BlueCoat互联网代理安全网关功能需求文档

1、互联网代理安全网关功能需求文档互联网代理安全网关功能需求文档 2011 年 1 月 目目 录录 一、一、 安装设备及安装环境安装设备及安装环境.4 1.1 实施设备清单 .4 1.2 实施拓朴结构图 .4 二、二、 实施步骤实施步骤.5 2.1 物理连接 .5 2.2 初始 ip 地址配置.5 2.3 远程管理软件配置 .5 2.4 网络配置 .6 2.4.1 adapter 1地址配置.6 2.4.2 静态路由配置.7 2.4.3 配置外网dns服务器.9 2.4.4 配置虚拟ip地址.9 2.4.5 配置fail over .10 2.5 配置代理服务端口 .12 2.6 配置本地时钟 .

2、13 2.7 配置 radius认证服务.13 2.8 内容过滤列表定义及下载 .16 2.9 定义病毒扫描服务器 .18 2.10 带宽管理定义 .22 2.11 策略设置 .23 2.11.1 配置ddos攻击防御.23 2.11.2 设置缺省策略为deny.23 2.11.3 配置blue coat anti-spyware策略.24 2.11.4 访问控制策略配置-vpm.25 2.11.5 病毒扫描策略配置.25 2.11.6 用户认证策略设置.27 2.11.7 带宽管理策略定义.29 2.11.8 work_group用户组访问控制策略定义.34 2.11.9 managemen

3、t_group用户组访问控制策略定义.36 2.11.10 high_level_group用户组访问控制策略定义.36 2.11.11 normal_group用户组访问控制策略定义.37 2.11.12 temp_group用户组访问控制策略定义.37 2.11.13 ie浏览器版本检查策略.39 2.11.14 dns解析策略设置.41 一、一、 安装设备及安装环境安装设备及安装环境 1.1 实施实施设备清单设备清单 bluecoat 安全代理专用设备 sg60010 一台，av510-a 一台，bcwf 内容过 滤，mcafee 防病毒,企业版报表模块。 1.2 实施实施拓朴结构图拓朴

4、结构图 bluecoat 设备 sg600-103 配置于内网，av510-a 与 sg600-10 之间通过 icap 协议建立通信。连接方法有以下几种，网络示意结构如下图： 旁路模式： 二、二、 实施步骤实施步骤 2.1 物理连接物理连接 两台 bluecoat sg8002 的 adapter0_interface 0 和 adapter1_interface0 通过以 太网双绞线连接于两台 radware cid 交换机。 2.2 初始初始 ip 地址配置地址配置 通过设备前控制面板可以设置 proxysg800-2 的 adapter0_interface0 的地址为： 第一台 sg

5、8002：(ip) 24(mask) (default gateway) 第二台 sg8002：1(ip) 24(mask) (default gateway) 2.3 远程管理软件配置远程管理软件配置 bluecoat 安全代理专用设备通过 ie 浏览器和 ssh 命令进行管理，浏览器管理 端口为 8082，管理用的 pc 机需安装了 java 运行环境。管理界面的 url 为： :8082 和 https:/191.32.1.

6、11:8082 2.4 网络配置网络配置 在 xxxxx 网络环境中，(1)proxysg800-2 两个端口均需配置 ip 地址；(2)除缺省 路由指向防火墙，还需一条静态路由，作为内网通讯的路由，(3)配置外网 dns， 以便 proxysg 到互联网的访问，(4) 每台另外需要一个虚拟 ip 地址，作为内部员工 的 dns 解析服务器 ip 地址；(5)对虚拟 ip 地址配置 fail over，当一台 proxysg 停 止工作，其虚拟 ip 将切换到另外一台。 2.4.1 adapter 1 地址配置地址配置 从 web 管理界面 management console/configu

7、ration/network/adapter 进入，在 adapters 下拉框中选择 adapter1，并在 ip address for interface 0 和 subnet mask for interface 0 中配置 ip 地址和子网掩码，如下图示： 第一台 proxysg800-2 的 ip 地址为：0，掩码：24 第二台 proxysg800-2 的 ip 地址为：2，掩码：24 点击 apply 使配置生效。 2.4.2 静态路由配置静态路由配置 从 web 管理界面 manage

8、ment console/configuration/network/routing 进入，在 窗口上部选项中选择 routing，并在 install routing table from 下拉框中选择 text editor，如下图示： 点击 install，并在弹出窗口中输入静态路由： 如下图示： 点击 install 使配置生效。 2.4.3 配置外网配置外网 dns 服务器服务器 从 web 管理界面 management console/configuration/network/dns 进入，如下 图示： 点击 new

9、 增加外网 dns 服务器 ip 地址，并点击 apply 使配置生效。 2.4.4 配置虚拟配置虚拟 ip 地址地址 从 web 管理界面 management console/configuration/network/advanced 进入， 在窗口上部选项中选择 vips，如下图示： 点击 new 配置虚拟 ip 地址，并点击 apply 使配置生效。 第一台 proxysg800-2 的虚拟 ip 地址为：3 第二台 proxysg800-2 的虚拟 ip 地址为：4 2.4.5 配置配置 fail over 从 web 管理界面 manage

10、ment console/configuration/network/advanced 进入， 在窗口上部选项中选择 failover，如下图示： 点击 new 配置 failover 组，如下图示： 在弹出窗口中，选择 existing ip，并在下拉框中选择已定义的虚拟 ip 地址： 3（第一台 proxysg800），4（第二台 proxysg800），在 group setting 中，选择 enable，并在 relative priority 中选中 master，点击 ok 完 成配置。并点击 apply 使配置生效。 点击 new 配置另

11、一个 failover 组，如下图示： 在弹出窗口中，选择 new ip，指定虚拟 ip 地址：4（第一台 proxysg800），3（第二台 proxysg800），在 group setting 中，选择 enable，点击 ok 完成配置。并点击 apply 使配置生效。 2.5 配置配置代理服务端口代理服务端口 在 xxxxx 网络中 proxysg 将提供 http（80 端口）、socks（1080 端口）、 dns(53 端口)的代理服务，其它通讯如：msn、流媒体等均通过 http 或 socks 代理实现。 从 web 管理界面 man

12、agement console/configuration/services/service ports 进入， 如下图示： 其中，ssh-console（22）、telnet-console（23）、http-console（8081）是 为系统管理提供服务的端口，可以根据网络管理要求选择是否开放；dns- proxy（53）、http（80）和 socks（1080）必须 enable（yes），并且包括 explicit 属性，http（80）需要包括 transparent 属性。并点击 apply 使配置生效。 2.6 配置本地时钟配置本地时钟 从 web 管理界面 manageme

13、nt console/configuration/general/clock 进入，如下 图示： 选择本地时钟定义为8 区，并点击 apply 使配置生效。 2.7 配置配置 radius 认证服务认证服务 互联网访问用户将采用 radius 进行用户认证，用户分组通过 radius 的属性进 行定义，分组与属性对应关系如下： 工作组login(1) 管理组framed(2) 高级组call back login(3) 普通组call back framed(4) 临时组outbound(5) 从 web 管理界面 management console/configuration/authen

14、tication/radius 进 入，如下图示： 点击 new 生成 radius 配置，在弹出窗口中定义 radius 服务器地址，如下图 示： 其中，real name 定义为 radius，primary server host 中定义 radius 服务器 ip 地址：2（暂定），port 为 1812，secret 为 radius 中定义的通讯密 码；点击 ok 完成定义。并点击 apply 使配置生效。 注：port 和 secret 的定义必须与 radius 服务器中定义保持一致。 如需定义备份的 radius 服务器，在上部选项中选择 radius s

15、ervers，如下 图示： 在 alternate server 定义中，定义备用的 radius 服务器 ip 地址，及通讯密码。 从 web 管理界面 management console/configuration/authentication/transparent proxy 进入，如下图示： 其中，method 选定 ip，在 ip ttl 中定义 240 分钟（4 个小时），用户认证一 次将保持 4 小时；并点击 apply 使配置生效。 2.8 内容过滤列表定义及下载内容过滤列表定义及下载 在 proxysg 中加载 blue coat 分类列表作为互联网访问控制及 anti-

16、spyware 策 略的基础。 从 web 管理界面 management console/configuration/content filtering/bluecoat 进入，如下图示： 输入用户名/密码，选择 force full update，并点击 apply 使配置生效，然后点 击 download now 开始下载分类列表库。 分类列表下载结束后（第一次下载超过 80mbypes 数据，所需时间与网络和带 宽有关），定义自动下载更新，在上部选项中选择 automatic download，如下图示： 其中：选择每天 utc 时间下午 4:00（本地时间晚上 12:00）自动下载更

17、新，并 点击 apply 使配置生效。 启动动态分类模式，在上部菜单选择 dynamic categorization，如下图示： 选择 enable dynamic categorization 和 categorize dynamically in the background，并点击 apply 使配置生效。 选定使 blue coat 分类列表生效，从 web 管理界面 management console/configuration/content filtering/general 进入，如下图示： 选定 use blue coat web filter，并点击 apply 使配置

18、生效。 2.9 定义病毒扫描服务器定义病毒扫描服务器 对所有通过 proxysg 的 http、ftp 通讯进行病毒扫描，病毒扫描服务器采用 mcafee，proxysg 通过 icap 协议实现与 mcafee 病毒扫描服务器通讯。 从 web 管理界面 management console/configuration/external services/icap 进 入，点击 new 生成 icap 服务配置，如下图示： service 名为 mcafee_1 和 mcafee_2，选择服务名 mcafee_1，并点击 edit，进 入服务配置窗口，如下图示： 在 service url

19、中，定义 icap:/5，并点击 sense settings 从 mcafee 获 取病毒扫描参数配置，点击 register 定义进行健康检查，点击 ok 完成定义，并点 击 apply 使配置生效。 选择服务名 mcafee_2，并点击 edit，重复以上过程，并在 service url 中定义 icap:/6。 从 web 管理界面 management console/configuration/external services/serice- group 进入，将两台 mcafee 服务器定义为一个 group，点击 new 生成 servi

20、ce group 配置如下图示： service group 名定义为 mcafee_group，点击 edit 进行服务器组定义，如下图 示： 通过点击 new 将 mcafee_1 和 mcafee_2 加入 mcafee_group 中，点击 edit 可 以改变 group 成员的权重，选择 ok 完成配置，并点击 apply 使配置生效。 2.10 带宽管理定义带宽管理定义 根据带宽管理策略要求，定义七个带宽类，其中 work_group_bandwidth、management_group_bandwidth、high_level_group_band width、normal_g

21、roup_bandwidth、temp_group_bandwidth 分别对应工作组、管理 组、高级组、普通组、临时组的带宽管理要求，limit_app_bandwidth 对应高带宽 消耗应用的带宽管理策略，key_app_bandwidth 对应关键应用网站的带宽管理策 略。 从 web 管理界面 management console/configuration/bandwidth mgmt./bwm classes 进入，点击 new 定义带宽类，如下图示： 其中，需选中 enable bandwidth management，定义带宽类，并点击 apply 使配 置生效。 2.11

22、策略设置策略设置 2.11.1 配置配置 ddos 攻击防御攻击防御 通过 telnet、ssh 或 console 进入 proxysg 的命令行管理界面，进入 enable 状 态，通过命令 conf t 进入配置状态，通过以下命令启动 ddos 防御： attack-detection client enable-limits 2.11.2 设置缺省策略为设置缺省策略为 deny 从 web 管理界面 management console/configuration/policy/policy options 进入 缺省策略设置，如下图示： 其中，选择 deny，并点击 apply 使配

23、置生效。 2.11.3 配置配置 blue coat anti-spyware 策略策略 从 web 管理界面 management console/configuration/policy/policy files 进入缺省 策略设置，如下图示： 在 install local file from 的下拉框中选择 local file，点击 install，如下图示： 在弹出的窗口中，点击浏览，并选定 blue coat 发布的 anti-spyware 策略，选 择 install 将策略加载到 proxysg 中。 2.11.4 访问控制访问控制策略配置策略配置-vpm 访问控制策略通过

24、 blue coat 图视化界面 vpm 进行配置，从 web 管理界面 management console/configuration/policy/ visual policy manager 进入，并点击 launch，即可启动 vpm 界面，如下图示： 2.11.5 病毒扫描策略配置病毒扫描策略配置 定义对所有通过 proxysg 的流量进行病毒扫描，使用病毒扫描服务器组 mcafee_group。 从 vpm 的 policy 菜单选择 add web content layer，生成 web 内容控制策略 层，名字定义为 web av，并在第一条规则中，action 栏用鼠标右键

25、，选择 set， 在弹出的窗口中选择 new，选定 set icap response service，弹出窗口如下图示： 在 use icap response service 的下拉框中选择 mcafee_group，并选定 continure without further icap response，点击 ok，退到上一层，在窗口中选择 icapresponseservice1，并点击 ok，完成规则设置；如下图示： 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.6 用户认证策略设置用户认证策略设置 从 vpm 的 policy 菜

26、单选择 add web authentication layer，生成 web 访问用户 认证层，名字定义为 web_radius_auth，并在第一条规则中，action 栏用鼠标右键， 选择 set，在弹出的窗口中选择 new，选定 authenticate，弹出窗口如下图示： 在弹出的窗口中，realm 栏选定 radius(radius)，mode 中选定 proxy ip，点 击 ok，退到上一层，在窗口中选择 authenticate1，并点击 ok，完成规则设置； 如下图示： 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 从 vpm 的

27、 policy 菜单选择 add socks authentication layer，生成 socks 访 问用户认证层，名字定义为 socks_radius_auth，并在第一条规则中，action 栏 用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 socks authenticate，弹 出窗口如下图示： 其中，realm 中选定 radius(radius)，点击 ok，退到上一层，在窗口中选择 socksauthenticate1，并点击 ok，完成规则设置；如下图示： 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.

28、7 带宽管理策略定义带宽管理策略定义 从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 bandwidth_management，并在第一条规则中，source 栏用鼠标右键，选 择 set，在弹出的窗口中选择 new，选定 attribute，弹出窗口如下图示： 其中，定义 name 为 work_group，authentication realm 选定 radius(radius)，radius attribute 选定 login(1)，选择 ok，完成属性定义。 重复以上过程分别定义 name 为 managem

29、ent_group、high_level_group、normal_group、temp1_group，temp0_ group，temp2_group 分别对应 radius attribute 为 framed(2)、call back login(3)、 call back framed(4)、outbound(5)、nas prompt(7)、administrative(6)。 在第一条规则的 services 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 client protocol，弹出窗口如下图示： 其中，选定 p2p 和 all p2p，并选择 ok，完成定

30、义。 在第一条规则的 destination 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 url，弹出窗口如下图示： 在 simple match 中指定关键业务的域名，选择 add 增加定义，选择 close 结束 定义。 在第一条规则的 action 栏用鼠标右键，选择 set，在弹出的窗口中选择 new， 选定 manage bandwidth，弹出窗口如下图示： 其中，name 定义为 key_app_bandwidth，limit bandwidth on 中选定 server side 和 inbound，在 bandwidth class 中选定 key_app

31、_bandwidth，选择 ok 完成定 义； 重复以上过程，定义名 name 为 limit_app_bandwidth_in，属性为 server side inbound，bandwidth class 为 limit_app_bandwidth； 定义名 name 为 limit_app_bandwidth_out，属性为 server side outbound，bandwidth class 为 limit_app_bandwidth； 定义名 name 为 work_group_bandwidth，属性为 server side inbound，bandwidth class 为

32、 work_group_bandwidth； 定义名 name 为 management_group_bandwidth，属性为 server side inbound，bandwidth class 为 management_group_bandwidth； 定义名 name 为 high_level_group_bandwidth，属性为 server side inbound，bandwidth class 为 high_level_group_bandwidth； 定义名 name 为 normal_group_bandwidth，属性为 server side inbound，ban

33、dwidth class 为 normal_group_bandwidth； 定义名 name 为 temp_group_bandwidth，属性为 server side inbound，bandwidth class 为 temp_group_bandwidth。 在 vpm 界面点击 add rule 增加七条规则，总共八条规则， 第一条规则定义：在 destination 栏用鼠标右键，选择 set，在弹出窗口中选择 以上定义的关键业务 url，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择 key_app_bandwidth； 第二条规则定义：在 service 栏用

34、鼠标右键，选择 set，在弹出窗口中选择 all p2p，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择 limit_app_bandwidth_in； 第三条规则定义：在 service 栏用鼠标右键，选择 set，在弹出窗口中选择 all p2p，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择 limit_app_bandwidth_out； 第四条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择 work_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择 work_group_bandwidth； 第五条规

35、则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择 management_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择 management_group_bandwidth； 第六条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择 high_level_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择 high_level_group_bandwidth； 第七条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择 normal_group，在 action 栏用鼠标右键，选

36、择 set，在弹出窗口中选择 normal_group_bandwidth； 第八条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择 temp_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择 temp_group_bandwidth。 完成定义如下图示： 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.8 work_group 用户组访问控制策略定义用户组访问控制策略定义 从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为

37、 work_group_policy，通过 add rule 增加两条规则。 在第一条规则的 services 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 client protocol，弹出窗口如下图示： 其中，选定 socks 和 all socks，并选择 ok，完成定义。 再选择 new，选定 client protocol，在弹出窗口中选定 streaming 和 all streaming。 在 vpm 菜单选择 add rule 增加两条规则，共三条规则。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 work_group，在 s

38、ervices 栏用鼠标右键，选择 set，在弹出的窗口中选定 all socks，在 action 栏用鼠标右键，选择 deny。 在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 work_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all streaming，在 action 栏用鼠标右键，选择 deny。 在第三条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 work_group，在 action 栏用鼠标右键，选择 allow。 完成规则定义，如下图示： 在 vpm 菜单中点击 install

39、policy 将策略加载到 proxysg 中。 2.11.9 management_group 用户组访问控制策略定义用户组访问控制策略定义 从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 management_group_policy。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 management_group，在 action 栏用鼠标右键，选择 allow。 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.10 high_le

40、vel_group 用户组访问控制策略定义用户组访问控制策略定义 从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 high_level_group_policy。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 high_level_group，在 action 栏用鼠标右键，选择 allow。 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.11 normal_group 用户组访问控制策略定义用户组访问控制策略定义 从 vpm 的 po

41、licy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 normal_group_policy。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 normal_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all streaming，在 action 栏用鼠标右键，选择 deny。 在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 normal_group，在 action 栏用鼠标右键，选择 allow。 在 vpm 菜单中点击 install poli

42、cy 将策略加载到 proxysg 中。 2.11.12 temp1_group 用户组访问控制策略定义用户组访问控制策略定义 从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 temp1_group_policy。 在第一条规则的 services 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 client protocol，弹出窗口如下图示： 其中，选定 ftp 和 all ftp，并选择 ok，完成定义。 在 vpm 菜单选择 add rule 增加四条规则，共五条规则。 在第一条规则中，source

43、 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp1_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all socks，在 action 栏用鼠标右键，选择 deny。 在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp1_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all streaming，在 action 栏用鼠标右键，选择 deny。 在第三条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp1_group，在 services 栏用鼠标右键

44、，选择 set，在弹出的窗口中选定 all ftp，在 action 栏用鼠标右键，选择 deny。 在第四条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp1_group，在 destination 栏用鼠标右键，选择 set，在弹出的窗口中选定 new，选择 url，定义 simple match 中域名为 ，在 action 栏用鼠标 右键，选择 deny。 在第五条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp1_group，在 action 栏用鼠标右键，选择 allow。 完成规则定义，如下图示： 在 vpm 菜单中点击

45、 install policy 将策略加载到 proxysg 中。 2.11.13 temp0_group 用户组访问控制策略定义用户组访问控制策略定义 从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 temp0_group_policy。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp0_group，在 action 栏用鼠标右键，选择 allow。 完成规则定义，如下图示： 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.14

46、 temp2_group 用户组访问控制策略定义用户组访问控制策略定义 从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 temp2_group_policy。 在 vpm 菜单选择 add rule 增加二条规则，共三条规则。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp2_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all socks，在 action 栏用鼠标右键，选择 deny。 在第二条规则中，source 栏用鼠标右键，选择 set

47、，在弹出的窗口中选择 temp2_group，在 destination 栏用鼠标右键，选择 set，在弹出的窗口中选定 new，选择 url，定义 simple match 中域名为 ，在 action 栏用鼠标 右键，选择 deny。 在第三条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 temp2_group，在 action 栏用鼠标右键，选择 allow。 完成规则定义，如下图示： 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.15 ie 浏览器版本检查策略浏览器版本检查策略 从 vpm 的 policy

48、菜单选择 add web access layer，生成 web 访问控制层，名 字定义为 browser_version_check，通过 add rule 增加一条规则，共两条规则。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选择 request header，弹出窗口如下图示： 其中，name 定义为 requestheader_ie6，在 header name 下拉框中选择 user- agent，在 header regex 中输入.*msie6.*，点击 ok 完成定义。 在第一条规则中，source 栏用鼠标右键，选择 set，在弹出

49、的窗口中选择 requestheader_ie6，在 destination 栏用鼠标右键，选择 set，在弹出的窗口中点击 new，选择 url，定义 ，在 action 栏用鼠标右键，选择 allow。 在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 requestheader_ie6，在 action 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，并选择 deny，弹出窗口如下图示： 选定 force deny，details 提示为：please upgrade your browser to ie6.x，点击 ok 完成定义，并在返回的窗口中选定 deny1，点击 ok，完成定义。如下图示： 在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。 2.11.16 dns 解析策略设置解析策略设置 proxysg 将为用户提供 dns 解析服务，将对解析请求应答 proxysg 的 ip 地址， 配置过程如下： 从 vpm 的 policy 菜单选择 add dns access layer，生成