配置OpenBSD 4.2为安全代理服务器

　　OpenBSD可用作防火墙和代理服务器，从底层对大多数安全单元进行操作，并且OpenBSD的包过滤实现是非常优秀的，本文将介绍如何配置OpenBSD 4.2为安全代理服务器。

　　 与其它BSD 和大多数Unix的特点不同，OpenBSD 安装了一切功能， 但是禁用了绝对重要的服务。习惯于在Linux安装之后就拥有NFS、Telnet、Finger、FTP和其它功能用户会发现， 必须要具体地启用而不是禁用OpenBSD中的这些服务。OpenBSD 采取的这种设计是防止这些功能被意外打开， 从而造成潜在的安全突破。前面简单介绍OpenBSD 的时候已经提到，OpenBSD默认安装已经非常安全，如果希望再进一步优化，可以考虑对内核进行精简，并重新编译。
　　
因为 OpenBSD 很小并且很安全，所以OpenBSD实现的最常见目标之一是用作防火墙和代理服务器。代理服务器从底层对大多数安全单元进行操作，并且 OpenBSD 的包过滤实现是非常优秀的。
　　
一、相关知识点
　　
1. pf
　　
pf是packet filter的缩写，中文翻译为包过滤(以下简称pf)，它是openbsd系统上进行tcp/ 流量过滤和网络地址转换(nat)的软件系统。pf同样也能提供tcp/ip流量的整形和控制， 并且提供带宽控制和数据包优先级控制。硬件防火墙能完成的功能它几乎都能胜任，虽然一般只是用它来做nat，但绝不仅仅只能做nat。Packet Filter (PF)，OpenBSD 开发社区设计的开放源代码解决方案，它是 OpenBSD 所选择的方法。与 OpenBSD 软件的其它许多部分一样，这种方法非常成功，以至于其它的 BSD 变种纷纷将其移植到自己的分发版中。OpenBSD 配置为缺省安全，所以在设置坚如盘石的防火墙时，您无需关闭过多的服务。您需要启用第二个 Ethernet 接口，并根据需要配置 PF。
　　
2. Squid工作原理和流程图
　　
代理服务器的工作机制
　　
代理服务器的工作机制很象我们生活中常常提及的代理商，假设你自己的机器为A机，你想获得的数据由服务器B提供，代理服务器为C，那么具体的连接过程是这样的。首先，A机需要B机的数据，A直接与C机建立连接，C机接收到A机的数据请求后，与B机建立连接，下载A机所请求的B机上的数据到本地，再将此数据发送至A机，完成代理任务。
　　
squid工作流程：图1是Squid工作原理图。

　　
图1 Squid工作原理图
　　
1.客户端计算机向 代理服务器 端发送一个数据需求封包;
　　2.代理服务器 端接收之后，先比对这个封包的『来源』与预计要前往的『目标』网站是否为可接受?如果来源与目标都是合法的，那么代理服务器 端会预计开始替客户端计算机获取信息。
　　3.代理服务器首先会到自己的硬盘里面，也就是所谓的 cache (缓存) 查看一下有没有 客户端计算机 端所需要的数据，如果有的话，那就将数据直接送到客户端计算机端，而不向互联网获取信息。
　　4. 将数据传回给客户端计算机端使用。
　　5.在经过以上三部查寻知道缓存没有数据，或者数据过期之后，代理服务器会向互联网上面的目标网站要求数据;
　　6.在将数据取回之后，代理服务器会先将取得的数据储存一份到缓存当中。
　　7.最后才将数据传回给客户端计算机 端使用。第1页：OpenBSD相关知识点