jusschwa/squid-ssl

Squid with SSL Bump and ICAP (for e2guardian-angel)

镜像概述

本镜像基于Squid代理服务器构建，集成SSL bump（SSL流量拦截）和ICAP（互联网内容适配协议）支持，专为e2guardian-angel项目设计，支持多架构部署（如amd64、arm64等）。主要用于网络内容过滤场景，通过与e2guardian-angel等ICAP服务集成，实现对HTTP/HTTPS流量的内容检查与安全策略实施。

核心功能与特性

核心功能

• SSL Bump支持：实现HTTPS流量解密与拦截，支持内容过滤规则对加密流量生效
• ICAP协议集成：通过ICAP客户端功能与e2guardian-angel等ICAP服务通信，实现内容安全策略联动
• 多架构支持：适配amd64、arm64等主流架构，满足不同硬件环境部署需求

特性

• 基于官方Squid镜像优化，保持稳定性与兼容性
• 预配置ICAP客户端参数，简化与e2guardian-angel的集成流程
• 支持自定义SSL证书配置，满足企业级安全需求
• 灵活的日志输出配置，便于审计与问题排查

使用场景

• 企业/组织内部网络内容过滤与安全监控
• 教育机构网络访问控制（如不良内容屏蔽）
• 结合e2guardian-angel实现精细化内容安全策略
• 需要对HTTPS流量进行内容检查的网络环境

使用方法

基本部署（docker run）

bash
docker run -d \
  --name squid-icap \
  -p 3128:3128 \
  -v /path/to/ssl/certs:/etc/squid/ssl \
  -v /path/to/custom/config:/etc/squid/conf.d \
  -e ICAP_SERVER=icap://e2guardian-angel:1344/avscan \
  docker.xuanyuan.run/your-registry/squid-icap:latest

docker-compose配置示例

yaml
version: '3'
services:
  squid:
    image: docker.xuanyuan.run/your-registry/squid-icap:latest
    ports:
      - "3128:3128"
    volumes:
      - ./ssl-certs:/etc/squid/ssl
      - ./squid-config:/etc/squid/conf.d
    environment:
      - ICAP_SERVER=icap://e2guardian-angel:1344/avscan
      - SSL_BUMP_MODE=intercept
    depends_on:
      - e2guardian-angel

  e2guardian-angel:
    image: docker.xuanyuan.run/e2guardian-angel:latest
    ports:
      - "1344:1344"

配置说明

环境变量

目录挂载

自定义配置

可在挂载的conf.d目录中添加自定义配置文件（如custom.conf），示例配置：

conf
# 允许ICAP服务通信
icap_service service_avscan reqmod_precache bypass=0 icap://${ICAP_SERVER}

# SSL bump配置
ssl_bump stare all
ssl_bump bump all

# 访问控制
acl localnet src 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
http_access allow localnet
http_access deny all

注意事项

• SSL证书需提前生成并挂载，确保客户端信任CA证书以避免证书警告
• ICAP服务（如e2guardian-angel）需先启动并确保网络可达
• 多架构部署需确保镜像标签包含对应架构标识（如:amd64、:arm64）
• 生产环境建议配置持久化日志与监控，以便问题排查