互联网代理安全网关功能需求文档

2011年1月

目 录

一、 安装设备及安装环境 ........................................................................................ 4 1.1 实施设备清单.................................................................................................... 4 1.2 实施拓朴结构图................................................................................................ 4 二、 实施步骤 ............................................................................................................ 4 2.1 物理连接............................................................................................................ 4 2.2 初始IP地址配置 .............................................................................................. 4 2.3 远程管理软件配置............................................................................................ 5 2.4 网络配置............................................................................................................ 5 2.4.1 Adapter 1地址配置 .................................................................................... 6 2.4.2 静态路由配置 ............................................................................................ 6 2.4.3 配置外网DNS服务器 ............................................................................... 8 2.4.4 配置虚拟IP地址 ....................................................................................... 8 2.4.5 配置Fail Over ............................................................................................ 9 2.5 配置代理服务端口.......................................................................................... 11 2.6 配置本地时钟.................................................................................................. 12 2.7 配置RADIUS认证服务 .................................................................................... 12 2.8 内容过滤列表定义及下载.............................................................................. 15 2.9 定义病毒扫描服务器...................................................................................... 17 2.10 带宽管理定义................................................................................................ 21 2.11 策略设置........................................................................................................ 22 2.11.1 配置DDOS攻击防御 ............................................................................ 22 2.11.2 设置缺省策略为DENY ......................................................................... 22 2.11.3 配置Blue Coat Anti-Spyware策略 ........................................................ 23 2.11.4 访问控制策略配置-VPM ....................................................................... 24

2.11.5 病毒扫描策略配置 ................................................................................ 24 2.11.6 用户认证策略设置 ................................................................................ 26 2.11.7 带宽管理策略定义 ................................................................................ 28 2.11.8 Work_Group用户组访问控制策略定义 .............................................. 33 2.11.9 Management_Group用户组访问控制策略定义 .................................. 35 2.11.10 High_Level_Group用户组访问控制策略定义 .................................. 35 2.11.11 Normal_Group用户组访问控制策略定义 ......................................... 36 2.11.12 Temp_Group用户组访问控制策略定义 ............................................ 36 2.11.13 IE浏览器版本检查策略 ...................................................................... 40 2.11.14 DNS解析策略设置 .............................................................................. 41

一、 安装设备及安装环境

1.1 实施设备清单

Bluecoat安全代理专用设备SG600－10一台，AV510-A一台，BCWF内容过滤，MCAFEE防病毒,企业版报表模块。

1.2 实施拓朴结构图

Bluecoat设备SG600-10－3配置于内网，AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种，网络示意结构如下图：

旁路模式：

二、 实施步骤

2.1 物理连接

两台Bluecoat SG800－2的Adapter0_Interface 0和Adapter1_Interface0通过以太网双绞线连接于两台Radware CID交换机。

2.2 初始IP地址配置

通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为：

第一台SG800－2：191.32.1.9(IP)

255.255.255.224(Mask) 191.32.1.1(Default Gateway)

第二台SG800－2：191.32.1.11(IP)

255.255.255.224(Mask) 191.32.1.1(Default Gateway)

2.3 远程管理软件配置

Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理，浏览器管理端口为8082，管理用的PC机需安装了Java运行环境。管理界面的URL为：

https://191.32.1.9:8082和https://191.32.1.11:8082

2.4 网络配置

在xxxxx网络环境中，(1)ProxySG800-2两个端口均需配置IP地址；(2)除缺省路由指向防火墙，还需一条静态路由，作为内网通讯的路由，(3)配置外网DNS，以便ProxySG到互联网的访问，(4) 每台另外需要一个虚拟IP地址，作为内部员工

的DNS解析服务器IP地址；(5)对虚拟IP地址配置Fail Over，当一台ProxySG停止工作，其虚拟IP将切换到另外一台。

2.4.1 Adapter 1地址配置

从Web管理界面Management Console/Configuration/Network/Adapter进入，在Adapters下拉框中选择Adapter1，并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码，如下图示：

第一台ProxySG800-2的IP地址为：191.32.1.10，掩码：255.255.255.224 第二台ProxySG800-2的IP地址为：191.32.1.12，掩码：255.255.255.224 点击Apply使配置生效。

2.4.2 静态路由配置

从Web管理界面Management Console/Configuration/Network/Routing进入，在窗口上部选项中选择Routing，并在Install Routing table from下拉框中选择Text Editor，如下图示：

点击Install，并在弹出窗口中输入静态路由： 191.0.0.0 255.0.0.0 191.32.1.5 如下图示：

点击Install使配置生效。

2.4.3 配置外网DNS服务器

从Web管理界面Management Console/Configuration/Network/DNS进入，如下图示：

点击New增加外网DNS服务器IP地址，并点击Apply使配置生效。

2.4.4 配置虚拟IP地址

从Web管理界面Management Console/Configuration/Network/Advanced进入，在窗口上部选项中选择VIPs，如下图示：

点击New配置虚拟IP地址，并点击Apply使配置生效。 第一台ProxySG800-2的虚拟IP地址为：191.32.1.13 第二台ProxySG800-2的虚拟IP地址为：191.32.1.14

2.4.5 配置Fail Over

从Web管理界面Management Console/Configuration/Network/Advanced进入，在窗口上部选项中选择Failover，如下图示：

点击New配置Failover组，如下图示：

在弹出窗口中，选择Existing IP，并在下拉框中选择已定义的虚拟IP地址：191.32.1.13（第一台ProxySG800），191.32.1.14（第二台ProxySG800），在Group Setting中，选择Enable，并在Relative Priority中选中Master，点击OK完成配置。并点击Apply使配置生效。

点击New配置另一个Failover组，如下图示：

在弹出窗口中，选择New IP，指定虚拟IP地址：191.32.1.14（第一台ProxySG800），191.32.1.13（第二台ProxySG800），在Group Setting中，选择Enable，点击OK完成配置。并点击Apply使配置生效。

2.5 配置代理服务端口

在xxxxx网络中ProxySG将提供HTTP（80端口）、SOCKS（1080端口）、DNS(53端口)的代理服务，其它通讯如：MSN、流媒体等均通过HTTP或SOCKS代理实现。

从Web管理界面Management Console/Configuration/Services/Service Ports进入，如下图示：

其中，SSH-Console（22）、Telnet-Console（23）、HTTP-Console（8081）是为系统管理提供服务的端口，可以根据网络管理要求选择是否开放；DNS-Proxy（53）、HTTP（80）和SOCKS（1080）必须Enable（Yes），并且包括Explicit属性，HTTP（80）需要包括Transparent属性。并点击Apply使配置生效。

2.6 配置本地时钟

从Web管理界面Management Console/Configuration/General/Clock进入，如下图示：

选择本地时钟定义为＋8区，并点击Apply使配置生效。

2.7 配置Radius认证服务

互联网访问用户将采用Radius进行用户认证，用户分组通过Radius的属性进行定义，分组与属性对应关系如下：

工作组 管理组 高级组 普通组 临时组

Login(1) Framed(2) Call Back login(3) Call Back Framed(4) Outbound(5)

从Web管理界面Management Console/Configuration/Authentication/RADIUS进入，如下图示：

点击New生成RADIUS配置，在弹出窗口中定义Radius服务器地址，如下图示：

其中，Real Name定义为RADIUS，Primary server host中定义RADIUS服务器IP地址：191.32.1.22（暂定），Port为1812，Secret为RADIUS中定义的通讯密码；点击OK完成定义。并点击Apply使配置生效。

注：Port和Secret的定义必须与RADIUS服务器中定义保持一致。

如需定义备份的RADIUS服务器，在上部选项中选择RADIUS Servers，如下图示：

在Alternate Server定义中，定义备用的RADIUS服务器IP地址，及通讯密码。

从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入，如下图示：

其中，Method选定IP，在IP TTL中定义240分钟（4个小时），用户认证一次将保持4小时；并点击Apply使配置生效。

2.8 内容过滤列表定义及下载

在ProxySG中加载Blue Coat分类列表作为互联网访问控制及Anti-Spyware策略的基础。

从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat进入，如下图示：

输入用户名/密码，选择Force Full Update，并点击Apply使配置生效，然后点击Download Now开始下载分类列表库。

分类列表下载结束后（第一次下载超过80Mbypes数据，所需时间与网络和带宽有关），定义自动下载更新，在上部选项中选择Automatic Download，如下图示：

其中：选择每天UTC时间下午4:00（本地时间晚上12:00）自动下载更新，并点击Apply使配置生效。

启动动态分类模式，在上部菜单选择Dynamic Categorization，如下图示：

选择Enable Dynamic Categorization和Categorize dynamically in the background，并点击Apply使配置生效。

选定使Blue Coat分类列表生效，从Web管理界面Management Console/Configuration/Content Filtering/General进入，如下图示：

选定Use Blue Coat Web Filter，并点击Apply使配置生效。

2.9 定义病毒扫描服务器

对所有通过ProxySG的HTTP、FTP通讯进行病毒扫描，病毒扫描服务器采用McAfee，ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。

从Web管理界面Management Console/Configuration/External Services/ICAP进入，点击New生成ICAP服务配置，如下图示：

Service名为McAfee_1和McAfee_2，选择服务名McAfee_1，并点击Edit，进入服务配置窗口，如下图示：

在Service URL中，定义icap://10.32.0.15，并点击Sense settings从McAfee获取病毒扫描参数配置，点击Register定义进行健康检查，点击OK完成定义，并点击Apply使配置生效。

选择服务名McAfee_2，并点击Edit，重复以上过程，并在Service URL中定义icap://10.32.0.16。

从Web管理界面Management Console/Configuration/External Services/Serice-Group进入，将两台McAfee服务器定义为一个Group，点击New生成Service Group配置如下图示：

Service Group名定义为McAfee_Group，点击Edit进行服务器组定义，如下图示：

通过点击New将McAfee_1和McAfee_2加入McAfee_Group中，点击Edit可以改变Group成员的权重，选择OK完成配置，并点击Apply使配置生效。

2.10 带宽管理定义

根据带宽管理策略要求，定义七个带宽类，其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、

Normal_Group_Bandwidth、Temp_Group_Bandwidth分别对应工作组、管理组、高级组、普通组、临时组的带宽管理要求，Limit_App_Bandwidth对应高带宽消耗应用的带宽管理策略，Key_App_Bandwidth对应关键应用网站的带宽管理策略。

从Web管理界面Management Console/Configuration/Bandwidth Mgmt./BWM Classes进入，点击New定义带宽类，如下图示：

其中，需选中Enable Bandwidth Management，定义带宽类，并点击Apply使配置生效。

2.11 策略设置

2.11.1 配置DDOS攻击防御

通过Telnet、SSH或Console进入ProxySG的命令行管理界面，进入enable状态，通过命令conf t进入配置状态，通过以下命令启动DDOS防御：

attack-detection client enable-limits

2.11.2 设置缺省策略为DENY

从Web管理界面Management Console/configuration/Policy/Policy Options进入缺省策略设置，如下图示：

其中，选择DENY，并点击Apply使配置生效。

2.11.3 配置Blue Coat Anti-Spyware策略

从Web管理界面Management Console/configuration/Policy/Policy Files进入缺省策略设置，如下图示：

在Install Local File From的下拉框中选择Local File，点击Install，如下图示：

在弹出的窗口中，点击浏览，并选定Blue Coat发布的Anti-Spyware策略，选择Install将策略加载到ProxySG中。

2.11.4 访问控制策略配置-VPM

访问控制策略通过Blue Coat图视化界面VPM进行配置，从Web管理界面Management Console/configuration/Policy/ Visual Policy Manager进入，并点击Launch，即可启动VPM界面，如下图示：

2.11.5 病毒扫描策略配置

定义对所有通过ProxySG的流量进行病毒扫描，使用病毒扫描服务器组McAfee_Group。

从VPM的Policy菜单选择Add Web Content Layer，生成Web内容控制策略层，名字定义为Web AV，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Set ICAP Response Service，弹出窗口如下图示：

在Use ICAP response service的下拉框中选择McAfee_Group，并选定Continure without further ICAP response，点击OK，退到上一层，在窗口中选择ICAPResponseService1，并点击OK，完成规则设置；如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.6 用户认证策略设置

从VPM的Policy菜单选择Add Web Authentication Layer，生成Web访问用户认证层，名字定义为Web_Radius_Auth，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Authenticate，弹出窗口如下图示：

在弹出的窗口中，Realm栏选定radius(RADIUS)，Mode中选定Proxy IP，点击OK，退到上一层，在窗口中选择Authenticate1，并点击OK，完成规则设置；如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

从VPM的Policy菜单选择Add SOCKS Authentication Layer，生成SOCKS访问用户认证层，名字定义为SOCKS_Radius_Auth，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定SOCKS Authenticate，弹出窗口如下图示：

其中，Realm中选定radius(RADIUS)，点击OK，退到上一层，在窗口中选择SOCKSAuthenticate1，并点击OK，完成规则设置；如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.7 带宽管理策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Bandwidth_Management，并在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Attribute，弹出窗口如下图示：

其中，定义Name为Work_Group，Authentication Realm选定

RADIUS(RADIUS)，RADIUS Attribute选定Login(1)，选择OK，完成属性定义。

重复以上过程分别定义Name为Management_Group、High_Level_Group、Normal_Group、Temp1_Group，Temp0_Group，Temp2_Group分别对应RADIUS Attribute为Framed(2)、Call Back login(3)、Call Back Framed(4)、Outbound(5)、NAS Prompt(7)、Administrative(6)。

在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Client Protocol，弹出窗口如下图示：

其中，选定P2P和All P2P，并选择OK，完成定义。

在第一条规则的Destination栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定URL，弹出窗口如下图示：

在Simple Match中指定关键业务的域名，选择Add增加定义，选择Close结束定义。

在第一条规则的Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Manage Bandwidth，弹出窗口如下图示：

其中，Name定义为Key_App_Bandwidth，Limit Bandwidth on中选定Server Side和Inbound，在Bandwidth Class中选定Key_App_Bandwidth，选择OK完成定义；

重复以上过程，定义名Name为Limit_App_Bandwidth_in，属性为Server Side Inbound，Bandwidth Class为Limit_App_Bandwidth；

定义名Name为Limit_App_Bandwidth_out，属性为Server Side Outbound，Bandwidth Class为Limit_App_Bandwidth；

定义名Name为Work_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为Work_Group_Bandwidth；

定义名Name为Management_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为Management_Group_Bandwidth；

定义名Name为High_Level_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为High_Level_Group_Bandwidth；

定义名Name为Normal_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为Normal_Group_Bandwidth；

定义名Name为Temp_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为Temp_Group_Bandwidth。

在VPM界面点击Add Rule增加七条规则，总共八条规则，

第一条规则定义：在Destination栏用鼠标右键，选择Set，在弹出窗口中选择以上定义的关键业务URL，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Key_App_Bandwidth；

第二条规则定义：在Service栏用鼠标右键，选择Set，在弹出窗口中选择All P2P，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Limit_App_Bandwidth_in；

第三条规则定义：在Service栏用鼠标右键，选择Set，在弹出窗口中选择All P2P，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Limit_App_Bandwidth_out；

第四条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Work_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Work_Group_Bandwidth；

第五条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Management_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Management_Group_Bandwidth；

第六条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择High_Level_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择High_Level_Group_Bandwidth；

第七条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Normal_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Normal_Group_Bandwidth；

第八条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Temp_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Temp_Group_Bandwidth。

完成定义如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.8 Work_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Work_Group_Policy，通过Add Rule增加两条规则。

在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Client Protocol，弹出窗口如下图示：

其中，选定SOCKS和All SOCKS，并选择OK，完成定义。

再选择New，选定Client Protocol，在弹出窗口中选定Streaming和All Streaming。

在VPM菜单选择Add Rule增加两条规则，共三条规则。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All SOCKS，在Action栏用鼠标右键，选择Deny。

在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All Streaming，在Action栏用鼠标右键，选择Deny。

在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Action栏用鼠标右键，选择Allow。

完成规则定义，如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.9 Management_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Management_Group_Policy。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Management_Group，在Action栏用鼠标右键，选择Allow。

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.10 High_Level_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为High_Level_Group_Policy。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择High_Level_Group，在Action栏用鼠标右键，选择Allow。

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.11 Normal_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Normal_Group_Policy。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Normal_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All Streaming，在Action栏用鼠标右键，选择Deny。

在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Normal_Group，在Action栏用鼠标右键，选择Allow。

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.12 Temp1_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Temp1_Group_Policy。

在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Client Protocol，弹出窗口如下图示：

其中，选定FTP和All FTP，并选择OK，完成定义。

在VPM菜单选择Add Rule增加四条规则，共五条规则。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All SOCKS，在Action栏用鼠标右键，选择Deny。

在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All Streaming，在Action栏用鼠标右键，选择Deny。

在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All FTP，在Action栏用鼠标右键，选择Deny。

在第四条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Destination栏用鼠标右键，选择Set，在弹出的窗口中选定New，选择URL，定义Simple Match中域名为passport.com，在Action栏用鼠标右键，选择Deny。

在第五条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Action栏用鼠标右键，选择Allow。

完成规则定义，如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.13 Temp0_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Temp0_Group_Policy。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp0_Group，在Action栏用鼠标右键，选择Allow。

完成规则定义，如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.14 Temp2_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Temp2_Group_Policy。

在VPM菜单选择Add Rule增加二条规则，共三条规则。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All SOCKS，在Action栏用鼠标右键，选择Deny。

在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Destination栏用鼠标右键，选择Set，在弹出的窗口中选定New，选择URL，定义Simple Match中域名为passport.com，在Action栏用鼠标右键，选择Deny。

在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Action栏用鼠标右键，选择Allow。

完成规则定义，如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.15 IE浏览器版本检查策略

从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Browser_Version_Check，通过Add Rule增加一条规则，共两条规则。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择New，选择Request Header，弹出窗口如下图示：

其中，Name定义为RequestHeader_IE6，在Header Name下拉框中选择User-Agent，在Header Regex中输入.*MSIE6.*，点击OK完成定义。

在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择RequestHeader_IE6，在Destination栏用鼠标右键，选择Set，在弹出的窗口中点击New，选择URL，定义microsoft.com，在Action栏用鼠标右键，选择Allow。

在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择RequestHeader_IE6，在Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，并选择Deny，弹出窗口如下图示：

选定Force Deny，Details提示为：Please upgrade your Browser to IE6.x，点击OK完成定义，并在返回的窗口中选定Deny1，点击OK，完成定义。如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.16 DNS解析策略设置

ProxySG将为用户提供DNS解析服务，将对解析请求应答ProxySG的IP地址，配置过程如下：

从VPM的Policy菜单选择Add DNS Access Layer，生成DNS访问控制层，在第一条规则的Action栏用鼠标右键，选择Set，在弹出窗口中选择New，选择Send DNS Response，如下图示：

其中：Name为SendDNSResponse_CCB，Host为JiangSu_CCB，选定Responds with incoming proxy IP，选择OK，并在菜单中选定SendDNSResponse_CCB，选择OK完成定义，如下图示：

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.12 Anti-Spyware策略

Blue Coat定期发布Anti-Spyware策略，该策略基于Blue Coat URL列表，因此必须在Blue Coat URL分类列表下载结束并生效后，才能安装该策略。

在获得Anti-Spyware策略文件后，从Web管理界面Management Console/Configuration/Policy/Policy Files进入，如下图示：

在Install Local File From选项中选择Local File，并点击Install，在弹出窗口中Browse到Anti-Spyware策略问题，并将其安装到ProxySG中，策略即生效。

如果需要定义特定网站不受Anti-Spyware策略的影响，需启动VPM

（Management Console/Configuration/Policy/Visual Policy Manager）；在VPM菜单Configuration中选择Edit Categories，如下图示：

将Policy展开，并选定Additional_Spyware_Trusted_Sites，点击Edit URLs，并在弹出窗口中，将指定域名加入，如下图示：

可以加多行，点击OK，完成定义，在点击OK回到VPM页面，并点击Install Policy使配置生效。

2.13 PAC文件定义

PAC文件定义IE浏览器上网代理的脚本，可以加载到ProxySG中，PAC为文本文件，定义如下：

function FindProxyForURL(url, host) {

if (isInNet(host, \ return \ else

return \ }

其中：191.0.0.0/24为xxxxx内部网段，如果还有其它网段，可以增加if定义；191.32.1.15为CID虚拟出的IP地址，用来给上网用户做代理。

通过Telnet或SSH进入ProxySG命令行界面，通过Enable命令进入管理状态，使用以下命令加载PAC文件配置：

#inline accelerated-pac

function FindProxyForURL(url, host) {

if (isInNet(host, \ return \ else

return \ }

访问ProxySG中的PAC文件的路径为：

http:// 191.32.1.13/accelerated_pac_base.pac

配置IE浏览器使用该PAC文件上网，从浏览器菜单进入配置：工具/Internet选项/连接/局域网设置，弹出窗口如下图示：

在其中选定“使用自动配置脚本”，地址栏中输入：

http:// 191.32.1.13/accelerated_pac_base.pac

这样，所有对企业网络的服务器IP访问将不会使用代理，而对互联网的访问将通过ProxySG代理。