Bluecoat SGOS 系统操作说明

BluecoatSGOS系统

操作说明

Blue因Coat

Systems

BlueCoatProxySG专用设备通过IE浏览器和Telnet命令进行管理，浏览器管

理端口为8082,管理用的PC机需安装了Java运行环境。管理用的PC机需安装

了Java运行环境。

Web管理访问的URL为：htlps://SG-IP:8082,访问该URL将要求输入管理员

用户名和密码。

注；（1）建议在访问该页面时，等状态栏中指示所有Java类下载结束后，在

进行后续操作。

（2）Java界面有可能要求再输入一次用户名和密码。

该页面中，

•ManagementConsole选项进入管理配置

•BrowserConhguration包含对用户端（非管理员）浏览器的配置建议

•Documenlation包含详细的配置手册

一、GENERAL配置

在Web管理的首页选择ManagementConsole1进入配置管理界面，如下图

示：

Internet

General配置页面中包括:

•Identification：设备名定义

•Clock：时钟定义

•Archive：配置备份/恢复

其中，Identification中，Name项可定义该设备名，任意字符串;Serial

Number不可修改，己固化在设备中，应与设备后部的SerialNumber一致。

任何配置修改在点击最下方的Apply后生效。

1.1时钟设置(General/Clock)

选择General下的Clock,进入时钟设置，如下图示:

UTC为国际标准时，Local为本地时钟，在TimeZone中选择+8区，Local时

钟将变为本地时间；其中EnableNTP选项招启动网络对时，NTP为网络对时协

议；保持时钟同步，对ProxySG的缓存极为重要。

1.2配置备份及恢复

选择GenerWArchive进入配置备份及恢复页面，如下图示:

其中，ViewFOe将显示配置，其中Configuration-expanded为全配置，View后

选择SaveAs,可将其保存为本地文件。

其中InstallConfigrationfrom可以选择从本地文件恢复配置。

注：对于由VPM生成的Policy配置，建议通过Policy配置管理的中的备份和

恢复方式。

网络配置(CONFIGURATION/NETWORK)

从配置页面的Network进入网络配置页面，如下图示:

任何配置修改在点击最下方的Apply后生效。

2.1网卡配置(Network/Adapters)

从Network/Adapaters选项进入网卡配置，如下图示:

其中，通过Adapters选项的下拉菜单可以选择不同的网卡，缺省网卡为:

AdapaterOxAdapalerl；Interfaces选项可以选择网卡的不同端U,系统缺省配置的

10/l00BaseT以太网卡只有一个Inierface为InlerfaceO。

在IPAddress中可以设置IP地址，SubnetMask中设置子网掩码。

注；不要修改Web管理页面连接的端口IP地址。

2.1.1网卡端口详细配置

在网卡配置页面的Interfa优选项中选定要做详细配置的端口，然后选择右边的

Setting按钮，进入以下页面:

其中：Security选项，R用ectinboundconnection将屏蔽所有从网络中发起的到

该端口的连接。

LinkSettings：选择端口的物理特性，自适应或指定Speed和Duplexa

建议，如果有专门用来进行互联网连接的端口，可将其设为Rejectinbound

connections,这样，从互联网发起的通讯无法进入设备和内网。

2.2网络路由配置(Network/Routing)

从Network/Routing选项进入网卡配置，如下图示:

其中：Galeways定义互联网访问用的网关，Routing定义内部路由，RIP定义

RIP路由协议信息。

2.2.1Gateways定义

在Network/Routing/Gatways页面，选择New可以定义互联网出口的网关，如

下图示：

其中：Gateway为网关IP地址，ProxySG支持多网关配置，Group代表多个网

关的分组，分组数越小、优先级越高，Weight定义在同一个组中不同网关的负载

分配比例,

2.2.2静态路由配置(Network/Routing/Routing)

在Network/Routing/Routing页面中，通过下拉菜单可以选择静态路由定义方

式：如下图示，

选择TextEditor,点击Install,进入以下路由编辑界面:

将内部路由定义其中，并Install安装。

2.3DNS服务器定义(Network/DNS)

从Network/DNS选项进入DNS服务器配置，如下图示:

其中：New可以生成新的DNS服务器定义，可以定义多个，通过Promote

entry和Demoteentry改变次序,

三、服务定义(CONFIGURATION/SERVICES)

通过Configuration/Services选项进入服务定义，需进行配置修改的主要在

ServicePorts定义，没有特别要求，其它定义项无需修改。

3.1服务端口定义

在Services/ServicePorts页面中,将显示所有已有的服务端口定义,如下图

示：

与BlueCoatManagementConsole-MicrosoftInternetExplorer-|5|x|

FieEditViewFavoritesTookHelp

■Back▼■一③鱼。^Search_£jFavorites@MedaJ\^任回/左备⑥

Adctess痢httpM5:8082/5eajr6/Lo:H/coniol8/nx:Jndex,html-T，/GoLinks

ManagementConsoleHOMEiSUPPORT•DOCUMENTATION•LOGOUT

192.168.1.95.BlueCoatSG400

ConfigurationMaintenanceStatistics

JGeneral

S«rTic«Pdrts

Identification

ClockS«rvicaz

Archive

」NetworkIP

跳>

Adapters>53DHS-ProxynoTraisparenl,explicit

80HTTPyesTransparent/explicit

、

Routing窗

RTSPnoTraxsp^rent/explicit

DNS>

SOCKSExplicit

Advanced然>

>MWSTrftispAren^explicit

JServicesHSI-MTraL%pa*ent/explicit

然>

-ServicePorts>Yahoo-DITroiisparent>explicit

HTTPPro对温>YMLIHTrusparcn^cxplicit

MJL-IMTraisparent,explicit

FTPProxy>

T■HSJ-IMTrtixparenLexplicit

SOCKSProxy>HI"___________Y”Explicit

IMProxiesMTTP-ConsoleM

StreamingProxiesEditIDelete

ShellProxies

SSHConsole

®ExternalServices

°HealthChecks

•Auth0nticstinn

Internet

其中，IP：指定该服务端U所在的IP地址（一台ProxySG可以有多个IP地

址），ALL代表所有IP地址;

Port：指定端口号和协议类型

Yes/No；指示是否打开

Service：定义端口服务属性

选择New或Edil进入服务端口编辑页面，如下图示:

3BlueCoatManagementConsoleMicrosoftInternetExplorer

□Back▼▼◎团d^Search_jjFavoritesMediaJ|园^3E目/挈区③

Adless|④5:9082/Secure/Lo:al/con$ole/mc-index.htmlpG。Links

ManagementConsole

5.BlueCoatSG400

ConfigurationMaintenanceStatistEditservice

JGeneralpffTP-

StrvicePortsProtocol!3

Identification

ClockS«rvic«z

IF：

Archive

」NetworkIP

然Port:性则|7Enabled

Adapters

Routing仙

Attributes；

DNS|7Explicit

瑞

Advanced

「Trtnspwnt

JServices器

PAuthenticate-401

►SetvicePorts

al器l

HTTPProxy510温1rS«nd-cli«nt-IP

FTPProxy

爵

盟

SOCKSProw

IMProxies

StreamingProxies

ShellProxies

OK|Cancel|

SSHConsole

。ExternalServices

。HealthChecks

Warning:AppletWindow

GAiithAnticatinn

II国9internet

其中：

•Protocol：定义服务用的协议

•IP:定义该服务作用的IP地址

•Port：定义端口号

•Enable：打开服务

•Attributes；

oExplicit：为代理服务

oTransparent：为透明代理服务

oAuthenticate-401：模拟服务器端认证

oSend-client-IP：用Client端IP进行互联网访问，要求网络是透明

方式，并有网络设备的配合要求。

四、用户认证配置

(CONFIGURATION/AUTHENTICATION)

通过Configuration/Autheniication选项进入用户认证配置，包括：管理员用户

名、密码，上网用户的用户认证域定义等。用户可以选择采用本地用户列表、

NTLMsLDAPsRadius等多种用户认证方式。

4.1管理员访问配置(Authentication/Console

Access)

从Authentication/ConsoleAccess进入管理员配置界面，如下图示;

其中:UserName定义管理员用户名，ChangePassword修改管理员密码,

Enforceauto-logout定义管理界面的自动登出属性，Auto-logout中定义自动登出的

时延，缺省为900秒。

选择ConsoleAccess选项，进入管理员访问控制页面，如下图示:

其中：选择New可以指定该管理员用户访问的源IP地址或子网，EnforceACL

forbuilt-inadministration选项启动该访问控制。

4.2用户认证域控制(Authentication/Realms)

从Authentication/Realms进入用户认证域控制页面，如下图示:

其中：将显示所有已定义的用户认证域，

•Flushwhenpolicyfileschanges定义在策略修改时自动清除认证信息的缓

存

•Flushentirecachenow选项清除所有认证信息的缓存

•Flushrealm选项清除指定认证信息的缓存，通过下拉菜单选择用户认证

域

4.3NTLM用户认证域定义

NTLM用户认证是定义ProxySG使用WindowsNT服务器的用户认证的方

法，要求在NT服务器上安装BlueCoat公司NTLM认证的Agent程序。定义页面

如下图示:

其中，Realmname定义一个标示名，PrimaryServerhost定义BlueCoat

NTLMAgent安装的服务器IP地址，16101为缺省使用的端口。

4.3.1NTLM服务器定义(NTLM/NTLMServers)

NTLM服务器定义页面如下图示:

其中，可以定义备份的NTLM服务器（也需安装Agem软件）。

4.3.2NTLM通用信息配置(NTLM/NTLMGeneral)

从NTLM/NTLMGeneral进入配置通用信息配置页面，如下图示:

其中，Realmname为NTLM认证域的名字，Cachecredemiak为认证信息缓存

的时间,缺省为900秒。

4.4LDAP用户认证域定义

(Authentication/LDAP)

从Aulhemicalion/LDAP进入LDAP定义页面，可以定义选择WindowsActive

DirectorySunLDAP>NovelLDAP等用户认证域，如下图示:

选择New,定义新的LDAP用户认证域。页面如下图示:

其中:

•Realmname定义认证域名，

•TypeofLDAPServer选择LDAP服务器类型

♦Primaryserverhost定义域服务器IP地址

•在选择了LDAP服务器类型后，其它选项将相应调整，无需另外定义

4.4.1LDAP服务器定义(LDAP/LDAPServers)

LDAPServers配置页面如下图示:

其中：包括LDAP服务器类型的修改，LDAPProtocal版本的修改，可以定义

LDAP主服务器和备服务器等信息。

4.4.2LDAPDN定义

实现ProxySG与LDAP服务器的通讯必须定义LDAP服务器的一些基本信

息，BaseDN§是LDAP域的定义，配置页面如下图示：

其中，New选项用来定义新的BaseDNs,BaseDNs的格式举例:

DC=www,DC=bcsi2106,DC=com,DC=cn

如下图示：

4.4.3LDAPBaseDN举例

以Windows2000ActiveDirectory举例，在Windows2000管理界面进入,

ActiveDirectory用户和计算机管理页面，如下图示：

其中，在根定义部分可以看到,对应到ProxySG中的

BaseDN定义为DC二www,DC=bcsi2IO6,DC=com,DC=cn；其中用户SG_admin的

LDAP标示为：CN=SG_admin,0U=BCSI,DC=www,DC=bcsi2106,DC=com,DC=cn

4.4.4LDAP检索用户定义(LDAP/LDAP

Search&Groups)

ProxySG与LDAP服务器的通讯需耍一个LDAP用户名（普通用户），在

LDAPSearch&Groups页面中定义，如下图示:

其中，对Window2000的ActiveDirecotry缺省不支持匿名访问，需选择Search

UserDN定义用户名的LDAP标示，并选择ChangePassword设定访问密码，页面

如下图示;

4.4.5LDAP对象类定义(LDAP/LdapObjectclasses)

LDAP对象类定义一般无需修改，它会根据LDAP服务器类型自动设定。

4.4.6LDAP通用信息配置(LDAP/LDAPGeneral)

LDAP通用信息配置页面如下图示:

其中，Cachecredentials定义LDAP认证信息缓存时间。

4.5本地用户列表定义(Authentication/Local)

可以选择将上网用户的用户名、密码和分组等信息定义在ProxySG中，定义页

面如下图示；

其中：选择New可以生成一个Local用户认证域，并通过LocalMain页面定义

该认证域使用的用户列表，定义页面如下图示:

.151x1

其中，定义了Local_user域与用户列表sl_account」ist的对应关系，而用户列

表的生成，以及列表中用户名、密码的设定需通过命令行进行，命令如下:

telnetProxySG-IP

enable

conft

securitylocal-user-listcreatesl_account_list；生成用户列表

securitylocal-user-listedit"sI_account_listH；在用户列表中生成用户

usercreateliuweidong

end

securitylocal-user-listedit"sLaccountJist0；设置用户密码

usereditliuweidong

password0000

exit

exit

五、策略配置(CONFIGURATION/POLICY)

用户上网的所有访问均由策略来进行控制，前面定义的均为系统信息，均通过

策略作用到用户的访问上来。通过Configuration/Policy进入策略配置页面，其中包

括：

•PolciyOptions：策略选项

•PolicyFiles；策略文件，所有策略配置均在系统中对应到一个策略文

件，该选项包括对文件方式的配置和备份、恢复等

•VisualPolicyManager：可视化策略管理器，通过可视化界面配置访问

控制策略

♦Exceptions；修改缺省的出错页面

5.1策略选项(Policy/PolicyOptions)

从Policy/PolicyOptions进入策略选项页面，如下图示:

其中，PolicyEvaluationOrder定义了ProxySG中三个策略配置文件中策略的优

先次序，排在前面的优先级最低；VPM为通过可视化界面配置的策略，Local为通

过本地文件配置的策略，Central为通过中心文件配置的策略。

DefaultProxyPolicy选项定义缺省的策略，如果选择Deny,表示没有定义为允

许的访问将被禁止。

Traceallpolicyexecution：是一个Debugging的选项，为查错准备的。

5.2策略文件管理(Policy/PolicyFiles)

从Policy/PolicyFiles进入黄略文件管理页面，如下图示:

其中，ViewPolicy可以显示各个策略文件的内容，并可以SaveAs为文本文

件。

通常的策略配置均可通过VPM进行，对于批量的定义可以采用LocalFile方式

定义，在InstallLocalFileFrom中选择TextEditor,如下图示:

然后选择Install,进入Local策略编辑页面，如卜'图示:

3BlueCoatSystems-EditandInstallFile-MicrosoftInternetExplorerJnlxl

FifeEditViewFavoritesToolsHelp

.Back▼.▼◎目理^SearchFavorites@MediaQ昌V匕I_*《&

Address|5:8082/Seajre/Locai/con5ote/instal_upioad_from_editor.htcn?file-/locai_pofccy_$curce.txtLinks»

3.Oncetheinstdlationiscompletedtheresultswillbedisplayedin&newpage.Closetheres^spage▲

onceyouhavefinishedviewmgtheresults

;SettingsresetbyadministratorfVed,17Nov200407:19:02U7C

〈Proxy〉response.header.Location=rtA(-a-z]十；”

response.header.Location=rrA(https?|ftp|nrn3[ut]?|rtsp):frOK

DENY(RBlockedsuspiciousLocationheader:seeCERTvu#713878H)

definejavascriptJDisplayDest

onload«EOF

if(document.forms.length>0)(

varp,docuroenc.creaceEleroenc(frpw);

p.innerHTML=

'〈cableborder=2bgcolor^^QOOOBQ^XtrxtdXfontsizeaTS>,+

'<fontcolor»#FFrFFF>Youareat</font>1+

1<fontcolor^SFrFF^^1+dDcuroenc.location.hoscnaroe+,</font>1+

1</£onc></table>1;

document.body.ixisertBefore(p,docunenc.body.firstChild);

EOF

end

defineactionaDisplayDest

transformjDlsplayDest二J

Close|

Copyright02002・2004.Blu。Sysioms.In。.AHlightsreserved.

30Internet

具体的Policy定义说明请参照BlueCoat公司Policy语言(CPL)手册。绑定

IP和用户名的定义格式举例如下：

〈proxy〉

user="zhouyongchun"allow

user="niyuanyuan"client.address=1allow

client.address=7allow

其中：

•定义用户zhouyongchun不绑定IP地址,

♦定义用户niyuanyuan绑定地址为1

•定义IP地址7不绑定用户

最后选择Install实现配置安装。

5.3可视化策略管理器(Policy/VisualPolicy

Manager)

从Policy/VisualPolicyManager进入可视化策略管理器界面，该页面将调用

Java运行环境，如果该PC未装JRE,将会自动下载安装。

其中，Launch将启动策略管理器。界面如下图示:

5.3.1生成策略层

ProxySG中的策略均定义在相应的策略层中，策略层有8种类型，相同类型的

策略层可以有多个：在同一层的策略中，排在前面的具有较高优先级：不同层的策

略中，排在后面的具有较高优先级。

在VPM的Policy菜单中选择策略类型，如下图示;

FieEdit

口Back•

Adtiessfc

Blue

192.168.1

其中，包括：

•AdminAuthenticationLayer：管理员用户认证层，定义更多的管

理员用户

•AdminAccessLayer：管理员访问控制层，控制管理员访问的权限

•DNSAccessLayer-DNS访问控制层，如果设置该ProxySG为

DNS服务器时，可以控制域名解析

•SOCKSAuthenticationLayer：用户SOCKS代理访问时的用户认

证定义

•WebAuthenticationLayer；用户Web代理访问时的用户认证

•WebAccessLayer：用户Web访问控制层

•WebContentLayer*Web访问内容控制层，控制ProxySG到源服

务器获取内容的方式

•ForwardingLayer：转发控制层，可以根据条件设定将用户访问请

求转发到指定目标的策略。

5.3.2Web用户认证定义⑴

根据策略层生成菜单，选择生成WebAuthenticationLayer,生成页面如下图

示:

其中：缺省生成一条黄略，为从任何源(Source:Any)到任何目标

(Destiantion:Any)不做控制(Action:None)。

在Aclion栏中使用鼠标右键，将看到Action配置菜单，如下图示：

选择Set,进入Action定义页面，如下图示:

选择New,出现两个选项：

•Authenticate...：用户认证

•ForceAuthenticate...：强制用户认证，后续策略中如果定义了无需认

证，将无法覆盖用户认证定义。

选择Authenticate选项，VPM将与ProxySG通讯获取系统配置的用户认证域定

义信息，获得信息后将出现用户认证域选择页面，如下图示:

其中，从Realm下拉菜单中可以选择用户认证域，其中显示的名字与ProxySG

的Web管理页面中Authentication定义的Realm名相同，从中可以选择将使用的用

户认证域。

从Mode菜单中可以选择用户认证的方式，如下图示;

其中，缺省为Aulo模式，ProxySG将按照Sessions进行用户认证，即每个新

开的IE浏览器需重新输入：可以选择OriginIP或OriginCookie方式，在通过用户

认证后，认证信息缓存时间内（缺省为900秒）无需在输入用户名和密码；Origin

IP方式时，用户认证通过则该用户的IP地址可以上网，包括其它机器通过它进行

代理访问：如果选择OriginCookie,则用户认证通过后仅该机器的浏览器可以上

网，并在900秒（缺省）内无需再输用户名密码。

认证域定义完成后，从以下页面可以选择使用的认证域;

选定使用的用户认证域，选择0K,实现Web用户认证策略定义，如下图示:

其中：定义了所有Web访问必须进行用户认证。

5.3.3用户认证策略定义（2）

如需定义对特定用户无需用户认证，可以在该用户认证策略层中增加策略，选

择AddRules,页面显示如下图示：

通过MoveUp选项，将新增策略上移到第一行，并在Source栏中使用鼠标右

键，如下图示；

选择Set进入Source定义界面，如下图示:

选择New,菜单中显示所有Source定义条件，其中：

•ClientIPAddress/Subnet：定义用户端IP地址或网段

•ClientHostname：客户端机器名

・ProxyIPaddress/Port；代理用的IP地址和端口

•UserAgent：客户端浏览器类型

•RequestHeader：客户端请求的HTTP头信息

•CombinedSourceObject；以上各种定义的组合

选择ClientIPAddress/Subnet,定义页面如下图示:

其中，如果指定一个IP地址,SubnetMask使用55；选择Add,

完成定义，如下图示:

选择定义Client端信息，点击0K；然后，在Action栏中，使用鼠标右键，并

选择Set,进入Action定义页面，如下图示:

直接选择DoNotAuthcnticale,选择OK,完成策略定义，如下图示:

其中，第一条策略定义ClientIP地址为8的用户不进行用户认证。

5.3.4用户认证策略定义（3）

如需定义对特定目标的访问无需用户认证，可以在该用户认证策略层中增加策

略，选择AddRules,并通过MoveUp移动到第一行，然后在Destiantion栏中,使

用鼠标右键，页面显示如下图示：

选择Set,进入Destionation定义页面，如下图示:

其中：访问目标(Destination)定义包括

•DestinationIPAddress/Subnet：目标IP地址或网段

•DestiantionHost/Pon：目标主机/端口

・URL；目标URL

•Category：网站分类

•CombinedDestinationObject：以上定义的组合

选择URL定义，进入URL定义页面，如下图示；

当由ueCoat

QBlueCoatVisualPolicyManner(192,168,1.95-BlueCodtSG400),|q|x|,|g|x|

E

FileEditPolicy「八八力。"，讣”口立

JBack▼■

Add总面

Blue

192.168.1

。4

SApplet^

其中，有三种定义方式:

•SimpleMatch：通过URL或URL域进行定义

•RegularExpressionMatch：采用统配符方式定义

♦AdvancedMatch；根据URL的不同部分进行匹配定义

选择SimpleMatch定义URL的域名，选择Add,增加访问目标定义，选择

Close,结束定义，回到访问目标定义页面，如下图示:

选择定义的访问目标，选择0K,结束访问目标选择；然后在Action栏中用鼠

标右键，选择Set,并选择DoNotAuthenticate,完成策略定义，如下图示:

其中，第一条定义了到S无需用户认证°

注：（1）所有策略必须在选择了InstallPolicy后才能生效

（2）在用户认证策略层中，仅定义是否进行认证，是否可以访问还需在

WebAccess策略层中定义

5.3.5策略删除

如需删除策略，在N。栏中使用右键，并选择DeleteRule,完成该策略的删

除。

5.3.6SOCKS认证策略层

如用户需通过SOCKS代理进行互联网访问，定义其用户认证策略，需通过策

略层定义选择AddSOCKSAuthenticationLayer,如下图示：

将出现一条空的SOCKS认证策略，在Action栏中用鼠标右键，并选择Set,

进入Action选择页面，如下图示;

选择New,有两个选项：

•SOCKSAuthenticate...：SOCKS用户认证定义

•ForceSOCKSAuthenticate...：SOCKS强制用户认证定义，强制用户认

证将不会被其它策略覆盖

选择SOCKSAuthenticate,VPM将与ProxySG通讯获取认证域定义信息，如

卜图示:

由下拉式菜单中选择使用的认证域，然后选择0K,完成定义，如下图示:

其中，策略定义所有通过SOCKS的访问均需进行用户认证。

5.3.7Web访问控制策略层

通过策略层定义菜单，选择AddWebAccessLayer,增加Web访问控制策略,

如下图示：

将生成一条空的访问控制策略，通过AddRule,MoveUp,MoveDown等可以

定义多个策略，以及改变顺序；每个Web访问控制策略由；Source、Destination.

ServicesTime和Action五部分组成,缺省为any、any、any、any、DENY,如下

图示；

Source条件定义

在Source栏使用鼠标右键，并选择Set进入Source选择页面，选择New,将

列出所有条件选项，如下图示:

其中包括各种Source条件定义：

•ClientIPAddress/Subnet：客户端IP地址或子网

•ClientHostname：客户端主机名

♦ProxyIPAddress/Port；代理用IP地址和端口

•User：用户名

•Group：用户组名

•Attribute；用户在认证域中的属性

•UserAgent：用户端软件定义（Agent）

•IMUserAgent：用户端IM软件定义

•RequestHeader；用户请求的HTTP头信息

•SOCKSVersion：用户使用的SOCKS版本

•IMUser：IM用户名

•ClientNegotiatedCipher：与HTTPS用户证书相关

•ClientNegotiatedCipherStrength：与HTTPS用户证书相关

•CombinedSourceObject：以上条件的组合

Source用户定义

选择User,如下图示;

将进入用户定义页面，如下图示:

其中，下拉式菜单中可以选择从哪个用户认证域选择用户，选择的用户认证域

必须是在用户认证策略层中用来进行用户认证的认证域。如果使用的是Local用户

列表认证域，在User中直接输入用户名，并选择0K,完成定义；如果使用的是

NTLM或LDAP认证域，将出现用户浏览Browser选项，如下图示；

AppletsQaHinnerotriot/odfirnmDrnwQAUnnlionro4QO1AQ*1QG

选择Browser,将列出认证域中所有用户，以便选择，如下图示:

选定用户后，选择0K,并在用户定义页面中再选择0K,完成用户定义，如

下图示:

如果需对该用户绑定IP地址，在Source栏中，使用鼠标右键，并选择

Set/New,选择CombinedSourceObject,如下图示:

进入组合定义页面，如下图示:

当由ueCoat

JBack»

Adciess

Blue

192.168.1

0

Qottinnorofrioi/adfrnmPrcwQCUnnltonro4001AQiQM

其中，Source框中显示所有已有的Source条件定义，可以通过New再增加更

多的Source条件定义，通过Add按钮可以将Source条件加到组合条件中，组合条

件有两个框，两个框中的条件以“AND”方式组合，同一框中的条件以“OR”方

式组合，Negate为框中定义取“反”值。

上图中，定义用户BCSI2106\dufeng和IP地址192.l68.L18l组合成绑定关

系，选择0K完成组合定义，并在Source条件定义页面中选择该定义，然后选择

0K,完成Source条件选择，如下图示；

如果将Action栏中定义为ALLOW,则定义了用户和IP地址的绑定上网许

可。

Source用户端软件(Agent)定义

浏览器的低版本都具有一定的安全漏洞，还有一下其它上网软件和“木马”均

可以进行互联网访问，定义严格的浏览器类型和版本限制，将有效改善网络安全，

在Source选择页面中，New菜单下选择UserAgeni,如下图示，

将列出所有预定义的UserAgent种类，可以从中进行选择，如下图示:

口BlueCoat|冈,|g|x|-lalxi

»eEdit

FileEditPolicyExistingSourceObjects

JBack▼■M

^rjAddRule