squid的概念

squid是一種用來緩存Internet數(shù)據(jù)的軟件。接受來自人們需要下載的目標(biāo)（object）的請求并適當(dāng)?shù)奶幚磉@些請求。也就是說，如果一個(gè)人想下載一web界面，他請求squid為他取得這個(gè)頁面。squid隨之連接到遠(yuǎn)程服務(wù)器并向這個(gè)頁面發(fā)出請求。然后，squid顯式地聚集數(shù)據(jù)到客戶端機(jī)器，而且同時(shí)復(fù)制一份。當(dāng)下一次有人需要同一頁面時(shí)， squid可以簡單的從磁盤中讀到它，那樣數(shù)據(jù)會(huì)立即傳輸?shù)娇蛻魴C(jī)上。

squid代理的作用

• 通過緩存的方式為用戶提供Web訪問加速

• 對用戶的Web訪問進(jìn)行過濾控制

  工作流程

  當(dāng)代理服務(wù)器中有客戶端需要的數(shù)據(jù)時(shí)：

a. 客戶端向代理服務(wù)器發(fā)送數(shù)據(jù)請求；

b. 代理服務(wù)器檢查自己的數(shù)據(jù)緩存；

c. 代理服務(wù)器在緩存中找到了用戶想要的數(shù)據(jù)，取出數(shù)據(jù)；

d. 代理服務(wù)器將從緩存中取得的數(shù)據(jù)返回給客戶端。

當(dāng)代理服務(wù)器中沒有客戶端需要的數(shù)據(jù)時(shí)：

客戶端向代理服務(wù)器發(fā)送數(shù)據(jù)請求；

代理服務(wù)器檢查自己的數(shù)據(jù)緩存；

代理服務(wù)器在緩存中沒有找到用戶想要的數(shù)據(jù)；

代理服務(wù)器向Internet 上的遠(yuǎn)端服務(wù)器發(fā)送數(shù)據(jù)請求；

遠(yuǎn)端服務(wù)器響應(yīng)，返回相應(yīng)的數(shù)據(jù)；

代理服務(wù)器取得遠(yuǎn)端服務(wù)器的數(shù)據(jù)，返回給客戶端，并保留一份到自己的數(shù)據(jù)緩存中。

Squid代理服務(wù)器工作在TCP/IP應(yīng)用層

Squid各種代理的定義

正向代理

標(biāo)準(zhǔn)的代理緩沖服務(wù)器

一個(gè)標(biāo)準(zhǔn)的代理緩沖服務(wù)被用于緩存靜態(tài)的網(wǎng)頁到本地網(wǎng)絡(luò)上的一臺(tái)主機(jī)上（即代理服務(wù)器）。當(dāng)被緩存的頁面被第二次訪問的時(shí)候，瀏覽器將直接從本地代理服務(wù)器那里獲取請求數(shù)據(jù)而不再向原web站點(diǎn)請求數(shù)據(jù)。這樣就節(jié)省了寶貴的網(wǎng)絡(luò)帶寬，而且提高了訪問速度。但是，要想實(shí)現(xiàn)這種方式，必須在每一個(gè)內(nèi)部主機(jī)的瀏覽器上明確指名代理服務(wù)器的IP地址和端口號。客戶端上網(wǎng)時(shí)，每次都把請求發(fā)送給代理服務(wù)器處理,代理服務(wù)器根據(jù)請求確定是否連接到遠(yuǎn)程web服務(wù)器獲取數(shù)據(jù)。如果在本地緩沖區(qū)有目標(biāo)文件，則直接將文件傳給用戶即可。如果沒有的話則先取回文件，先在本地保存一份緩沖，然后將文件發(fā)送給客戶端瀏覽器。

透明代理緩沖服務(wù)器

透明代理緩沖服務(wù)器和標(biāo)準(zhǔn)代理服務(wù)器的功能完全相同。但是，代理操作對客戶端的瀏覽器是透明的（即不需指明代理服務(wù)器的IP和端口）。透明代理服務(wù)器阻斷網(wǎng)絡(luò)通信，并且過濾出訪問外部的HTTP（80端口）流量。如果客戶端的請求在本地有緩沖則將緩沖的數(shù)據(jù)直接發(fā)給用戶，如果在本地沒有緩沖則向遠(yuǎn)程web服務(wù)器發(fā)出請求，其余操作和標(biāo)準(zhǔn)的代理服務(wù)器完全相同。對于linux操作系統(tǒng)來說，透明代理使用Iptables或者Ipchains實(shí)現(xiàn)。因此不需要對瀏覽器作任何設(shè)置，所以，透明代理對于ISP（Internet服務(wù)器提供商）特別有用。

反向代理

反向代理緩沖器

反向代理是和前兩種代理完全不同的一種代理服務(wù)。使用它可以降低原始WEB服務(wù)器的負(fù)載。反向代理服務(wù)器承擔(dān)了對原始WEB服務(wù)器的靜態(tài)頁面的請求，防止原始服務(wù)器過載。它位于WEB服務(wù)器和Internet之間，處理所有對WEB服務(wù)器的請求，組織了WEB服務(wù)器和Internet的直接通信。如果互聯(lián)網(wǎng)用戶請求的頁面在代理服務(wù)器上有緩沖的話，代理服務(wù)器直接將緩沖內(nèi)容發(fā)送給用戶。如果沒有緩沖則先向WEB服務(wù)器發(fā)出請求，取回?cái)?shù)據(jù)，本地緩存后再發(fā)給用戶。這種方式通過降低了WEB服務(wù)器的請求數(shù)從而降低了WEB服務(wù)器的負(fù)載。

正向代理與反向代理的區(qū)別

概念

正向代理：對于原始服務(wù)器而言，就是客戶端的代言人
反向代理：對于客戶端而言，就像是原始服務(wù)器

用途

正向代理的典型用途是為在防火墻內(nèi)的局域網(wǎng)客戶端提供訪問Internet的途徑。正向代理還可以使用緩沖特性減少網(wǎng)絡(luò)使用率。
反向代理還可以為后端的多臺(tái)服務(wù)器提供負(fù)載平衡，或?yàn)楹蠖溯^慢的服務(wù)器提供緩沖服務(wù)。另外，反向代理還可以啟用高級URL策略和管理技術(shù)，從而使處于不同web服務(wù)器系統(tǒng)的web頁面同時(shí)存在于同一個(gè)URL空間下。

安全性

正向代理允許客戶端通過它訪問任意網(wǎng)站并且隱藏客戶端自身，因此你必須采取安全措施以確保僅為經(jīng)過授權(quán)的客戶端提供服務(wù)。
反向代理對外都是透明的，訪問者并不知道自己訪問的是一個(gè)代理。

Squid主要組成部分

服務(wù)名：squid
主程序：/usr/sbin/squid
配置目錄：/etc/squid
主配置文件：/etc/squid/squid.conf
監(jiān)聽tcp端口號：3128
默認(rèn)訪問日志文件：/var/log/squid/access.log

squid常用配置選項(xiàng)

/etc/squid/squid.conf

http_port 3128 (還可以只監(jiān)聽一個(gè)IP http_port 192.168.0.1:3128) cache_mem 64MB #緩存占內(nèi)存大小 maximum_object_size 4096KB #最大緩存塊 reply_body_max_size 1024000 allow all #限定下載文件大小 access_log /var/log/squid/access.log #訪問日志存放的地方 visible_hostname proxy.test.xom #可見的主機(jī)名 cache_dir ufs /var/spool/squid 100 16 256 #ufs:緩存數(shù)據(jù)的存儲(chǔ)格式 #/var/spool/squid 緩存目錄 #100：緩存目錄占磁盤空間大小（M） #16：緩存空間一級子目錄個(gè)數(shù) #256：緩存空間二級子目錄個(gè)數(shù) cache_mgr webmaster@test.com #定義管理員郵箱 http_access deny all #訪問控制

squid中的訪問控制

使用訪問控制特性，可以控制在訪問時(shí)根據(jù)特定的時(shí)間間隔進(jìn)行緩存、訪問特定站點(diǎn)或一組站點(diǎn)等等。squid訪問控制有兩個(gè)要素：ACL元素和訪問列表。訪問列表可以允許或拒絕某些用戶對此服務(wù)的訪問。

ACL元素類型

• src：源地址（即客戶機(jī)IP地址）
• dst：目標(biāo)地址（即服務(wù)器IP地址）
• srcdomain：源名稱（即客戶機(jī)名稱）
• dstdomain：目標(biāo)名稱（即服務(wù)器名稱）
• time：一天中的時(shí)刻和一周內(nèi)的一天
• url_regex：URL規(guī)則表達(dá)式匹配
• urlpath_regex：URL-path規(guī)則表達(dá)式匹配，略去協(xié)議和主機(jī)名
• proxy_auth：通過外部程序進(jìn)行用戶驗(yàn)證
• maxconn：單一IP的最大連接數(shù)

ACL格式

為了使用控制功能，必須先設(shè)置ACL規(guī)則并應(yīng)用。ACL聲明的格式如下：

acl acl_element_name type_of_acl_element values_to_acl

注：

• acl_element_name 可以是任一個(gè)在ACL中定義的名稱
• 任何兩個(gè)ACL元素不能用相同的名字
• 每個(gè)ACL由列表值組成。當(dāng)進(jìn)行匹配檢測的時(shí)候，多個(gè)值由邏輯或運(yùn)算連接；換言之，即任一ACL元素的值被匹配，則這個(gè)ACL元素即被匹配。
• 并不是所有ACL元素都能使用訪問列表中的全部類型
• 不同的ACL元素寫在不同行中，squid將把他們組合在一個(gè)列表中

訪問條目

我們可以使用許多不同的訪問條目。下面是我們常用的幾個(gè)：

• http_access:允許HTTP訪問
• no_cache:定義對緩存請求的響應(yīng)。

訪問列表的規(guī)則由一些類似'allow'或‘deny’的關(guān)鍵字構(gòu)成，用以允許或拒絕向特定或一組ACL元素提供服務(wù)。

一個(gè)訪問列表可以由多條規(guī)則組成

如果沒有任何規(guī)則與訪問請求匹配，默認(rèn)動(dòng)作將與列表中最后一條規(guī)則對應(yīng)。

一個(gè)訪問條目中所有元素將用邏輯與運(yùn)算連接
http_access Action 聲明1 AND 聲明2 AND 聲明 OR.
http_access Action 聲明3
多個(gè)http_accesss聲明間用或運(yùn)算連接，但每個(gè)訪問條目的元素間用與運(yùn)算連接。

列表中的規(guī)則總是遵循由上而下的順序

這些規(guī)則按照他們的排列順序進(jìn)行匹配檢測，一旦檢測到匹配的規(guī)則，匹配就立即結(jié)束。

Squid.conf配置文件詳解

#acl all src 0.0.0.0/0.0.0.0 and http_access allow all選項(xiàng)定義了一個(gè)訪問控制列表。詳細(xì)情況參見和Squid軟件 #攜帶的文檔。這里的訪問控制列表允許所有對代理服務(wù)的訪問，因?yàn)檫@里該代理是加速web服務(wù)器。 acl all src 0.0.0.0/0.0.0.0 #允許所有IP訪問 acl manager proto http #manager url協(xié)議為http acl localhost src 127.0.0.1/255.255.255.255 #允午本機(jī)IP acl to_localhost dst 127.0.0.1 #允午目的地址為本機(jī)IP acl Safe_ports port 80 # 允許安全更新的端口為80 acl CONNECT method CONNECT #請求方法以CONNECT http_access allow all #允許所有人使用該代理.因?yàn)檫@里是代理加速web服務(wù)器 http_reply_access allow all #允許所有客戶端使用該代理acl OverConnLimit maxconn 16 #限制每個(gè)IP最大允許16個(gè)連接，防止攻擊 http_access deny OverConnLimiticp_access deny all #禁止從鄰居服務(wù)器緩沖內(nèi)發(fā)送和接收ICP請求. miss_access allow all #允許直接更新請求 ident_lookup_access deny all #禁止lookup檢查DNS http_port 8080 transparent #指定Squid監(jiān)聽瀏覽器客戶請求的端口號。hierarchy_stoplist cgi-bin ? #用來強(qiáng)制某些特定的對象不被緩存，主要是處于安全的目的。 acl QUERY urlpath_regex cgi-bin \? cache deny QUERYcache_mem 1 GB #這是一個(gè)優(yōu)化選項(xiàng)，增加該內(nèi)存值有利于緩存。應(yīng)該注意的是：#一般來說如果系統(tǒng)有內(nèi)存，設(shè)置該值為(n/)3M。現(xiàn)在是3G 所以這里1G fqdncache_size 1024 #FQDN 高速緩存大小 maximum_object_size_in_memory 2 MB #允許最大的文件載入內(nèi)存memory_replacement_policy heap LFUDA #動(dòng)態(tài)使用最小的，移出內(nèi)存cache cache_replacement_policy heap LFUDA #動(dòng)態(tài)使用最小的，移出硬盤cachecache_dir ufs /home/cache 5000 32 512 #高速緩存目錄 ufs 類型 使用的緩沖值最大允午1000MB空間， #32個(gè)一級目錄，512個(gè)二級目錄max_open_disk_fds 0 #允許最大打開文件數(shù)量,0 無限制 minimum_object_size 1 KB #允午最小文件請求體大小 maximum_object_size 20 MB #允午最大文件請求體大小cache_swap_low 90 #最小允許使用swap 90% cache_swap_high 95 #最多允許使用swap 95%ipcache_size 2048 # IP 地址高速緩存大小 2M ipcache_low 90 #最小允許ipcache使用swap 90% ipcache_high 95 #最大允許ipcache使用swap 90%access_log /var/log/squid/access.log squid #定義日志存放記錄 cache_log /var/log/squid/cache.log squid cache_store_log none #禁止store日志emulate_httpd_log on #將使Squid仿照Web服務(wù)器的格式創(chuàng)建訪問記錄。如果希望使用#Web訪問記錄分析程序，就需要設(shè)置這個(gè)參數(shù)。refresh_pattern . 0 20% 4320 override-expire override-lastmod reload-into-ims ignore-reload #更新cache規(guī)則acl buggy_server url_regex ^http://.... http:// #只允許http的請求 broken_posts allow buggy_serveracl apache rep_header Server ^Apache #允許apache的編碼 broken_vary_encoding allow apacherequest_entities off #禁止非http的標(biāo)分準(zhǔn)請求，防止攻擊 header_access header allow all #允許所有的http報(bào)頭 relaxed_header_parser on #不嚴(yán)格分析http報(bào)頭. client_lifetime 120 minute #最大客戶連接時(shí)間 120分鐘cache_mgr sky@test.com #指定當(dāng)緩沖出現(xiàn)問題時(shí)向緩沖管理者發(fā)送告警信息的地址信息。cache_effective_user squid #這里以用戶squid的身份Squid服務(wù)器 cache_effective_group squidicp_port 0 #指定Squid從鄰居服務(wù)器緩沖內(nèi)發(fā)送和接收ICP請求的端口號。#這里設(shè)置為0是因?yàn)檫@里配置Squid為內(nèi)部Web服務(wù)器的加速器，#所以不需要使用鄰居服務(wù)器的緩沖。0是禁用# cache_peer 設(shè)置允許更新緩存的主機(jī)，因是本機(jī)所以127.0.0.1 cache_peer 127.0.0.1 parent 80 0 no-query default multicast-responder no-netdb-exchange cache_peer_domain 127.0.0.1 hostname_aliases 127.0.0.1error_directory /usr/share/squid/errors/Simplify_Chinese #定義錯(cuò)誤路徑always_direct allow all # cache丟失或不存在是允許所有請求直接轉(zhuǎn)發(fā)到原始服務(wù)器 ignore_unknown_nameservers on #開反DNS查詢，當(dāng)域名地址不相同時(shí)候，禁止訪問 coredump_dir /var/log/squid #定義dump的目錄max_filedesc 2048 #最大打開的文件描述half_closed_clients off #使Squid在當(dāng)read不再返回?cái)?shù)據(jù)時(shí)立即關(guān)閉客戶端的連接。#有時(shí)read不再返回?cái)?shù)據(jù)是由于某些客戶關(guān)閉TCP的發(fā)送數(shù)據(jù)#而仍然保持接收數(shù)據(jù)。而Squid分辨不出TCP半關(guān)閉和完全關(guān)閉。buffered_logs on #若打開選項(xiàng)“buffered_logs”可以稍稍提高加速某些對日志文件的寫入，該選項(xiàng)主要是實(shí)現(xiàn)優(yōu)化特性。#防止天涯盜鏈，轉(zhuǎn)嫁給百度 acl tianya referer_regex -i tianya http_access deny tianya deny_info tianya #阻止baidu蜘蛛 acl baidu req_header User-Agent Baiduspider http_access deny baidu #限制同一IP客戶端的最大連接數(shù) acl OverConnLimit maxconn 128 http_access deny OverConnLimit#防止被人利用為HTTP代理，設(shè)置允許訪問的IP地址 acl myip dst 222.18.63.37 http_access deny !myip#允許本地管理 acl Manager proto cache_object acl Localhost src 127.0.0.1 222.18.63.37 http_access allow Manager Localhost cachemgr_passwd 53034338 all http_access deny Manager#僅僅允許80端口的代理 acl all src 0.0.0.0/0.0.0.0 acl Safe_ports port 80 # http http_access deny !Safe_ports http_access allow all#Squid信息設(shè)置 visible_hostname happy.swjtu.edu.cn cache_mgr ooopic2008@qq.com#基本設(shè)置 cache_effective_user squid cache_effective_group squid tcp_recv_bufsize 65535 bytes#2.6的反向代理加速配置 cache_peer 127.0.0.1 parent 80 0 no-query originserver#錯(cuò)誤文檔 error_directory /usr/local/squid/share/errors/Simplify_Chinese#單臺(tái)使用，不使用該功能 icp_port 0hierarchy_stoplist cgi-bin ?acl QUERY urlpath_regex cgi-bin \? .php .cgi .avi .wmv .rm .ram .mpg .mpeg .zip .exe cache deny QUERYacl apache rep_header Server ^Apache broken_vary_encoding allow apacherefresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320cache_store_log none pid_filename /usr/local/squid/var/logs/squid.pid emulate_httpd_log on

Squid常用命令

初始化在squid.conf里配置的cache目錄
squid -z
如果有錯(cuò)誤提示，請檢查cache目錄的權(quán)限，可以更改目錄權(quán)限
chown -R squid:squid /cache目錄

對squid.conf排錯(cuò)，即驗(yàn)證squid.conf的語法和配置
squid -k parse
如果在squid.conf中有語法或配置錯(cuò)誤，這里會(huì)返回提示，若無返回，嘗試啟動(dòng)squid

前臺(tái)啟動(dòng)squid，并輸出啟動(dòng)過程
/usr/local/squid/sbin/squid -N -d1
如果有ready to server reques相關(guān)信息，說明squid啟動(dòng)成功
然后ctrl+c ,停止squid,并以后臺(tái)運(yùn)行的方式啟動(dòng)它

啟動(dòng)squid在后臺(tái)運(yùn)行
squid -s
可以使用ps -ax | grep squid 來查看squid進(jìn)程是否存在

停止squid
squid -k shutdown

重新引導(dǎo)修改過的squid.conf
squid -k reconfigure -f /XXX/squid.conf
當(dāng)squid進(jìn)行配置更改后，可以使用該命令進(jìn)行squid配置重載

把squid添加到系統(tǒng)啟動(dòng)項(xiàng)
vim /etc/rc.local
/usr/local/squid/sbin/squid -s

修改cache緩存目錄的權(quán)限
chown -R squid.squid /cache目錄
cache緩存目錄根據(jù)自己的配置更改，squid用戶和組是squid，squid

修改squid日志目錄的權(quán)限
chown -R squid.squid 定義的日志文件所在目錄
這一步并不是適合每一個(gè)使用squid的用戶，意為讓squid有權(quán)限在該目錄里進(jìn)行寫操作

查看你的日志文檔
more /usr/local/squid/var/logs/access.log | grep TCP_MEM_HIT
該指令可以看到在squid運(yùn)行過程中，有那些文件被squid緩存到內(nèi)存中，并返回給訪問用戶。
more /usr/local/squid/var/logs/access.log | grep TCP_HIT
該指令可以看到在squid運(yùn)行過程中，有那些文件被squid緩存到cache目錄中，并返回給訪問用戶。
more /usr/local/squid/var/logs/access.log | grep TCP_MISS
該指令可以看到在squid運(yùn)行過程中，有那些文件沒有被squid緩存，而是從原始服務(wù)器獲取并返回給訪問用戶。

Squid命中率分析

/usr/local/squid/bin/squidclient -p 80 mgr:info /usr/local/squid/bin/squidclient -p 80 mgr:5min

可以看到詳細(xì)的性能情況,其中PORT是你的proxy的端口，5min可以是60min

取得squid運(yùn)行狀態(tài)信息：

squidclient -p 80 mgr:info

取得squid內(nèi)存使用情況：

squidclient -p 80 mgr:mem

取得squid已經(jīng)緩存的列表：

squidclient -p 80 mgr:bjects. use it carefully,it may crash

取得squid的磁盤使用情況：

squidclient -p 80 mgr:diskd

強(qiáng)制更新某個(gè)url：

squidclient -p 80 -m PURGE http://www.xxx.com/xxx.php

更多的請查看：squidclient-h 或者 squidclient -p 80 mgr:
查命中率：

squidclient -h IP(具體偵聽IP) -p 80(具體偵聽端口) mgr:info

定期清理swap.state內(nèi)無效數(shù)據(jù)

/path/to/squid/sbin/squid -k rotate -f /path/to/squid/conf_file vi /etc/crontab 0 0 * * * root /usr/local/sbin/squid -k rotate -f /usr/local/etc/squid/squid1.conf

當(dāng)squid應(yīng)用運(yùn)行了一段時(shí)間之后，cache_dir對應(yīng)的swap.state文件就會(huì)變得越來越大，里面的無效接口數(shù)據(jù)越來越多，這可能影響squid的響應(yīng)時(shí)間，因此需要使用squid清理swap.state里面的無效數(shù)據(jù)，減少swap.state的大小。

參考文章：
http://blog.chinaunix.net/uid-18933439-id-2808695.html
http://linuxme.blog.51cto.com/1850814/372960
http://blog.sina.com.cn/s/blog_67dd1efa0100izc0.html

總結(jié)

以上是生活随笔為你收集整理的squid的简单介绍的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。