bluecoat 操作说明 下载本文

Bluecoat 正向代理配置

Demo-test-sg400#(config)

通过修改这二个参数可以把Time wait队列的time out值减少到20秒,从而大大减少等待队列中的Time wait 状态的TCP连接。避免太多的连接需要清除而影响CPU。 同时设定HTTP client persistentt timeout为5秒减少设备上的总TCP连接数(相对于no persistent和persistent timeout 时间很少)。这样也会降低Time Wait队列中的TCP连接数。从而避免因为清楚Time Wait队列的TCP连接而引发设备性能问题。

八、 C/S软件通过SG代理

8.1 Default policy Allow 和CPL中的Allow的区别

进行SG策略设置时,会有一个策略选项,如下图所示:

第45页/共56页

Bluecoat 正向代理配置

很多人误以为Default Policy是Allow的状态下,SG会容许所有的应用通过。但是实际情况不是这样。Default Policy Allow 意味着SG容许标准的HTTP 和其他符合RFC的应用通过,但是如果应用程序的协议稍有不同于RFC标准,还是不会通过。典型的例子是QQ,如果设定QQ使用http代理,确省策略设为Allow,QQ程序还是不能通过,因为它使用了HTTP Connect方法,被SG认为是非标准方法,因此禁止掉(HTTP Connect 端口443会被SG认为是标准方法而容许通过,因为HTTPS使用443端口和connect方法)。

第46页/共56页

Bluecoat 正向代理配置

为了保证应用程序能够通过SG,需要在VPM里或CPL加入显式的Allow策略来保证。在CPL里可以加入如下的语句: Allow

在VPM中可以加入如下的策略具有相同的效果:

但如果客户使用SG进行安全管理和策略控制时,这样的策略等于放开了所有的应用,需要谨慎使用,我们推荐按照下面的8.2节进行比较精细的设置更优。

第47页/共56页

Bluecoat 正向代理配置

8.2 保证典型的C/S应用通过代理服务器能够访问

SG提供标准的HTTP和SOCKS代理功能,通常C/S软件均能支持HTTP或SOCKS代理设置,如果C/S软件没有代理设置,就需要借助第三方软件进行代理配置。

由于SG对HTTP和SOCKS代理均进行严格的协议检查,与标准不匹配的代理通讯均被屏蔽,将影响部分C/S软件通过SG代理,遇到的问题主要是由用户认证和协议检查引起。如果发现C/S软件配置SG做代理后,无法通讯或通讯有障碍,可以通过对其通讯停止协议检查和用户认证。 具体配置过程:

1)

确定C/S软件需使用的TCP端口,如果有通讯的目标IP更好,例

如:Foxmail通过SG代理实现POP3(端口110)和SMTP(端口25) 2)

从Web管理界面configuration/Policy/Policy files进入,选择Local

policies的安装方式为Text Editor,如下图示:

第48页/共56页