Squid

Ipinapaliwanag ng gabay na ito kung paano i-configure ang Squid 6.x kasama ang Glasswall Halo ICAP server, na nagbibigay-daan sa advanced na proteksyon laban sa banta sa pamamagitan ng aming advanced na teknolohiyang Content Disarm and Reconstruction (CDR) sa pamamagitan ng Glasswall Halo.

Tandaan: ang mga tagubilin ay batay sa Squid 6.x built with OpenSSL. para sa kumpletong listahan ng mga opsyon sa configuration, pakitingnan ang dokumentasyon ng Squid.

Gabay sa Integrasyon ng Squid

Hakbang 1: Pangunahing configuration

Hanapin at i-edit ang iyong Squid configuration file, karaniwang nasa:

/etc/squid/squid.conf
/etc/squid5/squid.conf

1A - Tukuyin ang mga access control list

I-uncomment o idagdag ang mga sumusunod na ACL para sa mga lokal na network at safe ports:

acl localnet src 10.0.0.0/8
acl localnet src 172.16.0.0/12
acl localnet src 192.168.0.0/16
acl localnet src fc00::/7
acl localnet src fe80::/10

acl SSL_ports port 443
acl Safe_ports port 80
acl Safe_ports port 21
acl Safe_ports port 443
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl CONNECT method CONNECT

1B - Payagan ang access ng lokal na network

Sa ilalim ng inirerekomendang minimum na configuration ng access permission, idagdag:

http_port 3128
http_access allow localnet
http_access allow localhost
http_access deny all

1C - I-enable ang ICAP

Idagdag ang sumusunod para i-on ang suporta sa ICAP:

icap_enable on
icap_send_client_ip on
icap_preview_enable on
icap_preview_size 0
icap_service_failure_limit -1

1D - I-configure ang pagbabago ng request (mga upload)

icap_service glasswall_req reqmod_precache bypass=0 icap://<Halo ICAP Server>:1344/req-cdr-service
adaptation_access glasswall_req allow all

1E - I-configure ang pagbabago ng response (mga download)

icap_service glasswall_resp respmod_precache bypass=0 icap://<Halo ICAP Server>:1344/req-cdr-service
adaptation_access glasswall_resp allow all

Hakbang 2 - Mga persistent na koneksyon

Sinusuportahan ng Squid 6.x ang mga persistent na koneksyon ng ICAP bilang default. Para ipatupad ito:

icap_persistent_connections on

Tip: tiyaking naka-configure rin ang ICAP server para sa mga persistent na koneksyon. Kung hindi, i-disable ang mga ito (off) para maiwasan ang mga error.

Hakbang 3 - I-restart ang squid

Ilapat ang mga pagbabago:

sudo systemctl restart squid

Hakbang 4 - Pag-troubleshoot (opsyonal)

Kung makakita ka ng mga error na tulad ng:

essential ICAP service is down after an options fetch failure: icap://<Halo ICAP Server>:1344/req-cdr-service [down,!opt]

Suriin ang sumusunod:

Kumpirmahing pinakabagong stable na Squid 6.x ang iyong ginagamit
Kung nagdudulot ng mga isyu ang persistent connections, i-disable ang mga ito:

icap_persistent_connections off

Hakbang 5 - Pag-scan ng HTTPs content

Para ma-scan ang encrypted https traffic, dapat ma-compile ang Squid gamit ang SSL at ma-configure para sa SSL bumping.

Mga kinakailangan

Squid 6.x na may openssl
Isang root certificate para sa SSL interception

5A - I-update ang listening port

http_port 3128 ssl-bump generate-host-certificates=on dynamic_cert_mem_cache_size=4MB cert=<SQUIDFOLDER>/etc/ssl/myc.pem

5B - I-configure ang SSL bump

sslcrtd_program <SQUIDFOLDER>/lib/squid/ssl_crtd -s <SQUIDFOLDER>/var/cache/squid_ssldb -M 4MB
sslcrtd_children 5
ssl_bump server-first all

acl step1 at_step SslBump1
ssl_bump peek step1
ssl_bump bump all

sslproxy_cert_error deny all

5C - Bumuo at i-install ang root certificate

openssl req -new -newkey rsa:2048 -days 1000 -nodes -x509 -keyout myc.pem -out myc.pem

I-initialize ang certificate storage:

rm -rf <SQUIDFOLDER>/var/cache/squid_ssldb
<SQUIDFOLDER>/lib/squid/ssl_crtd -c -s <SQUIDFOLDER>/var/cache/squid_ssldb

Mahalaga: i-install ang myc.pem bilang trusted root certificate sa iyong browser.

Hakbang 6 - Huling pag-restart

I-restart ang Squid upang tapusin ang lahat ng pagbabago:

sudo systemctl restart squid

Gabay sa Integrasyon ng Squid​

Hakbang 1: Pangunahing configuration​

1A - Tukuyin ang mga access control list​

1B - Payagan ang access ng lokal na network​

1C - I-enable ang ICAP​

1D - I-configure ang pagbabago ng request (mga upload)​

1E - I-configure ang pagbabago ng response (mga download)​

Hakbang 2 - Mga persistent na koneksyon​

Hakbang 3 - I-restart ang squid​

Hakbang 4 - Pag-troubleshoot (opsyonal)​

Hakbang 5 - Pag-scan ng HTTPs content​

5A - I-update ang listening port​

5B - I-configure ang SSL bump​

5C - Bumuo at i-install ang root certificate​

Hakbang 6 - Huling pag-restart​