Bluecoat 正向代理配置
4.
限制RDNS解析。在SG的代理概念中,如果用户请求访问一个IP
地址的内容,如http://100.100.100.100/index.html,这样的请求到达SG后,SG会像DNS服务器作反向DNS查询,看100.100.100.100这个地址对应的域名是什么,然后再尝试做安全策略的检查和匹配。假如说100.100.100.100的地址实际上对应DNS域名为www.xxx.com, 而SG里写了策略说禁止访问WWW.XXX.COM, 那么上面的用户请求会被拒绝。这个特性适合于企业用户的安全控制。但是在实际网络中,很多中国用户的DNS服务器不支持RDNS,这样会导致SG花费大量的时间和系统资源等待DNS服务器的RDNS响应,从而可能DNS Worker用满和引发系统性能下降。所以如果用
第21页/共56页
Bluecoat 正向代理配置
户的DNS服务器不支持RDNS的情况下,我们需要禁止SG作RDNS检查以保证系统性能。具体的配置是在VPM里面设定,如下图所示:
3)对于SGOS v5.x,如果开启了TrustDestIP功能,最好限制正向DNS解析(SGOS V4无此功能): 第22页/共56页
Bluecoat 正向代理配置
或者命令行方式:
restrict dns . ; any and all end
2.10 强制缓存下载网站
国内主要的软件下载网站中,相同软件通常会提供多个下载链接,以PCOnline下载为例,见下图:
图中,相同软件在电信、网通等均有多个下载链接,SG缓存是根据URL进行缓存的,因此,不同链接将在SG中有不同缓存。
以下策略对国内重要下载网站(天空软件”、“华军软件”、“中关村下载”和“太平洋下载”)进行强制缓存,并复用同一软件的不同链接。
Bluecoat 正向代理配置
action.force_cache_pconlinedown(yes)
condition=skycn_download_request delete_on_abandonment(no) force_cache(yes) ttl(172800)
condition=onlinedown_request delete_on_abandonment(no) force_cache(yes) ttl(172800)
condition=onlinedown_newhua_request delete_on_abandonment(no) force_cache(yes) ttl(172800)
condition=crsky_request delete_on_abandonment(no) force_cache(yes) ttl(172800) condition=zoldown_request delete_on_abandonment(no) force_cache(yes) ttl(172800) condition=pconlinedown_request delete_on_abandonment(no) force_cache(yes) ttl(172800)
;--Ensure the internal URLs are not leak via refresh--;
url.domain=internalurl.example.com refresh(no)
;; Skycn download conditions and actions ;;
define condition skycn_download_request url.domain=%url.path.prefix=\end
define action force_cache_skycn
rewrite(url, \
\end
;; Onlinedown conditions and actions ;;
define condition onlinedown_request
url.domain=%url.path.prefix=\end
define condition onlinedown_newhua_request
url.domain=\end
define action force_cache_onlinedown
rewrite(url, \
\end
define action force_cache_onlinedown_newhua rewrite(url, \
\end
;; Crsky download conditions and actions ;;
define condition crsky_request url.domain=%url.path.regex=\
第24页/共56页