]>
Commit | Line | Data |
---|---|---|
314d46c8 MT |
1 | {% extends "../../base-feature.html" %} |
2 | ||
3 | {% block title %}{{ _("Web proxy") }}{% end block %} | |
4 | ||
60024cc8 MT |
5 | {% block bodyA %} |
6 | <div class="page-header"> | |
7 | <h1>{{ _("Web proxy") }}</h1> | |
8 | </div> | |
314d46c8 | 9 | |
60024cc8 MT |
10 | <div class="row"> |
11 | <div class="span9"> | |
12 | {% if lang == "de" %} | |
13 | <p> | |
14 | Der Webproxy in IPFire, die Open-Source-Software Squid, ist der Linux und UNIX-Welt nicht unbekannt | |
15 | und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse | |
16 | Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht | |
17 | ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten | |
18 | Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-Protokoll | |
19 | übertragen werden, analysiert und geregelt werden. Dabei können sowohl HTTP-, HTTPS- sowie | |
20 | FTP-Inhalte über Squid angefordert werden. | |
21 | </p> | |
60024cc8 MT |
22 | <ul> |
23 | <li> | |
24 | <strong>Sicherheit:</strong> Der Client fragt nicht selbst, er lässt seinen Proxy fragen. | |
25 | Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt | |
26 | somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie | |
27 | den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung, | |
28 | was einen Vorteil gegenüber einem reinen NAT Router darstellt. | |
29 | </li> | |
30 | <li> | |
31 | <strong>Authentifizierung:</strong> Über Access-Listen kann Squid auch veranlasst werden, | |
32 | Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd, | |
33 | Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy | |
34 | zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern | |
35 | der Zugang zum Internet gewährt werden kann. | |
36 | </li> | |
37 | <li> | |
38 | <strong>Kontrolle der Zugriffe:</strong> Soll der Internetzugriff nur zu speziellen Tageszeiten | |
39 | oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die | |
40 | “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet. Ein sinnvoller | |
41 | Anwendungsbereich dafür sind z.B. Schulen. | |
42 | </li> | |
43 | <li> | |
44 | <strong>Protokollierung:</strong> Da jeder Zugriff über den Proxy protokolliert werden kann, bieten | |
45 | sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken | |
46 | und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien | |
47 | in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen. | |
48 | </li> | |
49 | <li> | |
50 | <strong>Bandbreitenmanagement:</strong> Das Downloadmanagement lässt eine Kontrolle der Bandbreite | |
51 | für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien, | |
52 | CD-Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen | |
53 | Zonen oder für Hosts in den jeweiligen Zonen. | |
54 | </li> | |
55 | </ul> | |
56 | {% else %} | |
57 | <p> | |
58 | IPFire includes a full-fledged web proxy, which is the well-known, open-source software Squid. It is used by ISPs, universities, schools and large companies use because of its diversity, stability and mature development. Even for small home networks, it | |
59 | is a useful feature. In addition to the stateful paket inspection (SPI) filtering by the firewall on | |
60 | the TCP/IP layer, the web content which is transmitted over HTTP, HTTPS or FTP can be analyzed | |
61 | and filtered as well. | |
62 | </p> | |
60024cc8 MT |
63 | <ul> |
64 | <li> | |
65 | <strong>Security:</strong> The client does not query web servers directly, it queries the proxy first. | |
66 | The server response goes back to the proxy and not to the client, which actually does not technically even appear on the | |
67 | Internet. A related attack would therefore primarily reach the proxy and not the client. There are also | |
68 | functions available for data privacy, which is an significant advantage in comparison to a pure NAT router. | |
69 | </li> | |
70 | <li> | |
71 | <strong>Authentication:</strong> Using the access lists, the web proxy can also be configured to allow | |
72 | access only after a user has been authenticated. At this point you have the choice between LDAP, identd, | |
73 | Windows, Radius or local authentication methods. The web proxy can connect, for example to a | |
74 | Microsoft Windows domain controller and only the users of that Windows domain can be granted access to the Internet. | |
75 | </li> | |
76 | <li> | |
77 | <strong>Authorization:</strong> If the Internet access needs to be limited to specific time of a day, | |
78 | or if it should be even completely disabled for any clients, is this easily configured by the | |
79 | “network-based access control”, which can also be found on the IPFire web interface. A useful application for this feature can be for example, a school classroom. | |
80 | </li> | |
81 | <li> | |
82 | <strong>Logging:</strong> Since each access can be logged over the proxy, possibilities for the | |
83 | examination of the accessed content can be very useful, as well as statistics and bills can be issued afterwards. | |
84 | Through the use of a logfile analyzer named Calamaris, log files can be charted by varying criteria | |
85 | on the IPFire web interface. | |
86 | </li> | |
87 | <li> | |
88 | <strong>Bandwidth management:</strong> The download management function allows for control of the bandwidth | |
89 | to specified zones. Thus, content-based throttling (for example for binary files, CD images or | |
90 | multimedia content) is configurable with bandwidth limitations for individual zones or for each host | |
91 | in a particular zone. | |
92 | </li> | |
93 | </ul> | |
94 | {% end %} | |
95 | </div> | |
96 | </div> | |
314d46c8 | 97 | {% end block %} |