HAProxy的访问控制

HAProxy的ACL用于实现基于请求报文首部、响应报文的内容或其他的环境状态信息来做出转发决策，这大大增强了其配置弹性，其配置法则通常分为两步，
首先去定义ACL，即定义一个测试条件，而后在条件得到满足时执行某特定的动作，如阻止请求或转发至某特定的后端。
1、定义ACL语法：
acl <aclname> <criterion> [flags] [operator] <value> ...
<aclname>:ACL名称，区分字符大小写，且只能包含大小写字母，数字，-(连接线)，_(下划线),.(点号),和:(冒号)；
haproxy中，acl可以重名，这可以把多个测试条件定义为一个共同的acl；
<criterion>:测试标准，即对什么信息发起测试，测试方式可以由[flags]指定的标志进行调整，而有些测试标准也可以需要为其在<value>指定指定一个操作符[operator]
[flags]:目前haproxy的acl支持的标志位有3个：
    -i：不区分<value>中模式字符的大小写；
    -f：从指定的文件中加载模式；
    --：标识符的强制结束标记，在模式中的字符串像标记符时使用；
<value>:acl测试条件支持的值有以下四类：
    整数或整数范围：如1024:65535表示从1024至65535，仅支持使用正整数(如果出现类似小数的标识，其为通常为测试版本)，其支持使用的操作符有五个
        分别为：eq、ge、gt、le和lt；
    字符串：支持使用"-i"以忽略字符大小写，支持使用"\"进行转义，如果在模式首部出现了-i，可以在其之前使用"--"标志位；
    正则表达式：其机制类同字符串匹配
    IP地址及网络地址
同一个acl中可以指定多个测试条件，这些测试条件需要由逻辑操作符指定其关系，条件件的组合测试关系有三种：
    "与"(默认即为与操作)
    "或"(使用"||"操作符)
    "非"(使用"!"操作符)

2、常用的测试标准(criteria)
be_sess_rate(backend) <integer>
用于测试指定的backend上会话创建的速率(即每秒创建的会话数)
是否满足指定的条件：常用于在制定backend上的会话速率过高时将用户请求转发至另外的backend，用于组织攻击行为，例如：
backend dynamic
    mode http
    acl being_scanned be_sess_rate gt 50
    redirect location /error_pages/denied.html if being_scanned
fe_sess_rate <integer>
用于测试指定的frontend(或当前frontend)上的会话创建速率是否满足指定的条件：常用于为frontend指定一个合理的会话创建速录
上限以防止服务被滥用。例如下面的例子限定入站邮件速率不能大于50封/秒，所有在此指定范围之外的请求都将被延迟50毫秒。
frontend mail
    bind :25
    mode tcp
    maxconn 500
    acl too_fast fe_sess_rate ge 50
    tcp-request inspect-delay 50ms
    tcp-request content accept if ! too_fast
    tcp-request content accept if WAIT_END
hdr(header) <string>
用于测试请求报文中的所有首部或指定首部是否满足指定条件，指定首部时，其名称不区分大小写，且在括号"()"中不能有任何多余的
空白字符，测试服务器端的响应报文时可以使用shdr(),例如下面的例子用于测试首部Connection的值是否为close。
    hdr(Connection) -i close
method <string>
测试HTTP请求报文的方法
path_beg <string>
用于测试请求的URL是否以<string>指定的模式开头，下面的例子用于测试URL是否以/static、/images、/javascript或/stylesheets头
acl url_static    path_beg    -i    /static /images /javascript /stylesheets
path_end <string>
用于测试请求的URL是否以<string>指定的模式结尾，例如下面的例子测试URL是否以jpg、gif、png、css或js结尾
acl url_static    path_end    -i .jpg .gif .png .css .js
hdr_beg <string>
用于测试请求报文的指定首部的开头部分是否符合<string>
指定的模式。例如，下面的例子测试请求是否为提供静态内容的主机img、vides、download或ftp
acl host_static hdr_beg(host) -i img. video. download. ftp.
hdr_end <string>
用于测试请求报文的指定首部的结尾部分是否符合<string>指定的模式；
3、动静分离实例：
frontend http-in
    bind *:80
    mode http
    log global
    option httpclose
    option logasap
    option dontlognull
    capture request header Host len 20
    capture request header Refer len 60
    acl url_static    path_beg    -i     /static /images /javascript /stylesheets
    acl url_static    path_end    -i .jpg .gif .png .css .js

use_backend static_servers    if url_static
    default_backend    dynamic_servers

backend static_servers    
    balance roundrobin
    server imgsrv1 192.168.1.110:80 check maxconn 6000
    server imgsrv2 192.168.1.184:80 check maxconn 6000

backend dynamic_servers
    cookie srv insert nocache
    balance roundrobin
    server websrv1 192.168.1.111:80 check maxconn 1000 cookie websrv1
    server websrv2 192.168.1.112:80 check maxconn 1000 cookie websrv2