“校校通”工程的實(shí)施，極大地推動(dòng)了學(xué)校教育、教學(xué)、管理的改革，但在建網(wǎng)的同時(shí)，很多學(xué)校卻忽略了校園網(wǎng)的安全建設(shè)，包括如何保護(hù)校園網(wǎng)絡(luò)服務(wù)器，防止黑客入侵；如何進(jìn)行網(wǎng)站過濾，防止不健康網(wǎng)站對學(xué)生的影響。本文本著零成本、高效益的原則，談?wù)劽赓M(fèi)的Linux在構(gòu)建綠色校園網(wǎng)中的一些應(yīng)用。

Web服務(wù)器的保護(hù)


1、配置Apache首先要安裝好Linux網(wǎng)關(guān)，我用的是易裝好用的Redhat，可到http://www.redhat.com下載Redhat7.2。安裝Redhat7.2時(shí)，Apache、Squid等已同時(shí)安裝好，我們只需簡單地配置一下就能使用。

Redhat7.2安裝后默認(rèn)是未運(yùn)行Apache，故先啟用httpd，即讓Apache運(yùn)行起來。修改/etc/httpd/conf/httpd.conf配置文件。

LoadModule proxy_module modules/libproxy.so

AddModule mod_proxy.c

NameVirtualHost 210.77.126.xx #網(wǎng)關(guān)的真實(shí)IP

#域名所對應(yīng)的真實(shí)IP

ServerName www.sdbjzx.com #Web

服務(wù)器的域名

ProxyPass / 192.168.1.1/ #Web

服務(wù)器的IP

ProxyPassReverse / 192.168.1.1</p>

/ #Web服務(wù)器的IP

2、工作原理把內(nèi)部的Web主機(jī)解釋到Linux網(wǎng)關(guān)的外部網(wǎng)卡，當(dāng)收到www.sdbjzx.com的請求時(shí)，網(wǎng)關(guān)可自動(dòng)轉(zhuǎn)發(fā)到192.168.1.1，收到192.168.1.1的響應(yīng)后再改寫源地址為網(wǎng)關(guān)的真實(shí)IP地址返回給Internet用戶。使得外面黑客無法看到真正的Web服務(wù)器，從而有效保護(hù)Web服務(wù)器。

網(wǎng)站過濾

1、代理服務(wù)器Squid的配置

和上面一樣，先啟用Squid，確保Squid代理服務(wù)器能正常工作。修改/etc/squid/squid.conf配置文件。

http_port 3128 #定義Squid監(jiān)聽HTTP客戶端請求的端口

Cache_mem 10 MB #Squid可使用的內(nèi)存理想值，常設(shè)為物理內(nèi)存的1/3。

Cache_swap_low 95

Cache_swap_low 90

Maximum_object_size 4096 KB #大于該值對象將不被存儲(chǔ)

Cache_dir ufs /var/spool/squid/cache 200 16 256 #指定Squid用來存儲(chǔ)對象的交換空間大小及其目錄結(jié)構(gòu)

Acl all src 192.168.1.1/24 #定義all為192.168.1.1網(wǎng)段

http_acceaa allow all #192.168.1.1網(wǎng)段的客戶可使用Squid代理上網(wǎng)。

Cache_effective_user squid #使用的用戶和用戶組

Cache_effective_group squid

(其余參數(shù)用默認(rèn)值即可！)

[root@squid bin]# chmod 777 /var/spool/squid/cache(使/var/spool/squid/

cache目錄為noboay用戶具有寫權(quán)限)

[root@squid bin]# squid -z (建立Squid

的緩存目錄/var/spool/squid/cache)

[root@squid bin]# /etc/rc.d/init.d/squid start(啟動(dòng)Squid，停止squid用/etc/rc.d/init.d/squid stop)

在客戶端進(jìn)行測試，以Windows為例。運(yùn)行IE，單擊“工具”，接著單擊“Internet選項(xiàng)”，再單擊“連接”選項(xiàng)卡，單擊“局域網(wǎng)設(shè)置”，在“局域網(wǎng)設(shè)置”窗口中，在“地址”處填上Squid服務(wù)器的IP地址192.168.1.16，在“端口”處填上“3128”，確定后退出。此時(shí)客戶端應(yīng)能瀏覽Internet，說明Squid已正常運(yùn)行。

下面是網(wǎng)站過濾功能的配置。

2、安裝Berkeley DB 2.x

從http：//www.sleepycat.com下載db-

2.7.7.tar.gz并存在/usr/local/squidGuard/

src/目錄下

#cd /usr/local/squidGuard/src/

#tar xvzf db-2.7.7.tar.gz

#cd db-2.7.7

#cd build_unix

#../dist/configure

#make

#make install

(默認(rèn)安裝到/usr/local/BerkeleyDB目錄下)

注意：squidGuard不支持Berkeley DB 3.x版本。

3、SquidGuard的安裝與配置

#rpm -ivh squidGuard-1.2.0-3.i386.rpm(安裝后數(shù)據(jù)目錄dbhome：/var/squidGuard/blacklists日志目錄logdir：/var/log/squidGuard)

按提示修改/etc/squid/squid.conf文件中的有關(guān)配置行：

redirect_program/usr/sbin/squidGuard -c /etc/squid/squidGuard.confredirect_child 5

重啟Squid，查看/var/log/squidGuard/squidGuard.log，看最后一行：2002-05-23 16：13：18[2237] SquidGuard Ready for Requests，則表明SquidGuard已正常運(yùn)行。被阻止網(wǎng)站在此若能被重定向到指定網(wǎng)頁，則說明過濾功能已起作用。(注：SquidGuard-1.2.0-3.i386.rpm下載地址ftp://k12Linux.mesd.k12.or.us/pub/SquidGuard/)

方法優(yōu)點(diǎn)

配置方便，硬件要求低，一般退役下來的486型、586型完全能勝任，且所有軟件都是免費(fèi)的，被阻止名單更新快，只需到http：//www.squidGuard.org下載最新版本的被阻止名單數(shù)據(jù)庫替換舊的即可，也可以手工增減被阻止名單，Squid還可以設(shè)定上網(wǎng)時(shí)間段，使用靈活方便。（出處：賽迪網(wǎng)--中國電腦教育報(bào)）