用Squid实现反向代理

Last-Modified: 告诉反向代理页面什么时间被修改 

Expires: 告诉反向代理页面什么时间应该从缓冲区中删除 

Cache-Control: 告诉反向代理页面是否应该被缓冲 

Pragma: 告诉反向代理页面是否应该被缓冲.

1、反向代理的概念

 

什么是反向代理呢？其实，反向代理也就是一般所说的WEB服务器加速，它是一种经过在繁忙的WEB服务器和Internet之间增长一个高速的WEB缓冲服务器（即：WEB反向代理服务器）来下降实际的WEB服务器的负载。典型的结构以下图所示：

 

Web服务器加速（反向代理）是针对Web服务器提供加速功能的。它做为代理Cache，但并不针对浏览器用户，而针对一台或多台特定Web服务器（这也是反向代理名称的由来）。实施反向代理（如上图所示），只要将Reverse Proxy Cache设备放置在一台或多台Web服务器前端便可。当互联网用户访问某个WEB服务器时，经过DNS服务器解析后的IP地址是Reverse Proxy Server的IP地址,而非原始Web服务器的IP地址,这时Reverse Proxy Server设备充当Web服务器，浏览器能够与它链接，无需再直接与Web服务器相连。所以，大量Web服务工做量被卸载到反向代理服务上。不但可以防止外部网主机直接和web服务器直接通讯带来的安全隐患，并且可以很大程度上减轻web服务器的负担，提升访问速度。

 

2、反向代理和其它代理的比较

 

下面将对几种典型的代理服务做一个简单的比较。在网络上常见的代理服务器有三种：

标准的代理缓冲服务器

一个标准的代理缓冲服务被用于缓存静态的网页（例如：html文件和图片文件等）到本地网络上的一台主机上（即代理服务器）。当被缓存的页面被第二次访问的时候，浏览器将直接从本地代理服务器那里获取请求数据而再也不向原web站点请求数据。这样就节省了宝贵的网络带宽，并且提升了访问速度。可是，要想实现这种方式，必须在每个内部主机的浏览器上明确指明代理服务器的IP地址和端口号。客户端上网时，每次都把请求送给代理服务器处理，代理服务器根据请求肯定是否链接到远程web服务器获取数据。若是在本地缓冲区有目标文件，则直接将文件传给用户便可。若是没有的话则先取回文件，先在本地保存一份缓冲，而后将文件发给客户端浏览器。

透明代理缓冲服务器

透明代理缓冲服务和标准代理服务器的功能彻底相同。可是，代理操做对客户端的浏览器是透明的（即不需指明代理服务器的IP和端口）。透明代理服务器阻断网络通讯，而且过滤出访问外部的HTTP（80端口）流量。若是客户端的请求在本地有缓冲则将缓冲的数据直接发给用户，若是在本地没有缓冲则向远程web服务器发出请求，其他操做和标准的代理服务器彻底相同。对于Linux操做系统来讲，透明代理使用Iptables或者Ipchains实现。由于不须要对浏览器做任何设置，因此，透明代理对于ISP（Internet服务器提供商）特别有用。

反向代理缓冲服务器

反向代理是和前两种代理彻底不一样的一种代理服务。使用它能够下降原始WEB服务器的负载。反向代理服务器承担了对原始WEB服务器的静态页面的请求，防止原始服务器过载。它位于本地WEB服务器和Internet之间，处理全部对WEB服务器的请求，组织了WEB服务器和Internet的直接通讯。若是互联网用户请求的页面在代理服务器上有缓冲的话，代理服务器直接将缓冲内容发送给用户。若是没有缓冲则先向WEB服务器发出请求，取回数据，本地缓存后再发送给用户。这种方式经过下降了向WEB服务器的请求数从而下降了WEB服务器的负载。

 

三．反向代理工做原理

反向代理服务器位于本地WEB服务器和Internet之间,以下图所示：

 

当用户浏览器发出一个HTTP请求时，经过域名解析将请求定向到反向代理服务器（若是要实现多个WEB服务器的反向代理，须要将多个WEB服务器的域名都指向反向代理服务器）。由反向代理服务器处理器请求。反向代理通常只缓存可缓冲的数据（好比html网页和图片等），而一些CGI脚本程序或者ASP之类的程序不缓存。它根据从WEB服务器返回的HTTP头标记来缓冲静态页面。有四个最重要HTTP头标记：

例如：在默认状况下，ASP页面返回” Cache-control: private.” ，因此ASP页面时不会在反向代理服务器缓存的

四．代理服务器软件squid简介

Squid Internet Object Cache (Harvest Project的后续版本) 是美国政府大力助的一项研究计划，其目的为解决网络带宽不足的问题，是如今Unix系统上使用者最多功能也最完整的一套软体。Apache和Netscape虽附有相关的Proxy模块，但因其功能简单而不够普及。有关squid的详细说明可到squid网站(http://www.squid-cache.org)查询。

Squid最典型的应用是代理局域网的机器联入互联网，它支持如今流行的网络协议。Squid的另外一项很是出色的功能就是实现反向代理功能。

 

五．使用Squid配置反向代理（HTTP 加速器）

经过squid配置反向代理主要就是配置“squid.conf”这个配置文件。下面以Linux操做系统为例进行介绍，其它版本的在UNIX也一样适用。在Linux中squid若是是以源代码方式安装的话，这个文件通常在“/usr/local/squid/etc/”目录下。若是是系统自带的squid，通常配置文件在“/etc/squid/”目录下。

Squid反向代理单个后台WEB服务器

若是WEB服务器和反向代理服务器是两台单独的机器（通常的反向代理应该有两块网卡分别链接了内外部网络）。那么，应该修改下面的内容来设置反向代理服务。

http_port 80 # squid监听的端口

httpd_accel_host 172.16.250.250 # 内部WEB服务器的IP地址

httpd_accel_port 80 # WEB服务器的IP地址

httpd_accel_single_host on # 转发为缓冲的请求到一台单独的机器

httpd_accel_with_proxy on #

httpd_accel_uses_host_header off

若是WEB服务器和反向代理服务器是同一台机器。那么，应该设置WEB服务器的监听端口为非80端口（好比：81端口）。要修改的内容以下：

http_port 80 # squid监听的端口

httpd_accel_host localhost # 内部WEB服务器的IP地址

httpd_accel_port 81 # WEB服务器的IP地址

httpd_accel_single_host on # 转发为缓冲的请求到一台单独的机器

httpd_accel_with_proxy on #

httpd_accel_uses_host_header off

下面解释一下配置指令。

http_port 80

选项 http_port 指定squid监听HTTP请求的端口，通常都设置成80端口，这样使用户感受不到反向代理的存在，就像访问真正的WEB服务器同样。

httpd_accel_host 172.16.250.250 和 httpd_accel_port 80

选项httpd_accel_host 和 httpd_accel_port 指定WEB服务器的IP地址和端口号，能够根据本身的WEB服务器的实际状况而定。

httpd_accel_single_host on

选项httpd_accel_single_host 为on 时，squid被设置成仅对单一的web服务器做反向代理。不考虑HTTP头信息，Squid转发全部的未被缓冲的页面请求到这个web服务器。若是squid须要作多个web服务器反向代理，必须将此选项设置为off，而且使用转向器或者DNS去映射请求到合适的后台WEB服务器。

httpd_accel_with_proxy on

若是但愿squid既做反向代理服务器又做本地机器的上网代理，须要将httpd_accel_with_proxy 改成 on，默认状况下是off

httpd_accel_uses_host_header off

在HTTP协议1.1中，HTTP请求包括一个主机头信息，指定URL的主机名或者主机的IP地址。这个选项能够用来完成多个后台WEB服务器的反向代理功能。

2．Squid反向代理多个后台WEB服务器

咱们能够用Squid反向代理多个后台WEB服务器。例如：咱们能够配置squid同时反向代理www.abc.com, www.xyz.com, www.lmn.com三个后台WEB服务器，示意图以下：

Squid的配置以下：

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_single_host off

httpd_accel_uses_host_header on

（注意:编译Squid时需激活Internal DNS选项）

而后设置设置反响代理须要的域名解析（Internet用户经过这里解析三个网站的域名）以下：

www.abc.com 202.102.240.74

www.xyz.com 202.102.240.74

www.lmn.com 202.102.240.74

使三个域名都指向反向代理服务器的IP地址202.102.240.74。

下面设置反向代理所须要的DNS入口信息（即设置内部DNS，仅仅是squid在内部使用，Internet用户不可见）。有两种方法能够设置内部DNS，使用内部DNS服务器来解析或者使用/etc/hosts文件来实现。

使用内部DNS服务器的资源记录以下：

www.abc.com IN A 172.16.1.2

www.xyz.com IN A 172.16.1.3

www.lmn.com IN A 172.16.1.4

若是使用/etc/hosts文件来实现内部DNS（编译时应使用disable internal dns选项）,编辑/etc/hosts文件添加以下条目：

172.16.1.2 www.abc.com

172.16.1.3 www.xyz.com

172.16.1.4 www.lmn.com

 

结论：

经过本文中的论述和相关实例，能够看出，反向代理方式不单是一种WEB服务器加速器，并且使也一种对外提供Web发布时使用的有效的防火墙技术，使用它不但能节约紧缺的IP地址资源，加速WEB服务器的访问速度，并且可以保护WEB主机，所以可以适应多种应用场合。