BlueCoat代理服务器配置说明

...wd......wd......wd...互联网代理安全网关功能需求文档2011年1月目录TOC\o"1-3"\h\z一、安装设备及安装环境41.1实施设备清单41.2实施拓朴构造图4二、实施步骤52.1物理连接52.2初始IP地址配置52.3远程管理软件配置52.4网络配置62.4.1Adapter1地址配置62.4.2静态路由配置72.4.3配置外网DNS服务器92.4.4配置虚拟IP地址92.4.5配置FailOver102.5配置代理服务端口122.6配置本地时钟132.7配置Radius认证服务132.8内容过滤列表定义及下载162.9定义病毒扫描服务器182.10带宽管理定义222.11策略设置232.11.1配置DDOS攻击防御232.11.2设置缺省策略为DENY232.11.3配置BlueCoatAnti-Spyware策略242.11.4访问控制策略配置-VPM252.11.5病毒扫描策略配置252.11.6用户认证策略设置272.11.7带宽管理策略定义292.11.8Work_Group用户组访问控制策略定义342.11.9Management_Group用户组访问控制策略定义362.11.10High_Level_Group用户组访问控制策略定义362.11.11Normal_Group用户组访问控制策略定义372.11.12Temp_Group用户组访问控制策略定义372.11.13IE浏览器版本检查策略392.11.14DNS解析策略设置41安装设备及安装环境实施设备清单Bluecoat安全代理专用设备SG600－10一台，AV510-A一台，BCWF内容过滤，MCAFEE防病毒,企业版报表模块。实施拓朴构造图Bluecoat设备SG600-10－3配置于内网，AV510-A与SG600-10之间通过ICAP协议建设通信。连接方法有以下几种，网络示意构造如以下列图：旁路模式：实施步骤物理连接两台BluecoatSG800－2的Adapter0_Interface0和Adapter1_Interface0通过以太网双绞线连接于两台RadwareCID交换机。初始IP地址配置通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为：第一台SG800－2：(IP) 24(Mask) (DefaultGateway)第二台SG800－2：1(IP) 24(Mask) (DefaultGateway) 远程管理软件配置Bluecoat安全代理专用设备通过IE浏览器和SSH命令进展管理，浏览器管理端口为8082，管理用的PC机需安装了Java运行环境。管理界面的URL为：s://:8082和s://1:8082网络配置在xxxxx网络环境中，(1)ProxySG800-2两个端口均需配置IP地址；(2)除缺省路由指向防火墙，还需一条静态路由，作为内网通讯的路由，(3)配置外网DNS，以便ProxySG到互联网的访问，(4)每台另外需要一个虚拟IP地址，作为内部员工的DNS解析服务器IP地址；(5)对虚拟IP地址配置FailOver，当一台ProxySG停顿工作，其虚拟IP将切换到另外一台。Adapter1地址配置从Web管理界面ManagementConsole/Configuration/Network/Adapter进入，在Adapters下拉框中选择Adapter1，并在IPaddressforInterface0和SubnetmaskforInterface0中配置IP地址和子网掩码，如以下列图示： 第一台ProxySG800-2的IP地址为：0，掩码：24 第二台ProxySG800-2的IP地址为：2，掩码：24点击Apply使配置生效。静态路由配置从Web管理界面ManagementConsole/Configuration/Network/Routing进入，在窗口上部选项中选择Routing，并在InstallRoutingtablefrom下拉框中选择TextEditor，如以下列图示：点击Install，并在弹出窗口中输入静态路由：如以下列图示：点击Install使配置生效。配置外网DNS服务器从Web管理界面ManagementConsole/Configuration/Network/DNS进入，如以下列图示：点击New增加外网DNS服务器IP地址，并点击Apply使配置生效。配置虚拟IP地址从Web管理界面ManagementConsole/Configuration/Network/Advanced进入，在窗口上部选项中选择VIPs，如以下列图示：点击New配置虚拟IP地址，并点击Apply使配置生效。第一台ProxySG800-2的虚拟IP地址为：3第二台ProxySG800-2的虚拟IP地址为：4配置FailOver从Web管理界面ManagementConsole/Configuration/Network/Advanced进入，在窗口上部选项中选择Failover，如以下列图示：点击New配置Failover组，如以下列图示：在弹出窗口中，选择ExistingIP，并在下拉框中选择已定义的虚拟IP地址：3〔第一台ProxySG800〕，4〔第二台ProxySG800〕，在GroupSetting中，选择Enable，并在RelativePriority中选中Master，点击OK完成配置。并点击Apply使配置生效。点击New配置另一个Failover组，如以下列图示：在弹出窗口中，选择NewIP，指定虚拟IP地址：4〔第一台ProxySG800〕，3〔第二台ProxySG800〕，在GroupSetting中，选择Enable，点击OK完成配置。并点击Apply使配置生效。配置代理服务端口在xxxxx网络中ProxySG将提供〔80端口〕、SOCKS〔1080端口〕、DNS(53端口)的代理服务，其它通讯如：MSN、流媒体等均通过或SOCKS代理实现。从Web管理界面ManagementConsole/Configuration/Services/ServicePorts进入，如以下列图示：其中，SSH-Console〔22〕、Telnet-Console〔23〕、-Console〔8081〕是为系统管理提供服务的端口，可以根据网络管理要求选择是否开放；DNS-Proxy〔53〕、〔80〕和SOCKS〔1080〕必须Enable〔Yes〕，并且包括Explicit属性，〔80〕需要包括Transparent属性。并点击Apply使配置生效。配置本地时钟从Web管理界面ManagementConsole/Configuration/General/Clock进入，如以下列图示：选择本地时钟定义为＋8区，并点击Apply使配置生效。配置Radius认证服务互联网访问用户将采用Radius进展用户认证，用户分组通过Radius的属性进展定义，分组与属性对应关系如下：工作组 Login(1)管理组 Framed(2)高级组 CallBacklogin(3)普通组 CallBackFramed(4)临时组 Outbound(5)从Web管理界面ManagementConsole/Configuration/Authentication/RADIUS进入，如以下列图示：点击New生成RADIUS配置，在弹出窗口中定义Radius服务器地址，如以下列图示：其中，RealName定义为RADIUS，Primaryserverhost中定义RADIUS服务器IP地址：2〔暂定〕，Port为1812，Secret为RADIUS中定义的通讯密码；点击OK完成定义。并点击Apply使配置生效。注：Port和Secret的定义必须与RADIUS服务器中定义保持一致。如需定义备份的RADIUS服务器，在上部选项中选择RADIUSServers，如以下列图示：在AlternateServer定义中，定义备用的RADIUS服务器IP地址，及通讯密码。从Web管理界面ManagementConsole/Configuration/Authentication/TransparentProxy进入，如以下列图示：其中，Method选定IP，在IPTTL中定义240分钟〔4个小时〕，用户认证一次将保持4小时；并点击Apply使配置生效。内容过滤列表定义及下载在ProxySG中加载BlueCoat分类列表作为互联网访问控制及Anti-Spyware策略的根基。从Web管理界面ManagementConsole/Configuration/ContentFiltering/Bluecoat进入，如以下列图示：输入用户名/密码，选择ForceFullUpdate，并点击Apply使配置生效，然后点击DownloadNow开场下载分类列表库。分类列表下载完毕后〔第一次下载超过80Mbypes数据，所需时间与网络和带宽有关〕，定义自动下载更新，在上部选项中选择AutomaticDownload，如以下列图示：其中：选择每天UTC时间下午4:00〔本地时间晚上12:00〕自动下载更新，并点击Apply使配置生效。启动动态分类模式，在上部菜单项选择择DynamicCategorization，如以下列图示：选择EnableDynamicCategorization和Categorizedynamicallyinthebackground，并点击Apply使配置生效。选定使BlueCoat分类列表生效，从Web管理界面ManagementConsole/Configuration/ContentFiltering/General进入，如以下列图示：选定UseBlueCoatWebFilter，并点击Apply使配置生效。定义病毒扫描服务器对所有通过ProxySG的、FTP通讯进展病毒扫描，病毒扫描服务器采用McAfee，ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。从Web管理界面ManagementConsole/Configuration/ExternalServices/ICAP进入，点击New生成ICAP服务配置，如以下列图示：Service名为McAfee_1和McAfee_2，选择服务名McAfee_1，并点击Edit，进入服务配置窗口，如以下列图示：在ServiceURL中，定义icap://5，并点击Sensesettings从McAfee获取病毒扫描参数配置，点击Register定义进展安康检查，点击OK完成定义，并点击Apply使配置生效。选择服务名McAfee_2，并点击Edit，重复以上过程，并在ServiceURL中定义icap://6。从Web管理界面ManagementConsole/Configuration/ExternalServices/Serice-Group进入，将两台McAfee服务器定义为一个Group，点击New生成ServiceGroup配置如以下列图示：ServiceGroup名定义为McAfee_Group，点击Edit进展服务器组定义，如以下列图示：通过点击New将McAfee_1和McAfee_2参加McAfee_Group中，点击Edit可以改变Group成员的权重，选择OK完成配置，并点击Apply使配置生效。带宽管理定义根据带宽管理策略要求，定义七个带宽类，其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、Normal_Group_Bandwidth、Temp_Group_Bandwidth分别对应工作组、管理组、高级组、普通组、临时组的带宽管理要求，Limit_App_Bandwidth对应高带宽消耗应用的带宽管理策略，Key_App_Bandwidth对应关键应用网站的带宽管理策略。从Web管理界面ManagementConsole/Configuration/BandwidthMgmt./BWMClasses进入，点击New定义带宽类，如以下列图示：其中，需选中EnableBandwidthManagement，定义带宽类，并点击Apply使配置生效。策略设置配置DDOS攻击防御通过Telnet、SSH或Console进入ProxySG的命令行管理界面，进入enable状态，通过命令conft进入配置状态，通过以下命令启动DDOS防御：attack-detectionclientenable-limits设置缺省策略为DENY从Web管理界面ManagementConsole/configuration/Policy/PolicyOptions进入缺省策略设置，如以下列图示：其中，选择DENY，并点击Apply使配置生效。配置BlueCoatAnti-Spyware策略从Web管理界面ManagementConsole/configuration/Policy/PolicyFiles进入缺省策略设置，如以下列图示：在InstallLocalFileFrom的下拉框中选择LocalFile，点击Install，如以下列图示：在弹出的窗口中，点击浏览，并选定BlueCoat发布的Anti-Spyware策略，选择Install将策略加载到ProxySG中。访问控制策略配置-VPM访问控制策略通过BlueCoat图视化界面VPM进展配置，从Web管理界面ManagementConsole/configuration/Policy/VisualPolicyManager进入，并点击Launch，即可启动VPM界面，如以下列图示：病毒扫描策略配置定义对所有通过ProxySG的流量进展病毒扫描，使用病毒扫描服务器组McAfee_Group。从VPM的Policy菜单项选择择AddWebContentLayer，生成Web内容控制策略层，名字定义为WebAV，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定SetICAPResponseService，弹出窗口如以下列图示：在UseICAPresponseservice的下拉框中选择McAfee_Group，并选定ContinurewithoutfurtherICAPresponse，点击OK，退到上一层，在窗口中选择ICAPResponseService1，并点击OK，完成规则设置；如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。用户认证策略设置从VPM的Policy菜单项选择择AddWebAuthenticationLayer，生成Web访问用户认证层，名字定义为Web_Radius_Auth，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Authenticate，弹出窗口如以下列图示：在弹出的窗口中，Realm栏选定radius(RADIUS)，Mode中选定ProxyIP，点击OK，退到上一层，在窗口中选择Authenticate1，并点击OK，完成规则设置；如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。从VPM的Policy菜单项选择择AddSOCKSAuthenticationLayer，生成SOCKS访问用户认证层，名字定义为SOCKS_Radius_Auth，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定SOCKSAuthenticate，弹出窗口如以下列图示：其中，Realm中选定radius(RADIUS)，点击OK，退到上一层，在窗口中选择SOCKSAuthenticate1，并点击OK，完成规则设置；如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。带宽管理策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Bandwidth_Management，并在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Attribute，弹出窗口如以下列图示：其中，定义Name为Work_Group，AuthenticationRealm选定RADIUS(RADIUS)，RADIUSAttribute选定Login(1)，选择OK，完成属性定义。重复以上过程分别定义Name为Management_Group、High_Level_Group、Normal_Group、Temp1_Group，Temp0_Group，Temp2_Group分别对应RADIUSAttribute为Framed(2)、CallBacklogin(3)、CallBackFramed(4)、Outbound(5)、NASPrompt(7)、Administrative(6)。在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定ClientProtocol，弹出窗口如以下列图示：其中，选定P2P和AllP2P，并选择OK，完成定义。在第一条规则的Destination栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定URL，弹出窗口如以下列图示：在SimpleMatch中指定关键业务的域名，选择Add增加定义，选择Close完毕定义。在第一条规则的Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定ManageBandwidth，弹出窗口如以下列图示：其中，Name定义为Key_App_Bandwidth，LimitBandwidthon中选定ServerSide和Inbound，在BandwidthClass中选定Key_App_Bandwidth，选择OK完成定义；重复以上过程，定义名Name为Limit_App_Bandwidth_in，属性为ServerSideInbound，BandwidthClass为Limit_App_Bandwidth；定义名Name为Limit_App_Bandwidth_out，属性为ServerSideOutbound，BandwidthClass为Limit_App_Bandwidth；定义名Name为Work_Group_Bandwidth，属性为ServerSideInbound，BandwidthClass为Work_Group_Bandwidth；定义名Name为Management_Group_Bandwidth，属性为ServerSideInbound，BandwidthClass为Management_Group_Bandwidth；定义名Name为High_Level_Group_Bandwidth，属性为ServerSideInbound，BandwidthClass为High_Level_Group_Bandwidth；定义名Name为Normal_Group_Bandwidth，属性为ServerSideInbound，BandwidthClass为Normal_Group_Bandwidth；定义名Name为Temp_Group_Bandwidth，属性为ServerSideInbound，BandwidthClass为Temp_Group_Bandwidth。在VPM界面点击AddRule增加七条规则，总共八条规则，第一条规则定义：在Destination栏用鼠标右键，选择Set，在弹出窗口中选择以上定义的关键业务URL，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Key_App_Bandwidth；第二条规则定义：在Service栏用鼠标右键，选择Set，在弹出窗口中选择AllP2P，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Limit_App_Bandwidth_in；第三条规则定义：在Service栏用鼠标右键，选择Set，在弹出窗口中选择AllP2P，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Limit_App_Bandwidth_out；第四条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Work_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Work_Group_Bandwidth；第五条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Management_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Management_Group_Bandwidth；第六条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择High_Level_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择High_Level_Group_Bandwidth；第七条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Normal_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Normal_Group_Bandwidth；第八条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Temp_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Temp_Group_Bandwidth。完成定义如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。Work_Group用户组访问控制策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Work_Group_Policy，通过AddRule增加两条规则。在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定ClientProtocol，弹出窗口如以下列图示：其中，选定SOCKS和AllSOCKS，并选择OK，完成定义。再选择New，选定ClientProtocol，在弹出窗口中选定Streaming和AllStreaming。在VPM菜单项选择择AddRule增加两条规则，共三条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定AllSOCKS，在Action栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定AllStreaming，在Action栏用鼠标右键，选择Deny。在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。Management_Group用户组访问控制策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Management_Group_Policy。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Management_Group，在Action栏用鼠标右键，选择Allow。在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。High_Level_Group用户组访问控制策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为High_Level_Group_Policy。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择High_Level_Group，在Action栏用鼠标右键，选择Allow。在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。Normal_Group用户组访问控制策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Normal_Group_Policy。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Normal_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定AllStreaming，在Action栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Normal_Group，在Action栏用鼠标右键，选择Allow。在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。Temp1_Group用户组访问控制策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Temp1_Group_Policy。在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定ClientProtocol，弹出窗口如以下列图示：其中，选定FTP和AllFTP，并选择OK，完成定义。在VPM菜单项选择择AddRule增加四条规则，共五条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定AllSOCKS，在Action栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定AllStreaming，在Action栏用鼠标右键，选择Deny。在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定AllFTP，在Action栏用鼠标右键，选择Deny。在第四条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Destination栏用鼠标右键，选择Set，在弹出的窗口中选定New，选择URL，定义SimpleMatch中域名为passport，在Action栏用鼠标右键，选择Deny。在第五条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。Temp0_Group用户组访问控制策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Temp0_Group_Policy。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp0_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。Temp2_Group用户组访问控制策略定义从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Temp2_Group_Policy。在VPM菜单项选择择AddRule增加二条规则，共三条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定AllSOCKS，在Action栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Destination栏用鼠标右键，选择Set，在弹出的窗口中选定New，选择URL，定义SimpleMatch中域名为passport，在Action栏用鼠标右键，选择Deny。在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。IE浏览器版本检查策略从VPM的Policy菜单项选择择AddWebAccessLayer，生成Web访问控制层，名字定义为Browser_Version_Check，通过AddRule增加一条规则，共两条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择New，选择RequestHeader，弹出窗口如以下列图示：其中，Name定义为RequestHeader_IE6，在HeaderName下拉框中选择User-Agent，在HeaderRegex中输入.*MSIE6.*，点击OK完成定义。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择RequestHeader_IE6，在Destination栏用鼠标右键，选择Set，在弹出的窗口中点击New，选择URL，定义microsoft，在Action栏用鼠标右键，选择Allow。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择RequestHeader_IE6，在Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，并选择Deny，弹出窗口如以下列图示：选定ForceDeny，Details提示为：PleaseupgradeyourBrowsertoIE6.x，点击OK完成定义，并在返回的窗口中选定Deny1，点击OK，完成定义。如以下列图示：在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。DNS解析策略设置ProxySG将为用户提供DNS解析服务，将对解析请求应答ProxySG的IP地址，配置过程如下：从VPM的Policy菜单项选择择AddDNSAccessLayer，生成DNS访问控制层，在第一条规则的Action栏用鼠标右键，选择Set，在弹出窗口中选择New，选择SendDNSResponse，如以下列图示：其中