]> git.ipfire.org Git - people/shoehn/ipfire.org.git/blob - www/templates/static/features/proxy.html
projects / people / shoehn / ipfire.org.git / blob
? search:
summary | shortlog | log | commit | commitdiff | tree
blame | history | raw | HEAD
Website update.
[people/shoehn/ipfire.org.git] / www / templates / static / features / proxy.html
1 {% extends "../../base-feature.html" %}
2
3 {% block title %}{{ _("Web proxy") }}{% end block %}
4
5 {% block bodyA %}
6 <div class="page-header">
7 <h1>{{ _("Web proxy") }}</h1>
8 </div>
9
10 <div class="row">
11 <div class="span9">
12 {% if lang == "de" %}
13 <p>
14 Der Webproxy in IPFire, die Open-Source-Software Squid, ist der Linux und UNIX-Welt nicht unbekannt
15 und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse
16 Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht
17 ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten
18 Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-Protokoll
19 übertragen werden, analysiert und geregelt werden. Dabei können sowohl HTTP-, HTTPS- sowie
20 FTP-Inhalte über Squid angefordert werden.
21 </p>
22 <p>
23 Ein Proxy-Server hat im Netzwerk eine Vermittlungsfunktion. Er nimmt Anfragen der Anwender entgegen,
24 lädt Daten aus dem Internet und leitet diese wieder zurück an den Anwender - auf Wunsch ganz
25 transparent und ohne eine einzige Einstellung am Client. Das Zwischenspeichern von statischen
26 Inhalten (Caching) und Webseiten kann einen stark genutzten Internetzugang Entlasten und das Surfen
27 beschleunigen. Das Caching ist aber aufgrund von immer schnelleren Internetzungen in den Hintergrund
28 geraten und die wichtigere Aufgabe eines Webproxies ist die Regelung von Zugangsberechtigungen (ACLs)
29 - wobei hier sämtliche Einstellungen bequem über das IPFire-Webinterface gemacht werden können.
30 </p>
31 <ul>
32 <li>
33 <strong>Sicherheit:</strong> Der Client fragt nicht selbst, er lässt seinen Proxy fragen.
34 Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt
35 somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie
36 den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung,
37 was einen Vorteil gegenüber einem reinen NAT Router darstellt.
38 </li>
39 <li>
40 <strong>Authentifizierung:</strong> Über Access-Listen kann Squid auch veranlasst werden,
41 Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd,
42 Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy
43 zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern
44 der Zugang zum Internet gewährt werden kann.
45 </li>
46 <li>
47 <strong>Kontrolle der Zugriffe:</strong> Soll der Internetzugriff nur zu speziellen Tageszeiten
48 oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die
49 “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet. Ein sinnvoller
50 Anwendungsbereich dafür sind z.B. Schulen.
51 </li>
52 <li>
53 <strong>Protokollierung:</strong> Da jeder Zugriff über den Proxy protokolliert werden kann, bieten
54 sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken
55 und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien
56 in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen.
57 </li>
58 <li>
59 <strong>Bandbreitenmanagement:</strong> Das Downloadmanagement lässt eine Kontrolle der Bandbreite
60 für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien,
61 CD-Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen
62 Zonen oder für Hosts in den jeweiligen Zonen.
63 </li>
64 </ul>
65 {% else %}
66 <p>
67 IPFire includes a full-fledged web proxy, which is the well-known, open-source software Squid. It is used by ISPs, universities, schools and large companies use because of its diversity, stability and mature development. Even for small home networks, it
68 is a useful feature. In addition to the stateful paket inspection (SPI) filtering by the firewall on
69 the TCP/IP layer, the web content which is transmitted over HTTP, HTTPS or FTP can be analyzed
70 and filtered as well.
71 </p>
72 <p>
73 For the local network, a proxy server has a useful intervention function. It takes requests from the user,
74 forwards it to the Internet and passes the response back to the user - optionally completely transparent
75 and without only a single adjustment on the client machine. The caching of static content and websites
76 can speed up a heavily used Internet line and enhance the surfing experience very much, although it is
77 mostly sub-ordinated because of ever-increasing speed of Internet lines. The more important function of the web proxy
78 is the task of the control of access permissions (ACLs) - all settings can be easily made via the web
79 interface.
80 </p>
81 <ul>
82 <li>
83 <strong>Security:</strong> The client does not query web servers directly, it queries the proxy first.
84 The server response goes back to the proxy and not to the client, which actually does not technically even appear on the
85 Internet. A related attack would therefore primarily reach the proxy and not the client. There are also
86 functions available for data privacy, which is an significant advantage in comparison to a pure NAT router.
87 </li>
88 <li>
89 <strong>Authentication:</strong> Using the access lists, the web proxy can also be configured to allow
90 access only after a user has been authenticated. At this point you have the choice between LDAP, identd,
91 Windows, Radius or local authentication methods. The web proxy can connect, for example to a
92 Microsoft Windows domain controller and only the users of that Windows domain can be granted access to the Internet.
93 </li>
94 <li>
95 <strong>Authorization:</strong> If the Internet access needs to be limited to specific time of a day,
96 or if it should be even completely disabled for any clients, is this easily configured by the
97 “network-based access control”, which can also be found on the IPFire web interface. A useful application for this feature can be for example, a school classroom.
98 </li>
99 <li>
100 <strong>Logging:</strong> Since each access can be logged over the proxy, possibilities for the
101 examination of the accessed content can be very useful, as well as statistics and bills can be issued afterwards.
102 Through the use of a logfile analyzer named Calamaris, log files can be charted by varying criteria
103 on the IPFire web interface.
104 </li>
105 <li>
106 <strong>Bandwidth management:</strong> The download management function allows for control of the bandwidth
107 to specified zones. Thus, content-based throttling (for example for binary files, CD images or
108 multimedia content) is configurable with bandwidth limitations for individual zones or for each host
109 in a particular zone.
110 </li>
111 </ul>
112 {% end %}
113 </div>
114 </div>
115 {% end block %}
Sven's copy of the ipfire.org website