BlueCoat互联网代理安全网关功能需求文档

1、互联网代理安全网关功能需求文档互联网代理安全网关功能需求文档2011 年 1 月目目 录录一、一、 安装设备及安装环境安装设备及安装环境.41.1 实施设备清单 .41.2 实施拓朴结构图 .4二、二、 实施步骤实施步骤.52.1 物理连接 .52.2 初始 ip 地址配置.52.3 远程管理软件配置 .52.4 网络配置 .62.4.1 adapter 1地址配置.62.4.2 静态路由配置.72.4.3 配置外网dns服务器.92.4.4 配置虚拟ip地址.92.4.5 配置fail over .102.5 配置代理服务端口 .122.6 配置本地时钟 .132.7 配置 radius认证

2、服务.132.8 内容过滤列表定义及下载 .162.9 定义病毒扫描服务器 .182.10 带宽管理定义 .222.11 策略设置 .232.11.1 配置ddos攻击防御.232.11.2 设置缺省策略为deny.232.11.3 配置blue coat anti-spyware策略.242.11.4 访问控制策略配置-vpm.252.11.5 病毒扫描策略配置.252.11.6 用户认证策略设置.272.11.7 带宽管理策略定义.292.11.8 work_group用户组访问控制策略定义.342.11.9 management_group用户组访问控制策略定义.362.11.10 hi

3、gh_level_group用户组访问控制策略定义.362.11.11 normal_group用户组访问控制策略定义.372.11.12 temp_group用户组访问控制策略定义.372.11.13 ie浏览器版本检查策略.392.11.14 dns解析策略设置.41一、一、 安装设备及安装环境安装设备及安装环境1.1 实施实施设备清单设备清单bluecoat 安全代理专用设备 sg60010 一台，av510-a 一台，bcwf 内容过滤，mcafee 防病毒,企业版报表模块。1.2 实施实施拓朴结构图拓朴结构图bluecoat 设备 sg600-103 配置于内网，av510-a 与

4、sg600-10 之间通过icap 协议建立通信。连接方法有以下几种，网络示意结构如下图：旁路模式：二、二、 实施步骤实施步骤2.1 物理连接物理连接两台 bluecoat sg8002 的 adapter0_interface 0 和 adapter1_interface0 通过以太网双绞线连接于两台 radware cid 交换机。2.2 初始初始 ip 地址配置地址配置通过设备前控制面板可以设置 proxysg800-2 的 adapter0_interface0 的地址为：第一台 sg8002：(ip) 24(mask) 191.32.1.

5、1(default gateway)第二台 sg8002：1(ip) 24(mask) (default gateway)2.3 远程管理软件配置远程管理软件配置bluecoat 安全代理专用设备通过 ie 浏览器和 ssh 命令进行管理，浏览器管理端口为 8082，管理用的 pc 机需安装了 java 运行环境。管理界面的 url 为：:8082 和 1:80822.4 网络配置网络配置在 xxxxx 网络环境中，(1)proxysg800-2 两个端口均需配

6、置 ip 地址；(2)除缺省路由指向防火墙，还需一条静态路由，作为内网通讯的路由，(3)配置外网 dns，以便 proxysg 到互联网的访问，(4) 每台另外需要一个虚拟 ip 地址，作为内部员工的 dns 解析服务器 ip 地址；(5)对虚拟 ip 地址配置 fail over，当一台 proxysg 停止工作，其虚拟 ip 将切换到另外一台。2.4.1 adapter 1 地址配置地址配置从 web 管理界面 management console/configuration/network/adapter 进入，在adapters 下拉框中选择 adapter1，并在 ip addres

7、s for interface 0 和 subnet mask for interface 0 中配置 ip 地址和子网掩码，如下图示：第一台 proxysg800-2 的 ip 地址为：0，掩码：24第二台 proxysg800-2 的 ip 地址为：2，掩码：24点击 apply 使配置生效。2.4.2 静态路由配置静态路由配置从 web 管理界面 management console/configuration/network/routing 进入，在窗口上部选项中选择 routing，并在 in

8、stall routing table from 下拉框中选择 text editor，如下图示：点击 install，并在弹出窗口中输入静态路由： 如下图示：点击 install 使配置生效。2.4.3 配置外网配置外网 dns 服务器服务器从 web 管理界面 management console/configuration/network/dns 进入，如下图示：点击 new 增加外网 dns 服务器 ip 地址，并点击 apply 使配置生效。2.4.4 配置虚拟配置虚拟 ip 地址地址从 web 管理界面 managemen

9、t console/configuration/network/advanced 进入，在窗口上部选项中选择 vips，如下图示：点击 new 配置虚拟 ip 地址，并点击 apply 使配置生效。第一台 proxysg800-2 的虚拟 ip 地址为：3第二台 proxysg800-2 的虚拟 ip 地址为：42.4.5 配置配置 fail over从 web 管理界面 management console/configuration/network/advanced 进入，在窗口上部选项中选择 failover，如下图示：点击 new 配置 fail

10、over 组，如下图示：在弹出窗口中，选择 existing ip，并在下拉框中选择已定义的虚拟 ip 地址：3（第一台 proxysg800），4（第二台 proxysg800），在group setting 中，选择 enable，并在 relative priority 中选中 master，点击 ok 完成配置。并点击 apply 使配置生效。点击 new 配置另一个 failover 组，如下图示：在弹出窗口中，选择 new ip，指定虚拟 ip 地址：4（第一台proxysg800），3（第二台 pro

11、xysg800），在 group setting 中，选择enable，点击 ok 完成配置。并点击 apply 使配置生效。2.5 配置配置代理服务端口代理服务端口在 xxxxx 网络中 proxysg 将提供 http（80 端口）、socks（1080 端口）、dns(53 端口)的代理服务，其它通讯如：msn、流媒体等均通过 http 或 socks代理实现。从 web 管理界面 management console/configuration/services/service ports 进入，如下图示：其中，ssh-console（22）、telnet-console（23）、ht

12、tp-console（8081）是为系统管理提供服务的端口，可以根据网络管理要求选择是否开放；dns-proxy（53）、http（80）和 socks（1080）必须 enable（yes），并且包括explicit 属性，http（80）需要包括 transparent 属性。并点击 apply 使配置生效。2.6 配置本地时钟配置本地时钟从 web 管理界面 management console/configuration/general/clock 进入，如下图示：选择本地时钟定义为8 区，并点击 apply 使配置生效。2.7 配置配置 radius 认证服务认证服务互联网访问用户将

13、采用 radius 进行用户认证，用户分组通过 radius 的属性进行定义，分组与属性对应关系如下：工作组login(1)管理组framed(2)高级组call back login(3)普通组call back framed(4)临时组outbound(5)从 web 管理界面 management console/configuration/authentication/radius 进入，如下图示：点击 new 生成 radius 配置，在弹出窗口中定义 radius 服务器地址，如下图示：其中，real name 定义为 radius，primary server host 中定义

14、radius 服务器ip 地址：2（暂定），port 为 1812，secret 为 radius 中定义的通讯密码；点击 ok 完成定义。并点击 apply 使配置生效。注：port 和 secret 的定义必须与 radius 服务器中定义保持一致。如需定义备份的 radius 服务器，在上部选项中选择 radius servers，如下图示：在 alternate server 定义中，定义备用的 radius 服务器 ip 地址，及通讯密码。从 web 管理界面 management console/configuration/authentication/tran

15、sparent proxy 进入，如下图示：其中，method 选定 ip，在 ip ttl 中定义 240 分钟（4 个小时），用户认证一次将保持 4 小时；并点击 apply 使配置生效。2.8 内容过滤列表定义及下载内容过滤列表定义及下载在 proxysg 中加载 blue coat 分类列表作为互联网访问控制及 anti-spyware 策略的基础。从 web 管理界面 management console/configuration/content filtering/bluecoat进入，如下图示：输入用户名/密码，选择 force full update，并点击 apply 使配

16、置生效，然后点击 download now 开始下载分类列表库。分类列表下载结束后（第一次下载超过 80mbypes 数据，所需时间与网络和带宽有关），定义自动下载更新，在上部选项中选择 automatic download，如下图示：其中：选择每天 utc 时间下午 4:00（本地时间晚上 12:00）自动下载更新，并点击 apply 使配置生效。启动动态分类模式，在上部菜单选择 dynamic categorization，如下图示：选择 enable dynamic categorization 和 categorize dynamically in the background，并点击

17、 apply 使配置生效。选定使 blue coat 分类列表生效，从 web 管理界面 management console/configuration/content filtering/general 进入，如下图示：选定 use blue coat web filter，并点击 apply 使配置生效。2.9 定义病毒扫描服务器定义病毒扫描服务器对所有通过 proxysg 的 http、ftp 通讯进行病毒扫描，病毒扫描服务器采用mcafee，proxysg 通过 icap 协议实现与 mcafee 病毒扫描服务器通讯。从 web 管理界面 management console/con

18、figuration/external services/icap 进入，点击 new 生成 icap 服务配置，如下图示：service 名为 mcafee_1 和 mcafee_2，选择服务名 mcafee_1，并点击 edit，进入服务配置窗口，如下图示：在 service url 中，定义 icap:/5，并点击 sense settings 从 mcafee 获取病毒扫描参数配置，点击 register 定义进行健康检查，点击 ok 完成定义，并点击 apply 使配置生效。选择服务名 mcafee_2，并点击 edit，重复以上过程，并在 service url

19、中定义icap:/6。从 web 管理界面 management console/configuration/external services/serice-group 进入，将两台 mcafee 服务器定义为一个 group，点击 new 生成 service group 配置如下图示：service group 名定义为 mcafee_group，点击 edit 进行服务器组定义，如下图示：通过点击 new 将 mcafee_1 和 mcafee_2 加入 mcafee_group 中，点击 edit 可以改变 group 成员的权重，选择 ok 完成配置，并点击 ap

20、ply 使配置生效。2.10 带宽管理定义带宽管理定义根据带宽管理策略要求，定义七个带宽类，其中work_group_bandwidth、management_group_bandwidth、high_level_group_bandwidth、normal_group_bandwidth、temp_group_bandwidth 分别对应工作组、管理组、高级组、普通组、临时组的带宽管理要求，limit_app_bandwidth 对应高带宽消耗应用的带宽管理策略，key_app_bandwidth 对应关键应用网站的带宽管理策略。从 web 管理界面 management console/c

21、onfiguration/bandwidth mgmt./bwm classes 进入，点击 new 定义带宽类，如下图示：其中，需选中 enable bandwidth management，定义带宽类，并点击 apply 使配置生效。2.11 策略设置策略设置2.11.1 配置配置 ddos 攻击防御攻击防御通过 telnet、ssh 或 console 进入 proxysg 的命令行管理界面，进入 enable 状态，通过命令 conf t 进入配置状态，通过以下命令启动 ddos 防御：attack-detectionclientenable-limits2.11.2 设置缺省策略为设

22、置缺省策略为 deny从 web 管理界面 management console/configuration/policy/policy options 进入缺省策略设置，如下图示：其中，选择 deny，并点击 apply 使配置生效。2.11.3 配置配置 blue coat anti-spyware 策略策略从 web 管理界面 management console/configuration/policy/policy files 进入缺省策略设置，如下图示：在 install local file from 的下拉框中选择 local file，点击 install，如下图示：在弹出的

23、窗口中，点击浏览，并选定 blue coat 发布的 anti-spyware 策略，选择 install 将策略加载到 proxysg 中。2.11.4 访问控制访问控制策略配置策略配置-vpm访问控制策略通过 blue coat 图视化界面 vpm 进行配置，从 web 管理界面management console/configuration/policy/ visual policy manager 进入，并点击launch，即可启动 vpm 界面，如下图示：2.11.5 病毒扫描策略配置病毒扫描策略配置定义对所有通过 proxysg 的流量进行病毒扫描，使用病毒扫描服务器组mcafee

24、_group。从 vpm 的 policy 菜单选择 add web content layer，生成 web 内容控制策略层，名字定义为 web av，并在第一条规则中，action 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 set icap response service，弹出窗口如下图示：在 use icap response service 的下拉框中选择 mcafee_group，并选定continure without further icap response，点击 ok，退到上一层，在窗口中选择icapresponseservice1，并点击 ok，完成规

25、则设置；如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.6 用户认证策略设置用户认证策略设置从 vpm 的 policy 菜单选择 add web authentication layer，生成 web 访问用户认证层，名字定义为 web_radius_auth，并在第一条规则中，action 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 authenticate，弹出窗口如下图示：在弹出的窗口中，realm 栏选定 radius(radius)，mode 中选定 proxy ip，点击 ok，退到上一层，在窗口中选择

26、 authenticate1，并点击 ok，完成规则设置；如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。从 vpm 的 policy 菜单选择 add socks authentication layer，生成 socks 访问用户认证层，名字定义为 socks_radius_auth，并在第一条规则中，action 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 socks authenticate，弹出窗口如下图示：其中，realm 中选定 radius(radius)，点击 ok，退到上一层，在窗口中选择socksauth

27、enticate1，并点击 ok，完成规则设置；如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.7 带宽管理策略定义带宽管理策略定义从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 bandwidth_management，并在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 attribute，弹出窗口如下图示：其中，定义 name 为 work_group，authentication realm 选定radius(rad

28、ius)，radius attribute 选定 login(1)，选择 ok，完成属性定义。重复以上过程分别定义 name 为management_group、high_level_group、normal_group、temp1_group，temp0_group，temp2_group 分别对应 radius attribute 为 framed(2)、call back login(3)、call back framed(4)、outbound(5)、nas prompt(7)、administrative(6)。在第一条规则的 services 栏用鼠标右键，选择 set，在弹出的窗

29、口中选择new，选定 client protocol，弹出窗口如下图示：其中，选定 p2p 和 all p2p，并选择 ok，完成定义。在第一条规则的 destination 栏用鼠标右键，选择 set，在弹出的窗口中选择new，选定 url，弹出窗口如下图示：在 simple match 中指定关键业务的域名，选择 add 增加定义，选择 close 结束定义。在第一条规则的 action 栏用鼠标右键，选择 set，在弹出的窗口中选择 new，选定 manage bandwidth，弹出窗口如下图示：其中，name 定义为 key_app_bandwidth，limit bandwidth

30、 on 中选定 server side 和 inbound，在 bandwidth class 中选定 key_app_bandwidth，选择 ok 完成定义；重复以上过程，定义名 name 为 limit_app_bandwidth_in，属性为 server side inbound，bandwidth class 为 limit_app_bandwidth；定义名 name 为 limit_app_bandwidth_out，属性为 server side outbound，bandwidth class 为 limit_app_bandwidth；定义名 name 为 work_gr

31、oup_bandwidth，属性为 server side inbound，bandwidth class 为 work_group_bandwidth；定义名 name 为 management_group_bandwidth，属性为 server side inbound，bandwidth class 为 management_group_bandwidth；定义名 name 为 high_level_group_bandwidth，属性为 server side inbound，bandwidth class 为 high_level_group_bandwidth；定义名 name

32、为 normal_group_bandwidth，属性为 server side inbound，bandwidth class 为 normal_group_bandwidth；定义名 name 为 temp_group_bandwidth，属性为 server side inbound，bandwidth class 为 temp_group_bandwidth。在 vpm 界面点击 add rule 增加七条规则，总共八条规则，第一条规则定义：在 destination 栏用鼠标右键，选择 set，在弹出窗口中选择以上定义的关键业务 url，在 action 栏用鼠标右键，选择 set，

33、在弹出窗口中选择key_app_bandwidth；第二条规则定义：在 service 栏用鼠标右键，选择 set，在弹出窗口中选择 all p2p，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择limit_app_bandwidth_in；第三条规则定义：在 service 栏用鼠标右键，选择 set，在弹出窗口中选择 all p2p，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择limit_app_bandwidth_out；第四条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择work_group，在 action 栏用鼠标右键，选

34、择 set，在弹出窗口中选择work_group_bandwidth；第五条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择management_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择management_group_bandwidth；第六条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择high_level_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择high_level_group_bandwidth；第七条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中

35、选择normal_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择normal_group_bandwidth；第八条规则定义：在 source 栏用鼠标右键，选择 set，在弹出窗口中选择temp_group，在 action 栏用鼠标右键，选择 set，在弹出窗口中选择temp_group_bandwidth。完成定义如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.8 work_group 用户组访问控制策略定义用户组访问控制策略定义从 vpm 的 policy 菜单选择 add web access l

36、ayer，生成 web 访问控制层，名字定义为 work_group_policy，通过 add rule 增加两条规则。在第一条规则的 services 栏用鼠标右键，选择 set，在弹出的窗口中选择new，选定 client protocol，弹出窗口如下图示：其中，选定 socks 和 all socks，并选择 ok，完成定义。再选择 new，选定 client protocol，在弹出窗口中选定 streaming 和 all streaming。在 vpm 菜单选择 add rule 增加两条规则，共三条规则。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中

37、选择work_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all socks，在 action 栏用鼠标右键，选择 deny。在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择work_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all streaming，在 action 栏用鼠标右键，选择 deny。在第三条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择work_group，在 action 栏用鼠标右键，选择 allow。完成规则定义，如下图示：在 vpm 菜单中点

38、击 install policy 将策略加载到 proxysg 中。2.11.9 management_group 用户组访问控制策略定义用户组访问控制策略定义从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 management_group_policy。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择management_group，在 action 栏用鼠标右键，选择 allow。在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.10 high

39、_level_group 用户组访问控制策略定义用户组访问控制策略定义从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 high_level_group_policy。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择high_level_group，在 action 栏用鼠标右键，选择 allow。在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.11 normal_group 用户组访问控制策略定义用户组访问控制策略定义从 vpm 的 policy

40、 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 normal_group_policy。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择normal_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all streaming，在 action 栏用鼠标右键，选择 deny。在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择normal_group，在 action 栏用鼠标右键，选择 allow。在 vpm 菜单中点击 install policy 将策略加载到

41、proxysg 中。2.11.12 temp1_group 用户组访问控制策略定义用户组访问控制策略定义从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 temp1_group_policy。在第一条规则的 services 栏用鼠标右键，选择 set，在弹出的窗口中选择new，选定 client protocol，弹出窗口如下图示：其中，选定 ftp 和 all ftp，并选择 ok，完成定义。在 vpm 菜单选择 add rule 增加四条规则，共五条规则。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出

42、的窗口中选择temp1_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all socks，在 action 栏用鼠标右键，选择 deny。在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp1_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all streaming，在 action 栏用鼠标右键，选择 deny。在第三条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp1_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all f

43、tp，在 action 栏用鼠标右键，选择 deny。在第四条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp1_group，在 destination 栏用鼠标右键，选择 set，在弹出的窗口中选定new，选择 url，定义 simple match 中域名为 ，在 action 栏用鼠标右键，选择 deny。在第五条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp1_group，在 action 栏用鼠标右键，选择 allow。完成规则定义，如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg

44、中。2.11.13 temp0_group 用户组访问控制策略定义用户组访问控制策略定义从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 temp0_group_policy。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp0_group，在 action 栏用鼠标右键，选择 allow。完成规则定义，如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.14 temp2_group 用户组访问控制策略定义用户组访问控制策略定义从 vp

45、m 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 temp2_group_policy。在 vpm 菜单选择 add rule 增加二条规则，共三条规则。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp2_group，在 services 栏用鼠标右键，选择 set，在弹出的窗口中选定 all socks，在 action 栏用鼠标右键，选择 deny。在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp2_group，在 destination 栏用鼠标右键，选择

46、 set，在弹出的窗口中选定new，选择 url，定义 simple match 中域名为 ，在 action 栏用鼠标右键，选择 deny。在第三条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择temp2_group，在 action 栏用鼠标右键，选择 allow。完成规则定义，如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.15 ie 浏览器版本检查策略浏览器版本检查策略从 vpm 的 policy 菜单选择 add web access layer，生成 web 访问控制层，名字定义为 browser_v

47、ersion_check，通过 add rule 增加一条规则，共两条规则。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择new，选择 request header，弹出窗口如下图示：其中，name 定义为 requestheader_ie6，在 header name 下拉框中选择 user-agent，在 header regex 中输入.*msie6.*，点击 ok 完成定义。在第一条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择requestheader_ie6，在 destination 栏用鼠标右键，选择 set，在弹出的窗口中点

48、击new，选择 url，定义 ，在 action 栏用鼠标右键，选择 allow。在第二条规则中，source 栏用鼠标右键，选择 set，在弹出的窗口中选择requestheader_ie6，在 action 栏用鼠标右键，选择 set，在弹出的窗口中选择new，并选择 deny，弹出窗口如下图示：选定 force deny，details 提示为：please upgrade your browser to ie6.x，点击ok 完成定义，并在返回的窗口中选定 deny1，点击 ok，完成定义。如下图示：在 vpm 菜单中点击 install policy 将策略加载到 proxysg 中。2.11.16 dns 解析策略设置解析策略设置proxysg 将为用户提供 dns 解析服务，将对解析请求应答 proxysg 的 ip 地址，配置过程如下：从 vpm 的 policy 菜单选择 add dns access layer，生成 dns 访问控制层