bluecoatsgos培训配置于策略

BlueCoatProxySG

策略及配置ProxySG管理界面Graphicaluserinterface简介用户界面生成必要的命令来完成操作分成三个功能区StatisticsConfigurationMaintenanceWeb浏览器要求支持JREversion1.5.0_15或更新版本Javaenabled最小分辨率1024x768FIPS模式:TLSv1securedconnectionEnabledbydefaultinJRE1.6MustbeenabledinInternetExplorerv6andearlier认证认证详细说明Management终端头信息StatisticsTabConfigurationTabMaintenanceTabPreview,Revert,andApplySGOS基本配置General配置

设备名定义

时钟定义

配置备份/恢复

可以修改设备名序列号不可修改时钟设置显示UTC时间显示本地时间选择时区中国：＋8启动NTP对时对时间隔立即对时暂停时钟对时服务器设置如果要手动修改时钟，必须停止NTP对时，并暂停时钟，然后进行修改对时服务器设置对时服务器增加修改删除上移下移尽量使用本地的对时服务配置备份及恢复

选择配置类型显示配置选择配置安装方式安装配置选择配置类型PostSetup：当前所有配置，包括从console配置的，和List配置的Brief：所有从console配置的设置，不包括从List配置的Expanded：最完整的配置，包括系统专用的部分，无法放到其它系统ResultsofConfigurationLoad：上次加载配置的结果选择配置安装方式本地文件方式文本编辑方式配置是以添加方式加入恢复配置，建议先初始化Network配置

网卡配置路由配置DNS配置高级配置网卡配置

选择网卡选择网卡接口部分网卡有多接口IP地址子网掩码网桥配置网卡接口高级配置网卡接口高级配置接受Inbound连接拒绝Inbound连接

将拒绝用网络发起到该接口的连接，包括管理端口的请求，只有使用多端口时才选用网口自适应手工配置网口参数双工/半双工选择Speed选择MAC地址改变浏览器提示（在首页）路由配置

Gateways配置静态路由配置RIP配置Gateways配置已有Gateway生成编辑编辑删除启动IPForwardingGateway编辑界面：由New和Edit生成Gateway的IP地址分组号越小优先级越高，高优先级的Gateway全部失效，才选用低优先级的权重：按权重比例分配负载静态路由配置选择静态路由设置方式URL本地文件文本编辑安装显示路由表显示源路由设置文件静态路由表是一个文本文件，每行包含：IP地址、子网掩码、网关IP，例如：DNS配置

名字添加查询已有DNS服务器设置生成编辑删除上移下移Primary/Alternative选择查问第一个PrimaryDNSServer返回结果为IP地址?获得IP地址Yes查问第一个AlternateDNSServer是否定义了Alternate?Yes无法解析No返回结果为域名不存在?NoYes无出错、无应答?NoYes返回结果为IP地址?YesNo按顺序查问后面的PrimaryDNSServerNo……SplitDNS的应用需使用Primary和AlternateDNSServerDNS服务器使用次序Services定义

一个Service将为一种协议产生一个侦听的端口和IP地址Service=Protocol+IP(InterfaceIP,VIP,orAll)+Port+Attribute(s)同一端口上的多个Service可以生成在不同的IP上Service名代理协议IP地址SOCKSProxy参数Intercept/BypassServices定义修改属性：

Explicit：指定代理

Transparent：透明代理

Authenticate-401：服务器认证响应

Send-Client-IP：用ClientIP到源站点取信息，要求网络配合策略配置

·

PolicyOptions：策略选项·

PolicyFiles：策略文件，所有策略配置均在系统中对应到一个策略文件，该选项包括对文件方式的配置和备份、恢复等·

VisualPolicyManager：可视化策略管理器，通过可视化界面配置访问控制策略Exceptions：修改缺省的出错页面

策略选项策略执行次序（越前面优先级越低）上移下移缺省策略设置跟踪所有策略执行（用于Debugging）HypertextTransferProtocolHTTPoverviewHTTP协议定义应用级协议，用于信息传递、整合超媒体信息不同版本HTTP/0.9HTTP/1.0describedinRFC1945(May1996)HTTP/1.1describedinRFC2616(June1999)HTTP协议总是Client发起连接服务器不能发起连接HTTPURL["http:""//"host_name[:port][abs_path["?"query]]Hostname是大小写无关的尤其是对基于Unix的服务器缺省端口80HTTPMessage两种类型messages请求（Request）应答（Response）Message有两部分HeadersDataRequest方法GET获取URL指定的信息如果请求的Message包含If-Modified-Since或相似的header，就变为条件请求HEAD和GET相同，但服务器在应答中不返回Message-body部分Request方法POST包括以下功能：将信息发到服务器提供数据块，例如：Form的结果、数据处理等通过Append操作扩展数据库CONNECT用来动态切换为Tunnel（例如：SSLtunnelling）应答码成功码：200OK客户端出错404PageNotFound服务器出错500InternalServerErrorHTTP协议请求

GET/HTTP/1.1 Host: User-Agent:Firefox/1.0 Accept:text/xml应答

HTTP/1.x200OK Content-Type:text/html Server:GWS/2.1 Content-Length:1121 Date:Wed,05

Jan200522:09GMT分级的HTTPRequests中间设备在client和server之间可以有任意数量的中间设备方法级的控制

ProtocolHostPortPathQueryFileExtensionurl.scheme=url.host=url.host.regex=url.address=url.domain=url.port=url.path=url.path.regex=url.extension=url.query=url.query.regex=互联网代理不仅控制URL还可以控制协议方法GET请求（区别）GET/HTTP/1.1HOST:GETHTTP/1.1HOST:PolicyManagementPolicytranslation;defaultpolicy简介设置缺省策略设置全局的安全级别了解VisualPolicyManager管理策略层翻译使用策略配置ProxySG生成策略缺省策略DenyProxySG的缺省设置所有代理通讯均被屏蔽Allow允许通过代理的通讯其他策略来屏蔽选定的通讯VisualPolicyManagerVPMPolicy对象触发器（Triggerobjects）用来确定Rule是matches还是misses根据source,destination,service,和time来组织操作（Actionobjects）用来确定如何处理通讯根据action和track来组织Policy翻译–Rule#1“屏蔽所有用户访问Hacking站点”

Source:ANYDestination:HackingService:ANYTime:ANYAction:DENYTrack:nonePolicy翻译–Rule#2“员工可以在工作时间外访问travel网站”

Source:ANYDestination:TravelService:ANYTime:Mon-Fri;08:00..17:00Action:DENYTrack:nonePolicy翻译–Rule#3“只允许IT组的用户使用FTP，工作时间外所有用户都允许”

Source:NOT(GroupIT)Destination:ANYService:FTPTime:Mon.-Fri.;08:00..17:00Action:DENYTrack:none完成WebAccess策略VPM–Rules优先级VPMPolicyLayersAdminAuthenticationWebAuthenticationAdminAccessWebAccessDNSAccessWebContentSOCKSAuthenticationForwardingSSLInterceptCPLSSLAccessVPM–Layers优先级VPMLayerGuards55最佳实践Policy构成在单独的层，表达单独的决定Policy完整性小心使用ALLOWPolicy优化只在必须的时候使用regularexpressions将最可能匹配的Rules放在Layer的前面尽可能使用subnets使用definitions和layerguards56WebFilter配置BCWFLicenseDRTR特性及设置启动BCWF根据分类控制Web访问最佳实践：安全策略建议（1）1）使用策略屏蔽来自这些分类的可执行文件：None:在WebPulse体系中还没有分类的URLs，作为对Malware内容的预防，屏蔽其可执行内容Adult:很多Malware从搜索引擎开始，成人内容的搜索很多返回的是Malware链接Open/MixedContent:很多Malware使用开放的内容服务器，例如：，无需屏蔽整个分类，只要屏蔽可执行内容OnlineStorage:像OpenContent分类，许多Malware使用在线存储网站WebAdvertisements:“垃圾广告”是增长很快的一个分类，很容易提供有害代码Non-viewable:这个分类试图跟踪和分析网络服务，典型地提供“non-viewable”内容或小的Javascript，主要目的是跟踪用户对网站的访问WebHosting:很多Malware通过子域名（WebHosting域名生成的免费域名）传播SoftwareDownloads:取决于企业和用户的使用，可以在这个分类中使用一个允许的域名列表，屏蔽其它的，这个分类是Malware作者的首要目标，因为Malware和软件下载很相似ContentServers:不像OpenContent分类，这个分类的网站是较大的、可信任网站使用的，通常用来存储视频、图片等，不是可执行的内容最佳实践：安全策略建议（2）2）强烈建议屏蔽这些分类：Phishing,MaliciousSources,MaliciousOutboundData/BotnetsPornography,Extreme:有很多网站包含Malware的内容Hacking:大部分和Hacking相关Gambling:有很多在线赌博的网站都试图引导你下载一个Malware客户端到你的电脑Suspicious:有很多网站会在这个分类中，很多是Malware或Spam网络的一部分Placeholder:通常是“undead”域名，网站实际上并不“Alive”，成为“searchenginezombies”–很多和Malware网络的搜索引擎优化相关联PotentiallyUnwantedSoftware:这个分类包括adware-/spyware-relate和其它MalwareScam/Questionable/Illegal:许多“骗子”网站分类为Questionable,经常涉及Malware相关的活动ProxyAvoidance:如果不屏蔽，上面分类都可能被访问DynamicDNSHost:使用动态DNS的网站，这些网站被用作“Phone

Home”数据站点，应该屏蔽其所有内容，不仅仅是可执行内容最佳实践：安全策略建议（3）3）用Reporter看网络中Botnet活动的迹象除对“可疑的”分类(Spyware/MalwareSource,Spyware/MalwareEffects,Suspicious,andPhishing)外，以上提到的分类也需要特别看一看。检查“Unrated/None”的通讯量，作为一个感染的指示：如果看到大量Unrated的通讯来自网络中的计算机，很有可能是被感染的机器试图连接新的“Phone

Home”域名最佳实践：安全策略建议（4）4）很多Bots试图使用443端口做“Phone

Home”通讯，在策略中做两个步骤屏蔽这种通讯确保SSL协议使用有效证书，建议屏蔽没有使用合法机构颁发的有效证书的SSL，而且建议评比所有自签证书的SSL，如果需要可以使用白名单做例外建议屏蔽所有试图使用443端口的非SSL通讯，许多Botnets使用自定义的加密方式进行通讯，当然有许多合法应用也在443端口使用自定义的加密方式，需要用白名单做例外最佳实践：安全策略建议（5）5）其它建议使用病毒扫描()记日志()参考BluecoatSecurityBlog()ThreatProtection配置68ThreatProtection:WebPulseDownloadstatusmessageformats:Succeeded(Time:YYYY/MM/DDHH:MM:SS)Failed(Time:YYYY/MM/DDHH:MM:SS,Error:XXXXXX)UnknownErrormessagesaretakenfromthecontent-filterCLIoutput:SG#(config)content-filterSG#(configcontent-filter)bluecoatSG#(configbluecoat)view…Downloadlog:…Fetching:

ERROR:Socketconnecterror12369ThreatProtection:Malware(ICAP,ProxyAV)1234简化ProxyAV配置,Response-Mod71完全External

Servcies/ICAP配置界面MalwareScanningVPMVPM配置可以覆盖GUI设置用户认证用户认证基于用户和用户分组的策略细粒化的报告管理提示页面指定代理用户认证代理用户认证域AuthenticationCache控制不同层次的authenticationcacheCache:credentialsurrogateauthorization(LDAP)AuthenticationCache3个层次的

cache(5.x以上版本，4.x只有一个cache):CredentialSurrogateAuthorizationCache每个认证域单独定义Cache时间可调Cache可以被清除

(在5.x以上版本的statistics中)CredentialCache基本的“认证凭证”被记住的时间基本的“认证凭证”是登录帐号和密码，即基本类型“口令”（非NTLM和Kerberos等）缺省900秒(15分钟)在这期间，用户的“认证凭证”是和被缓存的“认证凭证”比较如果密码不匹配，Proxy将到认证服务器重新确认(有可能使密码被修改了)ServerSSO:被缓存的“认证凭证”可以转发到服务器(命令行命令:server-authentication):仅对基本类型的“认证凭证”(ldap,radius,iwawithbasiccredentials)SurrogateCacheSurrogate是指一种指定认证用户的信息在Surrogate的生命期中，用户的回话不会被要求重新确认用户如果清楚Surrogate

Cache，用户将被要求重新认证两种主要的surrogates:Ip地址:在TCP会话中的源IP地址Cookie:Proxy设置的cookieCookie模式只适用于http(https)AuthorizationCache(LDAP)涉及用户组和属性仅适用于具有这种概念的认证域(例如：Ldap)Proxy将记住：用户组信息属性值(5.3withLdaprealm)InactivityTimeout没有活动N分钟后，自动Log

out用户Inactivitytimeout策略：用户认证认证模式最佳实践ProxyChallengeOriginChallengeFormChallengeOriginChallengewithredirectionFormChallengewithredirectionTCPconnectionSurrogateproxyorigin---CookieSurrogate-origin-cookieform-cookieorigin-cookie-redirectform-cookie-redirectIPSurrogateproxy-iporigin-ipform-iporigin-ip-redirectform-ip-redirectReverseProxyTransparentProxyExplicitProxy策略：用户访问控制策略：限制用户同时登录的IP数<Proxy> user.login.count=(2..)user.login.log_out(yes)deny策略：认证出错处理SGOS4:如果认证或授权出错：DenySGOS5:缺省Deny能够定义容忍的出错：AuthenticationerrorsAuthorizationerrors举例:认证服务器down/unreachable举例:认证服务器down/unreachable显示用户登入状况访问控制策略—屏蔽443端口上的非SSL通讯92屏蔽443端口上的非SSL通讯控制严格的企业网环境中，采用代理方式上网（HTTP代理），通常仅允许目标端口为80和443的互联网访问现代大部分软件均能通过HTTP代理进行互联网访问，但是通常采用HTTP

connect方法，建立HTTPtunnel穿过代理，严格的控制，将仅允许HTTPGET和POST方法（即纯HTTP）通过代理，这将屏蔽大部分软件通过HTTP代理由于HTTPs通讯也采用Connect方法，因此，需要在代理上允许目标端口为443的Tunnel访问，但是，当前大量软件能够自动检测并通过443端口的HTTP

tunnel实现访问，例如：QQ、淘宝旺旺等Bluecoat

SG的SSL

intercept策略，将目标端口为443的通讯根据HTTPs协议要求进行处理，能够有效屏蔽非HTTPs通讯通过http

tunnel方式传输，但SG采用的SSL

proxy采用了替换SSL证书方式，在企业没有合法证书可用时，客户端访问HTTPs将出现很多证书告警本配置在不进行SSL

intercept的情况下，屏蔽非SSL的通讯通过HTTPtunnel（目标443端口）的访问93定义WebAccessLayer策略启动VPM:configuration/policy/VirsualPolicyManager/Launch从Policy菜单建立新的Web

Access层94定义访问控制Rules允许纯HTTP访问，定义纯HTTP：通过Service/Set/New/ClientProtocol/HTTP/PureHTTP允许目标端口443访问，定义目标端口443：通过Destination/Set/New/DestinationHost/Port，在弹出窗口中定义Port，无需定义Host屏蔽其它访问95定义CPLLayer策略从Policy菜单建立新的CPL层注：SGOS6.x可以在VPM中定义CPL策略，以前版本需要通过LocalPolicy定义96定义SSL检查Rules将以下CPL策略贴到CPLLayer中：<proxy>:443/force_protocol(no):443/force_protocol(no)url.port=443force_protocol(ssl)其中，前面两条对两个域名的443端口访问不进行SSL强制检查，这个例外可以允许QQ上网最后一条，对所有目标端口为443的访问强制SSL检查，非SSL将被屏蔽97附加策略增加SSLInterceptLayer策略DisableSSLintercept增加SSLAccessLayer策略关闭ServerSSL证书检查注：这两个策略可选配98小节以上策略配置将允许：HTTPHTTPsQQ聊天其它大部分软件将被屏蔽，能够通过纯HTTP访问的应用还是能够进行访问的，那和通过浏览器的上网访问没有区别，需要通过URL、Domain、UserAgent等其它HTTP要素进行控制。控制大文件下载控制下载文件大小的方法ProxySG可以控制HTTP大文件下载控制下载文件大小，通过控制HTTP的GET响应的Content-Length头字段来实现在策略中Content-Length用字符串方式定义需注意：由于增加了传输信息，下载文件的大小有可能比实际文件更大生成一个WebAccessLayer名字为Limit_download_file_size可选策略定义—Destination--1在Rule的Destination中用鼠标右键，并选择New在下拉菜单中选择：ResponseHeader策略定义—Destination—2ResponseHeader定义窗口中，选择HeaderName为：Content-Length，在HeaderRegex中定义文件大小。例如：10K以上：^.{5,}30K以上：^.{6,}|^[3-9].{4,}2M以上：^.{8,}|^[2-9].{6,}策略定义—Action指定Action操作Deny或Force

DenyAttackDetect功能

TerminateConnect处理106Bluecoat

SG攻击检测功能为减少DDOS攻击和端口扫描的影响，SG能够限制从同一个ClientIP来的并发连接数，并对大量出现TCP失败连接的Client端进行屏蔽也可以限制到超载的服务器的并发连接数AttackDetection配置—启动客户端连接数限制SG的攻击检测功能只能通过命令行配置：启动客户端控制:

enable conft

attack-detection

client enable-limitsAttackDetection配置—显示配置参数并发连接数限制的显示：

enable conft

attack-detection

client view限制已启动客户端并发连接数客户端连接失败次数客户端警告次数屏蔽操作解除屏蔽时间AttackDetection配置—工作方式说明限制已启动客户端并发连接数客户端连接失败次数客户端警告次数屏蔽操作解除屏蔽时间SG的攻击检测包括两部分，一是根据客户端并发连接，二是根据失败连接次数1）如果一个客户端来的连接超过ClientConnectionLimit值，超过的连接将被屏蔽掉2）如果一个客户端产生的失败连接超过Client

Failure

Limit的值，将发出一次警告，如果警告次数超过Client

Warning

Limit值，SG将这个客户端IP放入黑名单，屏蔽其所有访问，屏蔽方式根据BlockedClientaction定义（Drop或Send-RST）第一种情况，当客户端连接降到ClientConnectionLimit以下，新的Client连接将被SG接受第二种情况，则根据Client

Connection

unblocktime定义的时间后，将其IP从黑名单中去掉，如果unblock

time定义为Unlimited，将需要管理员人工清除AttackDetection配置—修改配置参数并发连接数限制的修改：

enable conft

attack-detection

client default

[block-action|connection-limit|failure-limit|unblock-time|warning-limit]以上命令修改Attack

Detection的全局配置参数国内运用中，connection-limit通常设置200-300AttackDetection配置—为指定网段修改配置参数SG允许为指定网段，设定不同于Default的并发连接数限制：

enable conft

attack-detection

client create

/24 edit/24 block-action connection-limit failure-limit unblock-time warning-limit delete/24

（取消定义）AttackDetection配置—显示黑名单及解锁因失败连接数超过Limits而被屏蔽的IP地址，通过以下命令显示：

enable conft

attack-detection client

view

client

blocked （显示并屏蔽IP列表）

view

client

connections（显示当前所有IP并发连接数） unblock

<ipaddress> （将指定IP地址从屏蔽列表中解除）Web显示：

113SG

Exception选项—Terminate

connectionSG对访问进行屏蔽时,将返回出错页面提示用户(Exception),这个功能是缺省设置部分软件(包括:一些客户端插件、来自Internet的扫描软件等)在被屏蔽时,会不断发出试探连接的请求,它们会利用和SG建立的同一个TCP会话，不断发出HTTP请求这种请求由于不需要重建TCP会话，有时会非常快、非常多，对SG产生很大的压力Terminate

Connection是SG出错页面的一个选项，即定义SG不发出出错页面，而是，直接关闭被屏蔽的TCP会话114SG

Exception选项—Terminate

connection配置TerminateConnection通过SG的CPL（ContentPolicyLanguage）进行配置CPL策略通过SG的LocalPolicyFiles（web管理界面Configuration/Policy/PolicyFiles/LocalPolicy）加载，SGOS6在VPM中增加了新的CPLLayer，也可以加载CPL策略以下策略定义，将取消所有报错页面，报错操作均关闭TCP连接：<Exception>terminate_connection(yes)以下策略对替换特定报错页面，使用关闭TCP连接<exception>exception.id=tcp_errorterminate_connection(yes)以下策略定义对特定网站，使用关闭TCP连接的报错方式，注：这里只是定义出错页面的处理方式，即屏蔽策略是另外定义的。<exception>url.domain=“”terminate_connection(yes)Bluecoat缓存策略设置（CPL）116Bluecoat缓存特性BluecoatSG具有强大的缓存功能SG缓存缺省已启动SG缓存在缺省情况下，仅对静态的内容进行缓存，对带有Cookie、URL中有参数（带？）等动态内容不缓存SG的智能算法根据网站内容的变化特征自动确定对象的缓存时间可以通过策略语言（CPL）对SG的缺省缓存特性进行控制，例如：缓存的时间等对于部分网站通过变换URL的方式进行Loadbalance的情况，通过CPL可以定义相同的对象在缓存时使用相同的URL，从而提高命中率和缓存利用率本说明采用CPL实现缓存策略的配置117缓存策略通过策略语言（CPL）对SG的缺省缓存特性进行控制，例如：缓存的时间等在CPL中通过<cache>层策略实现对缺省缓存策略的修改例如：定义对所有图形、视频对象（由文件后缀决定）强制缓存2天，策略如下：<cache>condition=video_FileExtensioncachettl(172800)cache(yes)force_cache(yes)condition=image_FileExtensioncachettl(172800)cache(yes)force_cache(yes)defineconditionimage_FileExtensioncacheurl.extension=(jpg,gif,jpeg,bmp)endconditionFileExtensioncachedefineconditionvideo_FileExtensioncacheurl.extension=(rm,mp3,mp4,flv,wma,f4v)endconditionvideo_FileExtensioncache118视频对象缓存策略的视频内容通过域名播出其中，xxx根据其loadbalance的结果分配到不同域名，例如：heb1、heb2、wh等Xxx不同，路径及文件名一致时，内容也一致针对这种情况，通过以下策略定义，可以实现将相同的内容在SG中缓存为同一对象<proxy>condition=sina_video_requestaction.force_cache_sina(yes)<cache>refresh(no)defineconditionsina_video_requestcondition=video_FileExtensioncacheEnddefineactionforce_cache_sinarewrite(url,"http://(.*)\.dhot\.v\.iask\/(.*)$","$(2)",cache)end119CPL策略安装（1）CPL通过SGWeb管理界面，configuration/Policy/Policyfiles/Localpolicyfile，如下图示：选择TextEditor点击Install，进入策略编辑弹出窗口见下页120CPL策略安装（2）在弹出窗口中编辑CPL策略，如下图示：编辑策略点击Install，加载策略注：策略安装是覆盖式的，原有CPL策略将被覆盖121缓存策略-CPLCPL策略是按层定义的，综合以上说明的策略，可以定义在一个CPL中（如下），并通过LocalPolic