]>
Commit | Line | Data |
---|---|---|
314d46c8 MT |
1 | {% extends "../../base-feature.html" %} |
2 | ||
3 | {% block title %}{{ _("Web proxy") }}{% end block %} | |
4 | ||
5 | {% block content %} | |
6 | <h3>{{ _("Web proxy") }}</h3> | |
7 | ||
8 | <!-- XXX needs icons --> | |
9 | <!-- XXX needs screenshots --> | |
10 | ||
11 | {% if lang == "de" %} | |
12 | <p> | |
13 | Der Webproxy in IPFire, die Open-Source-Software Squid, ist der Linux und UNIX-Welt nicht unbekannt | |
14 | und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse | |
15 | Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht | |
16 | ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten | |
17 | Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-Protokoll | |
18 | übertragen werden, analysiert und geregelt werden. Dabei können sowohl HTTP-, HTTPS- sowie | |
19 | FTP-Inhalte über Squid angefordert werden. | |
20 | </p> | |
21 | <p> | |
22 | Ein Proxy-Server hat im Netzwerk eine Vermittlungsfunktion. Er nimmt Anfragen der Anwender entgegen, | |
23 | lädt Daten aus dem Internet und leitet diese wieder zurück an den Anwender - auf Wunsch ganz | |
24 | transparent und ohne eine einzige Einstellung am Client. Das Zwischenspeichern von statischen | |
25 | Inhalten (Caching) und Webseiten kann einen stark genutzten Internetzugang Entlasten und das Surfen | |
26 | beschleunigen. Das Caching ist aber aufgrund von immer schnelleren Internetzungen in den Hintergrund | |
27 | geraten und die wichtigere Aufgabe eines Webproxies ist die Regelung von Zugangsberechtigungen (ACLs) | |
28 | - wobei hier sämtliche Einstellungen bequem über das IPFire-Webinterface gemacht werden können. | |
29 | </p> | |
30 | <ul class="list"> | |
31 | <li> | |
32 | <strong>Sicherheit:</strong> Der Client fragt nicht selbst, er lässt seinen Proxy fragen. | |
33 | Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt | |
34 | somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie | |
35 | den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung, | |
36 | was einen Vorteil gegenüber einem reinen NAT Router darstellt. | |
37 | </li> | |
38 | <li> | |
39 | <strong>Authentifizierung:</strong> Über Access-Listen kann Squid auch veranlasst werden, | |
40 | Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd, | |
41 | Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy | |
42 | zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern | |
43 | der Zugang zum Internet gewährt werden kann. | |
44 | </li> | |
45 | <li> | |
46 | <strong>Kontrolle der Zugriffe:</strong> Soll der Internetzugriff nur zu speziellen Tageszeiten | |
47 | oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die | |
48 | “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet. Ein sinnvoller | |
49 | Anwendungsbereich dafür sind z.B. Schulen. | |
50 | </li> | |
51 | <li> | |
52 | <strong>Protokollierung:</strong> Da jeder Zugriff über den Proxy protokolliert werden kann, bieten | |
53 | sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken | |
54 | und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien | |
55 | in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen. | |
56 | </li> | |
57 | <li> | |
58 | <strong>Bandbreitenmanagement:</strong> Das Downloadmanagement lässt eine Kontrolle der Bandbreite | |
59 | für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien, | |
60 | CD-Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen | |
61 | Zonen oder für Hosts in den jeweiligen Zonen. | |
62 | </li> | |
63 | </ul> | |
64 | {% else %} | |
65 | <p> | |
66 | IPFire includes a web proxy, which is the open-source software Squid. It is well known in the Linux | |
67 | and Unix world and often represented. Not only ISPs, universities, schools and large companies use | |
68 | this proxy because of its diversity, stability and mature development. Even for small home networks | |
69 | is squid a useful partner. In addition to the stateful paket inspection filtering by the firewall on | |
70 | the TCP/IP layer, the web content which is either transmitted over HTTP, HTTPS or FTP can be analyzed | |
71 | and filtered. | |
72 | </p> | |
73 | <p> | |
74 | For the local network a proxy server has got an intervention function. It takes requests from the user, | |
75 | forwards it to the Internet and passes the response back to the user - optionally completely transparent | |
76 | and without only a single adjustment on the client machine. The caching of static content and websites | |
77 | can speed up a heavily used Internet line and enhance the surfing experience very much, although it is | |
78 | mostly subordinated because of ever-faster Internet lines. The more important function of the web proxy | |
79 | is the task of the control of access permissions (ACLs) - all settings can be easily made via the web | |
80 | interface of IPFire. | |
81 | </p> | |
82 | <ul class="list"> | |
83 | <li> | |
84 | <strong>Security:</strong> The client does not query web servers by itself, it queries his proxy. | |
85 | The server response goes back to the proxy and not to the client, which does not even appear on the | |
86 | Internet. A related attack would therefore primarily reach the proxy and not the client. There are also | |
87 | functions available for data privacy, which is an advantage in relation to a pure NAT router. | |
88 | </li> | |
89 | <li> | |
90 | <strong>Authentication:</strong> Over the access-lists, the web proxy can also be configured to allow | |
91 | access only after a user authentication. At this point you have the choice between LDAP, identd, | |
92 | Windows, Radius or local authentication methods, whereby the web proxy can connect for example to a | |
93 | Microsoft Windows domain controller and only the employees can be granted access to the Internet. | |
94 | </li> | |
95 | <li> | |
96 | <strong>Authorization:</strong> If the Internet access should be limited to specific times of a day, | |
97 | or if it should be even completely disabled for a single or multiple clients, is this viable by the | |
98 | “network-based access control”, which can also be found on the IPFire web interface. A useful scope | |
99 | therefore can be for example a school classroom. | |
100 | </li> | |
101 | <li> | |
102 | <strong>Logging:</strong> Since each access can be logged over the proxy, possibilities for the | |
103 | examination of the accesses can be very useful and also statistics and bills can be issued afterwards. | |
104 | By the analyzer which is called Calamaris, log files can be charted by lots of different criterias | |
105 | on the IPFire web interface. | |
106 | </li> | |
107 | <li> | |
108 | <strong>Bandwidth management:</strong> The download management allows the control of the bandwidth | |
109 | for specified zones. Thus, content-based throttling, for example for binary files, CD images or | |
110 | multimedia content is configurable like bandwidth limitation for individual zones or for each host | |
111 | in a zone. | |
112 | </li> | |
113 | </ul> | |
114 | {% end %} | |
115 | {% end block %} |