1.客戶端向DNS請(qǐng)求“www.linuxaid.com.cn”,得到相應(yīng)的IP地址202.99.11.120。然后，客戶端使用某一端口（比如1066)向該IP地址的80端口發(fā)起web連接請(qǐng)求，請(qǐng)求web頁面。
2.當(dāng)該請(qǐng)求包通過透明代理服務(wù)器時(shí)，被重定向到代理服務(wù)器的綁定端口8080。于是，透明代理服務(wù)器用某一端口（比如1088)向202.99.11.120的80端口發(fā)起web連接請(qǐng)求，請(qǐng)求web頁面。
3.收到響應(yīng)的web頁面后，代理服務(wù)器把該數(shù)據(jù)傳送給客戶端。
4.客戶端瀏覽器顯示該頁面。

從www.linuxaid.com.cn的角度看來，連接是在1.2.3.4地1088端口和202.99.11.120的80端口之間建立的。從client的角度看來，連接是在192.168.1.100的1066端口和202.99.11.120的80端口之間建立的。

以上就是傳統(tǒng)代理服務(wù)器和透明代理服務(wù)器的區(qū)別所在。

二、各種代理服務(wù)器的比較

linux下的代理服務(wù)器軟件很多，我從www.freshmeat.com(一個(gè)著名的linux軟件站點(diǎn)）查看了一下，足有六十多個(gè)。但是被廣泛應(yīng)用的只有Apache、socks、squid等幾個(gè)實(shí)踐證明是高性能的代理軟件。下面我們分別來比較一下這幾個(gè)軟件：

2.1Apache

Apache是世界上用的最廣泛的HTTP服務(wù)器，之所以用的最廣泛，是因?yàn)樗鼜?qiáng)大的功能、高效率、安全性和速度。從1.1.x版本開始，Apache開始包含了一個(gè)代理模塊。用Apache作代理服務(wù)器的性能優(yōu)勢(shì)并不明顯，不建議使用。

2.2Socks

Socks是一種網(wǎng)絡(luò)代理協(xié)議，該協(xié)議可以讓客戶機(jī)通過Socks服務(wù)器獲得對(duì)Internet的完全訪問能力。Scoks在服務(wù)器和客戶端之間建立一個(gè)安全的代理數(shù)據(jù)通道，從客戶的角度看來，Scoks是透明的；從服務(wù)器的角度看來，Socks就是客戶端。客戶端不需要具有對(duì)Internet的直接訪問能力(也就是說，可以使用私有IP地址），因?yàn)镾ocks服務(wù)器能夠把來自于客戶端的連接請(qǐng)求重定向到Internet。此外，Socks服務(wù)器可以對(duì)用戶連接請(qǐng)求進(jìn)行認(rèn)證，允許合法用戶建立代理連接。同理，Socks也能防止非授權(quán)的Internet用戶訪問及的內(nèi)部網(wǎng)絡(luò)。所以常常把Socks當(dāng)作防火墻來使用。
常見的瀏覽器如netscape、IE等可以直接使用Socks,并且我們也可以使用socsk5的所帶的client來使那些不直接支持socks的internet軟件使用Socks。
更多的資料可以參考Socks官方站點(diǎn)http://www.socks.nec.com。

2.3Squid

對(duì)于web用戶來說，Squid是一個(gè)高性能的代理緩存服務(wù)器，Squid支持FTP、gopher和HTTP協(xié)議。和一般的代理緩存軟件不同，Squid用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請(qǐng)求。
Squid將數(shù)據(jù)元緩存在內(nèi)存中，同時(shí)也緩存DNS查詢的結(jié)果，除此之外，它還支持非模塊化的DNS查詢，對(duì)失敗的請(qǐng)求進(jìn)行消極緩存。Squid支持SSL，支持訪問控制。由于使用了ICP（輕量Internet緩存協(xié)議），Squid能夠?qū)崿F(xiàn)層疊的代理陣列，從而最大限度地節(jié)約帶寬。
Squid由一個(gè)主要的服務(wù)程序squid,一個(gè)DNS查詢程序dnsserver，幾個(gè)重寫請(qǐng)求和執(zhí)行認(rèn)證的程序，以及幾個(gè)管理工具組成。當(dāng)Squid啟動(dòng)以后，它可以派生出預(yù)先指定數(shù)目的dnsserver進(jìn)程，而每一個(gè)dnsserver進(jìn)程都可以執(zhí)行單獨(dú)的DNS查詢，這樣一來就大大減少了服務(wù)器等待DNS查詢的時(shí)間。

2.4選擇

從上面的比較可以看出，Apache主要功能是web服務(wù)器，代理功能只不過是其一個(gè)模塊而已，Socks雖然強(qiáng)大，但有欠靈活，因此我們著重推薦你使用Squid。下面的章節(jié)我們就一起來學(xué)習(xí)Squid激動(dòng)人心的特性及相關(guān)的安裝與配置。

三、安裝SquidProxyServer

3.1獲取軟件

你可以通過以下途徑獲取該軟件：
1.從Squid的官方站點(diǎn)http://www.squid-cache.org下載該軟件；
2.從你的linux發(fā)行版本中獲取該軟件；