BlueCoat代理服务器配置说明 - template

互联网代理安全网关功能需求文档

2011年1月

目 录

一、 安装设备及安装环境 ........................................................................................ 4 1.1 实施设备清单.................................................................................................... 4 1.2 实施拓朴结构图................................................................................................ 4 二、 实施步骤 ............................................................................................................ 4 2.1 物理连接............................................................................................................ 4 2.2 初始IP地址配置 .............................................................................................. 4 2.3 远程管理软件配置............................................................................................ 5 2.4 网络配置............................................................................................................ 5 2.4.1 Adapter 1地址配置 .................................................................................... 6 2.4.2 静态路由配置 ............................................................................................ 6 2.4.3 配置外网DNS服务器 ............................................................................... 8 2.4.4 配置虚拟IP地址 ....................................................................................... 8 2.4.5 配置Fail Over ............................................................................................ 9 2.5 配置代理服务端口.......................................................................................... 11 2.6 配置本地时钟.................................................................................................. 12 2.7 配置RADIUS认证服务 .................................................................................... 12 2.8 内容过滤列表定义及下载.............................................................................. 15 2.9 定义病毒扫描服务器...................................................................................... 17 2.10 带宽管理定义................................................................................................ 21 2.11 策略设置........................................................................................................ 22 2.11.1 配置DDOS攻击防御 ............................................................................ 22 2.11.2 设置缺省策略为DENY ......................................................................... 22 2.11.3 配置Blue Coat Anti-Spyware策略 ........................................................ 23 2.11.4 访问控制策略配置-VPM ....................................................................... 24

2.11.5 病毒扫描策略配置 ................................................................................ 24 2.11.6 用户认证策略设置 ................................................................................ 26 2.11.7 带宽管理策略定义 ................................................................................ 28 2.11.8 Work_Group用户组访问控制策略定义 .............................................. 33 2.11.9 Management_Group用户组访问控制策略定义 .................................. 35 2.11.10 High_Level_Group用户组访问控制策略定义 .................................. 35 2.11.11 Normal_Group用户组访问控制策略定义 ......................................... 36 2.11.12 Temp_Group用户组访问控制策略定义 ............................................ 36 2.11.13 IE浏览器版本检查策略 ...................................................................... 40 2.11.14 DNS解析策略设置 .............................................................................. 41

一、 安装设备及安装环境

1.1 实施设备清单

Bluecoat安全代理专用设备SG600-10一台,AV510-A一台,BCWF内容过滤,MCAFEE防病毒,企业版报表模块。

1.2 实施拓朴结构图

Bluecoat设备SG600-10-3配置于内网,AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种,网络示意结构如下图:

旁路模式:

二、 实施步骤

2.1 物理连接

两台Bluecoat SG800-2的Adapter0_Interface 0和Adapter1_Interface0通过以太网双绞线连接于两台Radware CID交换机。

2.2 初始IP地址配置

通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为:

第一台SG800-2:191.32.1.9(IP)

255.255.255.224(Mask) 191.32.1.1(Default Gateway)

第二台SG800-2:191.32.1.11(IP)

255.255.255.224(Mask) 191.32.1.1(Default Gateway)

2.3 远程管理软件配置

Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理,浏览器管理端口为8082,管理用的PC机需安装了Java运行环境。管理界面的URL为:

https://191.32.1.9:8082和https://191.32.1.11:8082

2.4 网络配置

在xxxxx网络环境中,(1)ProxySG800-2两个端口均需配置IP地址;(2)除缺省路由指向防火墙,还需一条静态路由,作为内网通讯的路由,(3)配置外网DNS,以便ProxySG到互联网的访问,(4) 每台另外需要一个虚拟IP地址,作为内部员工

的DNS解析服务器IP地址;(5)对虚拟IP地址配置Fail Over,当一台ProxySG停止工作,其虚拟IP将切换到另外一台。

2.4.1 Adapter 1地址配置

从Web管理界面Management Console/Configuration/Network/Adapter进入,在Adapters下拉框中选择Adapter1,并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码,如下图示:

第一台ProxySG800-2的IP地址为:191.32.1.10,掩码:255.255.255.224 第二台ProxySG800-2的IP地址为:191.32.1.12,掩码:255.255.255.224 点击Apply使配置生效。

2.4.2 静态路由配置

从Web管理界面Management Console/Configuration/Network/Routing进入,在窗口上部选项中选择Routing,并在Install Routing table from下拉框中选择Text Editor,如下图示:

点击Install,并在弹出窗口中输入静态路由: 191.0.0.0 255.0.0.0 191.32.1.5 如下图示:

点击Install使配置生效。

2.4.3 配置外网DNS服务器

从Web管理界面Management Console/Configuration/Network/DNS进入,如下图示:

点击New增加外网DNS服务器IP地址,并点击Apply使配置生效。

2.4.4 配置虚拟IP地址

从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择VIPs,如下图示:

点击New配置虚拟IP地址,并点击Apply使配置生效。 第一台ProxySG800-2的虚拟IP地址为:191.32.1.13 第二台ProxySG800-2的虚拟IP地址为:191.32.1.14

2.4.5 配置Fail Over

从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择Failover,如下图示:

点击New配置Failover组,如下图示:

在弹出窗口中,选择Existing IP,并在下拉框中选择已定义的虚拟IP地址:191.32.1.13(第一台ProxySG800),191.32.1.14(第二台ProxySG800),在Group Setting中,选择Enable,并在Relative Priority中选中Master,点击OK完成配置。并点击Apply使配置生效。

点击New配置另一个Failover组,如下图示:

在弹出窗口中,选择New IP,指定虚拟IP地址:191.32.1.14(第一台ProxySG800),191.32.1.13(第二台ProxySG800),在Group Setting中,选择Enable,点击OK完成配置。并点击Apply使配置生效。

2.5 配置代理服务端口

在xxxxx网络中ProxySG将提供HTTP(80端口)、SOCKS(1080端口)、DNS(53端口)的代理服务,其它通讯如:MSN、流媒体等均通过HTTP或SOCKS代理实现。

从Web管理界面Management Console/Configuration/Services/Service Ports进入,如下图示:

其中,SSH-Console(22)、Telnet-Console(23)、HTTP-Console(8081)是为系统管理提供服务的端口,可以根据网络管理要求选择是否开放;DNS-Proxy(53)、HTTP(80)和SOCKS(1080)必须Enable(Yes),并且包括Explicit属性,HTTP(80)需要包括Transparent属性。并点击Apply使配置生效。

2.6 配置本地时钟

从Web管理界面Management Console/Configuration/General/Clock进入,如下图示:

选择本地时钟定义为+8区,并点击Apply使配置生效。

2.7 配置Radius认证服务

互联网访问用户将采用Radius进行用户认证,用户分组通过Radius的属性进行定义,分组与属性对应关系如下:

工作组 管理组 高级组 普通组 临时组

Login(1) Framed(2) Call Back login(3) Call Back Framed(4) Outbound(5)

从Web管理界面Management Console/Configuration/Authentication/RADIUS进入,如下图示:

点击New生成RADIUS配置,在弹出窗口中定义Radius服务器地址,如下图示:

其中,Real Name定义为RADIUS,Primary server host中定义RADIUS服务器IP地址:191.32.1.22(暂定),Port为1812,Secret为RADIUS中定义的通讯密码;点击OK完成定义。并点击Apply使配置生效。

注:Port和Secret的定义必须与RADIUS服务器中定义保持一致。

如需定义备份的RADIUS服务器,在上部选项中选择RADIUS Servers,如下图示:

在Alternate Server定义中,定义备用的RADIUS服务器IP地址,及通讯密码。

从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入,如下图示:

其中,Method选定IP,在IP TTL中定义240分钟(4个小时),用户认证一次将保持4小时;并点击Apply使配置生效。

2.8 内容过滤列表定义及下载

在ProxySG中加载Blue Coat分类列表作为互联网访问控制及Anti-Spyware策略的基础。

从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat进入,如下图示:

输入用户名/密码,选择Force Full Update,并点击Apply使配置生效,然后点击Download Now开始下载分类列表库。

分类列表下载结束后(第一次下载超过80Mbypes数据,所需时间与网络和带宽有关),定义自动下载更新,在上部选项中选择Automatic Download,如下图示:

其中:选择每天UTC时间下午4:00(本地时间晚上12:00)自动下载更新,并点击Apply使配置生效。

启动动态分类模式,在上部菜单选择Dynamic Categorization,如下图示:

选择Enable Dynamic Categorization和Categorize dynamically in the background,并点击Apply使配置生效。

选定使Blue Coat分类列表生效,从Web管理界面Management Console/Configuration/Content Filtering/General进入,如下图示:

选定Use Blue Coat Web Filter,并点击Apply使配置生效。

2.9 定义病毒扫描服务器

对所有通过ProxySG的HTTP、FTP通讯进行病毒扫描,病毒扫描服务器采用McAfee,ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。

从Web管理界面Management Console/Configuration/External Services/ICAP进入,点击New生成ICAP服务配置,如下图示:

Service名为McAfee_1和McAfee_2,选择服务名McAfee_1,并点击Edit,进入服务配置窗口,如下图示:

在Service URL中,定义icap://10.32.0.15,并点击Sense settings从McAfee获取病毒扫描参数配置,点击Register定义进行健康检查,点击OK完成定义,并点击Apply使配置生效。

选择服务名McAfee_2,并点击Edit,重复以上过程,并在Service URL中定义icap://10.32.0.16。

从Web管理界面Management Console/Configuration/External Services/Serice-Group进入,将两台McAfee服务器定义为一个Group,点击New生成Service Group配置如下图示:

Service Group名定义为McAfee_Group,点击Edit进行服务器组定义,如下图示:

通过点击New将McAfee_1和McAfee_2加入McAfee_Group中,点击Edit可以改变Group成员的权重,选择OK完成配置,并点击Apply使配置生效。

2.10 带宽管理定义

根据带宽管理策略要求,定义七个带宽类,其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、

Normal_Group_Bandwidth、Temp_Group_Bandwidth分别对应工作组、管理组、高级组、普通组、临时组的带宽管理要求,Limit_App_Bandwidth对应高带宽消耗应用的带宽管理策略,Key_App_Bandwidth对应关键应用网站的带宽管理策略。

从Web管理界面Management Console/Configuration/Bandwidth Mgmt./BWM Classes进入,点击New定义带宽类,如下图示:

其中,需选中Enable Bandwidth Management,定义带宽类,并点击Apply使配置生效。

2.11 策略设置

2.11.1 配置DDOS攻击防御

通过Telnet、SSH或Console进入ProxySG的命令行管理界面,进入enable状态,通过命令conf t进入配置状态,通过以下命令启动DDOS防御:

attack-detection client enable-limits

2.11.2 设置缺省策略为DENY

从Web管理界面Management Console/configuration/Policy/Policy Options进入缺省策略设置,如下图示:

其中,选择DENY,并点击Apply使配置生效。

2.11.3 配置Blue Coat Anti-Spyware策略

从Web管理界面Management Console/configuration/Policy/Policy Files进入缺省策略设置,如下图示:

在Install Local File From的下拉框中选择Local File,点击Install,如下图示:

在弹出的窗口中,点击浏览,并选定Blue Coat发布的Anti-Spyware策略,选择Install将策略加载到ProxySG中。

2.11.4 访问控制策略配置-VPM

访问控制策略通过Blue Coat图视化界面VPM进行配置,从Web管理界面Management Console/configuration/Policy/ Visual Policy Manager进入,并点击Launch,即可启动VPM界面,如下图示:

2.11.5 病毒扫描策略配置

定义对所有通过ProxySG的流量进行病毒扫描,使用病毒扫描服务器组McAfee_Group。

从VPM的Policy菜单选择Add Web Content Layer,生成Web内容控制策略层,名字定义为Web AV,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Set ICAP Response Service,弹出窗口如下图示:

在Use ICAP response service的下拉框中选择McAfee_Group,并选定Continure without further ICAP response,点击OK,退到上一层,在窗口中选择ICAPResponseService1,并点击OK,完成规则设置;如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.6 用户认证策略设置

从VPM的Policy菜单选择Add Web Authentication Layer,生成Web访问用户认证层,名字定义为Web_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Authenticate,弹出窗口如下图示:

在弹出的窗口中,Realm栏选定radius(RADIUS),Mode中选定Proxy IP,点击OK,退到上一层,在窗口中选择Authenticate1,并点击OK,完成规则设置;如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

从VPM的Policy菜单选择Add SOCKS Authentication Layer,生成SOCKS访问用户认证层,名字定义为SOCKS_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定SOCKS Authenticate,弹出窗口如下图示:

其中,Realm中选定radius(RADIUS),点击OK,退到上一层,在窗口中选择SOCKSAuthenticate1,并点击OK,完成规则设置;如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.7 带宽管理策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Bandwidth_Management,并在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Attribute,弹出窗口如下图示:

其中,定义Name为Work_Group,Authentication Realm选定

RADIUS(RADIUS),RADIUS Attribute选定Login(1),选择OK,完成属性定义。

重复以上过程分别定义Name为Management_Group、High_Level_Group、Normal_Group、Temp1_Group,Temp0_Group,Temp2_Group分别对应RADIUS Attribute为Framed(2)、Call Back login(3)、Call Back Framed(4)、Outbound(5)、NAS Prompt(7)、Administrative(6)。

在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:

其中,选定P2P和All P2P,并选择OK,完成定义。

在第一条规则的Destination栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定URL,弹出窗口如下图示:

在Simple Match中指定关键业务的域名,选择Add增加定义,选择Close结束定义。

在第一条规则的Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Manage Bandwidth,弹出窗口如下图示:

其中,Name定义为Key_App_Bandwidth,Limit Bandwidth on中选定Server Side和Inbound,在Bandwidth Class中选定Key_App_Bandwidth,选择OK完成定义;

重复以上过程,定义名Name为Limit_App_Bandwidth_in,属性为Server Side Inbound,Bandwidth Class为Limit_App_Bandwidth;

定义名Name为Limit_App_Bandwidth_out,属性为Server Side Outbound,Bandwidth Class为Limit_App_Bandwidth;

定义名Name为Work_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Work_Group_Bandwidth;

定义名Name为Management_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Management_Group_Bandwidth;

定义名Name为High_Level_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为High_Level_Group_Bandwidth;

定义名Name为Normal_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Normal_Group_Bandwidth;

定义名Name为Temp_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Temp_Group_Bandwidth。

在VPM界面点击Add Rule增加七条规则,总共八条规则,

第一条规则定义:在Destination栏用鼠标右键,选择Set,在弹出窗口中选择以上定义的关键业务URL,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Key_App_Bandwidth;

第二条规则定义:在Service栏用鼠标右键,选择Set,在弹出窗口中选择All P2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_in;

第三条规则定义:在Service栏用鼠标右键,选择Set,在弹出窗口中选择All P2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_out;

第四条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Work_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Work_Group_Bandwidth;

第五条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group_Bandwidth;

第六条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group_Bandwidth;

第七条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Normal_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Normal_Group_Bandwidth;

第八条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group_Bandwidth。

完成定义如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.8 Work_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Work_Group_Policy,通过Add Rule增加两条规则。

在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:

其中,选定SOCKS和All SOCKS,并选择OK,完成定义。

再选择New,选定Client Protocol,在弹出窗口中选定Streaming和All Streaming。

在VPM菜单选择Add Rule增加两条规则,共三条规则。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右键,选择Deny。

在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选择Deny。

在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Action栏用鼠标右键,选择Allow。

完成规则定义,如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.9 Management_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Management_Group_Policy。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Management_Group,在Action栏用鼠标右键,选择Allow。

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.10 High_Level_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为High_Level_Group_Policy。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Allow。

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.11 Normal_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Normal_Group_Policy。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Normal_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选择Deny。

在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Normal_Group,在Action栏用鼠标右键,选择Allow。

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.12 Temp1_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Temp1_Group_Policy。

在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:

其中,选定FTP和All FTP,并选择OK,完成定义。

在VPM菜单选择Add Rule增加四条规则,共五条规则。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右键,选择Deny。

在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选择Deny。

在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All FTP,在Action栏用鼠标右键,选择Deny。

在第四条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Destination栏用鼠标右键,选择Set,在弹出的窗口中选定New,选择URL,定义Simple Match中域名为passport.com,在Action栏用鼠标右键,选择Deny。

在第五条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Action栏用鼠标右键,选择Allow。

完成规则定义,如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.13 Temp0_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Temp0_Group_Policy。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp0_Group,在Action栏用鼠标右键,选择Allow。

完成规则定义,如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.14 Temp2_Group用户组访问控制策略定义

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Temp2_Group_Policy。

在VPM菜单选择Add Rule增加二条规则,共三条规则。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右键,选择Deny。

在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Destination栏用鼠标右键,选择Set,在弹出的窗口中选定New,选择URL,定义Simple Match中域名为passport.com,在Action栏用鼠标右键,选择Deny。

在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Action栏用鼠标右键,选择Allow。

完成规则定义,如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.15 IE浏览器版本检查策略

从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Browser_Version_Check,通过Add Rule增加一条规则,共两条规则。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择New,选择Request Header,弹出窗口如下图示:

其中,Name定义为RequestHeader_IE6,在Header Name下拉框中选择User-Agent,在Header Regex中输入.*MSIE6.*,点击OK完成定义。

在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择RequestHeader_IE6,在Destination栏用鼠标右键,选择Set,在弹出的窗口中点击New,选择URL,定义microsoft.com,在Action栏用鼠标右键,选择Allow。

在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择RequestHeader_IE6,在Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,并选择Deny,弹出窗口如下图示:

选定Force Deny,Details提示为:Please upgrade your Browser to IE6.x,点击OK完成定义,并在返回的窗口中选定Deny1,点击OK,完成定义。如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.11.16 DNS解析策略设置

ProxySG将为用户提供DNS解析服务,将对解析请求应答ProxySG的IP地址,配置过程如下:

从VPM的Policy菜单选择Add DNS Access Layer,生成DNS访问控制层,在第一条规则的Action栏用鼠标右键,选择Set,在弹出窗口中选择New,选择Send DNS Response,如下图示:

其中:Name为SendDNSResponse_CCB,Host为JiangSu_CCB,选定Responds with incoming proxy IP,选择OK,并在菜单中选定SendDNSResponse_CCB,选择OK完成定义,如下图示:

在VPM菜单中点击Install Policy将策略加载到ProxySG中。

2.12 Anti-Spyware策略

Blue Coat定期发布Anti-Spyware策略,该策略基于Blue Coat URL列表,因此必须在Blue Coat URL分类列表下载结束并生效后,才能安装该策略。

在获得Anti-Spyware策略文件后,从Web管理界面Management Console/Configuration/Policy/Policy Files进入,如下图示:

在Install Local File From选项中选择Local File,并点击Install,在弹出窗口中Browse到Anti-Spyware策略问题,并将其安装到ProxySG中,策略即生效。

如果需要定义特定网站不受Anti-Spyware策略的影响,需启动VPM

(Management Console/Configuration/Policy/Visual Policy Manager);在VPM菜单Configuration中选择Edit Categories,如下图示:

将Policy展开,并选定Additional_Spyware_Trusted_Sites,点击Edit URLs,并在弹出窗口中,将指定域名加入,如下图示:

可以加多行,点击OK,完成定义,在点击OK回到VPM页面,并点击Install Policy使配置生效。

2.13 PAC文件定义

PAC文件定义IE浏览器上网代理的脚本,可以加载到ProxySG中,PAC为文本文件,定义如下:

function FindProxyForURL(url, host) {

if (isInNet(host, \ return \ else

return \ }

其中:191.0.0.0/24为xxxxx内部网段,如果还有其它网段,可以增加if定义;191.32.1.15为CID虚拟出的IP地址,用来给上网用户做代理。

通过Telnet或SSH进入ProxySG命令行界面,通过Enable命令进入管理状态,使用以下命令加载PAC文件配置:

#inline accelerated-pac

function FindProxyForURL(url, host) {

if (isInNet(host, \ return \ else

return \ }

访问ProxySG中的PAC文件的路径为:

http:// 191.32.1.13/accelerated_pac_base.pac

配置IE浏览器使用该PAC文件上网,从浏览器菜单进入配置:工具/Internet选项/连接/局域网设置,弹出窗口如下图示:

在其中选定“使用自动配置脚本”,地址栏中输入:

http:// 191.32.1.13/accelerated_pac_base.pac

这样,所有对企业网络的服务器IP访问将不会使用代理,而对互联网的访问将通过ProxySG代理。

联系客服:779662525#qq.com(#替换为@)