www/templates/static/features/proxy.html

   1 {% extends "../../base-feature.html" %}
   2
   3 {% block title %}{{ _("Web proxy") }}{% end block %}
   4
   5 {% block content %}
   6         <h3>{{ _("Web proxy") }}</h3>
   7
   8         <!-- XXX needs icons -->
   9         <!-- XXX needs screenshots -->
  10
  11         {% if lang == "de" %}
  12                 <p>
  13                         Der Webproxy in IPFire, die Open-Source-Software Squid, ist der Linux und UNIX-Welt nicht unbekannt
  14                         und steht unter der GNU General Public License. Nicht nur ISPs, Universitäten, Schulen und grosse
  15                         Firmen nutzen diesen Proxy, denn seine Vielfältigkeit, Stabilität und ausgereifte Entwicklung macht
  16                         ihn auch für kleine Heimnetzwerke zu einem nutzvollen Partner. Ergänzend zur zustandsgesteuerten
  17                         Paketfilterung auf TCP/IP Ebene der Firewall können somit auch Inhalte, die über das HTTP-Protokoll
  18                         übertragen werden, analysiert und geregelt werden. Dabei können sowohl  HTTP-, HTTPS- sowie
  19                         FTP-Inhalte über Squid angefordert werden.
  20                 </p>
  21                 <p>
  22                         Ein Proxy-Server hat im Netzwerk eine Vermittlungsfunktion. Er nimmt Anfragen der Anwender entgegen,
  23                         lädt Daten aus dem Internet und leitet diese wieder zurück an den Anwender - auf Wunsch ganz
  24                         transparent und ohne eine einzige Einstellung am Client. Das Zwischenspeichern von statischen
  25                         Inhalten (Caching) und Webseiten kann einen stark genutzten Internetzugang Entlasten und das Surfen
  26                         beschleunigen. Das Caching ist aber aufgrund von immer schnelleren Internetzungen in den Hintergrund
  27                         geraten und die wichtigere Aufgabe eines Webproxies ist die Regelung von Zugangsberechtigungen (ACLs)
  28                         - wobei hier sämtliche Einstellungen bequem über das IPFire-Webinterface gemacht werden können.
  29                 </p>
  30                 <ul class="list">
  31                         <li>
  32                                 <strong>Sicherheit:</strong> Der Client fragt nicht selbst, er lässt seinen Proxy fragen.
  33                                 Die Antwort des Servers geht wieder an den Proxy und nicht an den Client. Der Client tritt
  34                                 somit nicht selbst in Erscheinung. Ein damit verbundener Angriff würde also in erster Linie
  35                                 den Proxy und nicht den Client treffen. Es stehen auch Funktionen zum Datenschutz zur Verfügung,
  36                                 was einen Vorteil gegenüber einem reinen NAT Router darstellt.
  37                         </li>
  38                         <li>
  39                                 <strong>Authentifizierung:</strong> Über Access-Listen kann Squid auch veranlasst werden,
  40                                 Zugriffe nur nach einer Benutzerauthentifizierung zuzulassen. Hierbei stehen LDAP, identd,
  41                                 Windows, Radius oder Lokale Authentifizierungsmethoden zur Verfügung, womit sich der Webproxy
  42                                 zum Beispiel an einen Microsoft Windows Domänencontroller anbinden lässt und nur Mitarbeitern
  43                                 der Zugang zum Internet gewährt werden kann.
  44                         </li>
  45                         <li>
  46                                 <strong>Kontrolle der Zugriffe:</strong> Soll der Internetzugriff nur zu speziellen Tageszeiten
  47                                 oder auch komplett für einzelne oder mehrere Clients eingeschränkt werden, kann dies über die
  48                                 “Netzwerkbasierten Zugriffskontrolle” geschehen, welche man im Webinterface findet. Ein sinnvoller
  49                                 Anwendungsbereich dafür sind z.B. Schulen.
  50                         </li>
  51                         <li>
  52                                 <strong>Protokollierung:</strong> Da jeder Zugriff über den Proxy protokolliert werden kann, bieten
  53                                 sich Möglichkeiten zur Überprüfung der Zugriffe im Nachhinein an und es können auch Statistiken
  54                                 und Abrechnungen erstellt werden. Durch das Analyseprogramm Calamaris lassen sich die Logdateien
  55                                 in unterschiedlichsten Kriterien über das IPFire Webinterface übersichtlich darstellen.
  56                         </li>
  57                         <li>
  58                                 <strong>Bandbreitenmanagement:</strong> Das Downloadmanagement lässt eine Kontrolle der Bandbreite
  59                                 für spezifizierte Bereiche zu. So können inhaltsbasierte Drosselungen zum Beispiel für Binärdateien,
  60                                 CD-Images oder Multimediadaten ebenso konfiguriert werden wie eine Download Drosselung der einzelnen
  61                                 Zonen oder für Hosts in den jeweiligen Zonen.
  62                         </li>
  63                 </ul>
  64         {% else %}
  65                 <p>
  66                         IPFire includes a web proxy, which is the open-source software Squid. It is well known in the Linux
  67                         and Unix world and often represented. Not only ISPs, universities, schools and large companies use
  68                         this proxy because of its diversity, stability and mature development. Even for small home networks
  69                         is squid a useful partner. In addition to the stateful paket inspection filtering by the firewall on
  70                         the TCP/IP layer, the web content which is either transmitted over HTTP, HTTPS or FTP can be analyzed
  71                         and filtered.
  72                 </p>
  73                 <p>
  74                         For the local network a proxy server has got an intervention function. It takes requests from the user,
  75                         forwards it to the Internet and passes the response back to the user - optionally completely transparent
  76                         and without only a single adjustment on the client machine. The caching of static content and websites
  77                         can speed up a heavily used Internet line and enhance the surfing experience very much, although it is
  78                         mostly subordinated because of ever-faster Internet lines. The more important function of the web proxy
  79                         is the task of the control of access permissions (ACLs) - all settings can be easily made via the web
  80                         interface of IPFire.
  81                 </p>
  82                 <ul class="list">
  83                         <li>
  84                                 <strong>Security:</strong> The client does not query web servers by itself, it queries his proxy.
  85                                 The server response goes back to the proxy and not to the client, which does not even appear on the
  86                                 Internet. A related attack would therefore primarily reach the proxy and not the client. There are also
  87                                 functions available for data privacy, which is an advantage in relation to a pure NAT router.
  88                         </li>
  89                         <li>
  90                                 <strong>Authentication:</strong> Over the access-lists, the web proxy can also be configured to allow
  91                                 access only after a user authentication. At this point you have the choice between LDAP, identd,
  92                                 Windows, Radius or local authentication methods, whereby the web proxy can connect for example to a
  93                                 Microsoft Windows domain controller and only the employees can be granted access to the Internet.
  94                         </li>
  95                         <li>
  96                                 <strong>Authorization:</strong> If the Internet access should be limited to specific times of a day,
  97                                 or if it should be even completely disabled for a single or multiple clients, is this viable by the
  98                                 “network-based access control”, which can also be found on the IPFire web interface. A useful scope
  99                                 therefore can be for example a school classroom.
 100                         </li>
 101                         <li>
 102                                 <strong>Logging:</strong> Since each access can be logged over the proxy, possibilities for the
 103                                 examination of the accesses can be very useful and also statistics and bills can be issued afterwards.
 104                                 By the analyzer which is called Calamaris, log files can be charted by lots of different criterias
 105                                 on the IPFire web interface.
 106                         </li>
 107                         <li>
 108                                 <strong>Bandwidth management:</strong> The download management allows the control of the bandwidth
 109                                 for specified zones. Thus, content-based throttling, for example for binary files, CD images or
 110                                 multimedia content is configurable like bandwidth limitation for individual zones or for each host
 111                                 in a zone.
 112                         </li>
 113                 </ul>
 114         {% end %}
 115 {% end block %}