BlueCoat互聯(lián)網(wǎng)代理安全網(wǎng)關(guān)功能需求文檔

1、互聯(lián)網(wǎng)代理安全網(wǎng)關(guān)功能需求文檔互聯(lián)網(wǎng)代理安全網(wǎng)關(guān)功能需求文檔2011 年 1 月目目 錄錄一、一、 安裝設(shè)備及安裝環(huán)境安裝設(shè)備及安裝環(huán)境.41.1 實(shí)施設(shè)備清單 .41.2 實(shí)施拓樸結(jié)構(gòu)圖 .4二、二、 實(shí)施步驟實(shí)施步驟.52.1 物理連接 .52.2 初始 ip 地址配置.52.3 遠(yuǎn)程管理軟件配置 .52.4 網(wǎng)絡(luò)配置 .62.4.1 adapter 1地址配置.62.4.2 靜態(tài)路由配置.72.4.3 配置外網(wǎng)dns服務(wù)器.92.4.4 配置虛擬ip地址.92.4.5 配置fail over .102.5 配置代理服務(wù)端口 .122.6 配置本地時鐘 .132.7 配置 radius認(rèn)證

2、服務(wù).132.8 內(nèi)容過濾列表定義及下載 .162.9 定義病毒掃描服務(wù)器 .182.10 帶寬管理定義 .222.11 策略設(shè)置 .232.11.1 配置ddos攻擊防御.232.11.2 設(shè)置缺省策略為deny.232.11.3 配置blue coat anti-spyware策略.242.11.4 訪問控制策略配置-vpm.252.11.5 病毒掃描策略配置.252.11.6 用戶認(rèn)證策略設(shè)置.272.11.7 帶寬管理策略定義.292.11.8 work_group用戶組訪問控制策略定義.342.11.9 management_group用戶組訪問控制策略定義.362.11.10 hi

3、gh_level_group用戶組訪問控制策略定義.362.11.11 normal_group用戶組訪問控制策略定義.372.11.12 temp_group用戶組訪問控制策略定義.372.11.13 ie瀏覽器版本檢查策略.392.11.14 dns解析策略設(shè)置.41一、一、 安裝設(shè)備及安裝環(huán)境安裝設(shè)備及安裝環(huán)境1.1 實(shí)施實(shí)施設(shè)備清單設(shè)備清單bluecoat 安全代理專用設(shè)備 sg60010 一臺，av510-a 一臺，bcwf 內(nèi)容過濾，mcafee 防病毒,企業(yè)版報表模塊。1.2 實(shí)施實(shí)施拓樸結(jié)構(gòu)圖拓樸結(jié)構(gòu)圖bluecoat 設(shè)備 sg600-103 配置于內(nèi)網(wǎng)，av510-a 與

4、sg600-10 之間通過icap 協(xié)議建立通信。連接方法有以下幾種，網(wǎng)絡(luò)示意結(jié)構(gòu)如下圖：旁路模式：二、二、 實(shí)施步驟實(shí)施步驟2.1 物理連接物理連接兩臺 bluecoat sg8002 的 adapter0_interface 0 和 adapter1_interface0 通過以太網(wǎng)雙絞線連接于兩臺 radware cid 交換機(jī)。2.2 初始初始 ip 地址配置地址配置通過設(shè)備前控制面板可以設(shè)置 proxysg800-2 的 adapter0_interface0 的地址為：第一臺 sg8002：(ip) 24(mask) 191.32.1.

5、1(default gateway)第二臺 sg8002：1(ip) 24(mask) (default gateway)2.3 遠(yuǎn)程管理軟件配置遠(yuǎn)程管理軟件配置bluecoat 安全代理專用設(shè)備通過 ie 瀏覽器和 ssh 命令進(jìn)行管理，瀏覽器管理端口為 8082，管理用的 pc 機(jī)需安裝了 java 運(yùn)行環(huán)境。管理界面的 url 為：:8082 和 1:80822.4 網(wǎng)絡(luò)配置網(wǎng)絡(luò)配置在 xxxxx 網(wǎng)絡(luò)環(huán)境中，(1)proxysg800-2 兩個端口均需配

6、置 ip 地址；(2)除缺省路由指向防火墻，還需一條靜態(tài)路由，作為內(nèi)網(wǎng)通訊的路由，(3)配置外網(wǎng) dns，以便 proxysg 到互聯(lián)網(wǎng)的訪問，(4) 每臺另外需要一個虛擬 ip 地址，作為內(nèi)部員工的 dns 解析服務(wù)器 ip 地址；(5)對虛擬 ip 地址配置 fail over，當(dāng)一臺 proxysg 停止工作，其虛擬 ip 將切換到另外一臺。2.4.1 adapter 1 地址配置地址配置從 web 管理界面 management console/configuration/network/adapter 進(jìn)入，在adapters 下拉框中選擇 adapter1，并在 ip addres

7、s for interface 0 和 subnet mask for interface 0 中配置 ip 地址和子網(wǎng)掩碼，如下圖示：第一臺 proxysg800-2 的 ip 地址為：0，掩碼：24第二臺 proxysg800-2 的 ip 地址為：2，掩碼：24點(diǎn)擊 apply 使配置生效。2.4.2 靜態(tài)路由配置靜態(tài)路由配置從 web 管理界面 management console/configuration/network/routing 進(jìn)入，在窗口上部選項中選擇 routing，并在 in

8、stall routing table from 下拉框中選擇 text editor，如下圖示：點(diǎn)擊 install，并在彈出窗口中輸入靜態(tài)路由： 如下圖示：點(diǎn)擊 install 使配置生效。2.4.3 配置外網(wǎng)配置外網(wǎng) dns 服務(wù)器服務(wù)器從 web 管理界面 management console/configuration/network/dns 進(jìn)入，如下圖示：點(diǎn)擊 new 增加外網(wǎng) dns 服務(wù)器 ip 地址，并點(diǎn)擊 apply 使配置生效。2.4.4 配置虛擬配置虛擬 ip 地址地址從 web 管理界面 managemen

9、t console/configuration/network/advanced 進(jìn)入，在窗口上部選項中選擇 vips，如下圖示：點(diǎn)擊 new 配置虛擬 ip 地址，并點(diǎn)擊 apply 使配置生效。第一臺 proxysg800-2 的虛擬 ip 地址為：3第二臺 proxysg800-2 的虛擬 ip 地址為：42.4.5 配置配置 fail over從 web 管理界面 management console/configuration/network/advanced 進(jìn)入，在窗口上部選項中選擇 failover，如下圖示：點(diǎn)擊 new 配置 fail

10、over 組，如下圖示：在彈出窗口中，選擇 existing ip，并在下拉框中選擇已定義的虛擬 ip 地址：3（第一臺 proxysg800），4（第二臺 proxysg800），在group setting 中，選擇 enable，并在 relative priority 中選中 master，點(diǎn)擊 ok 完成配置。并點(diǎn)擊 apply 使配置生效。點(diǎn)擊 new 配置另一個 failover 組，如下圖示：在彈出窗口中，選擇 new ip，指定虛擬 ip 地址：4（第一臺proxysg800），3（第二臺 pro

11、xysg800），在 group setting 中，選擇enable，點(diǎn)擊 ok 完成配置。并點(diǎn)擊 apply 使配置生效。2.5 配置配置代理服務(wù)端口代理服務(wù)端口在 xxxxx 網(wǎng)絡(luò)中 proxysg 將提供 http（80 端口）、socks（1080 端口）、dns(53 端口)的代理服務(wù)，其它通訊如：msn、流媒體等均通過 http 或 socks代理實(shí)現(xiàn)。從 web 管理界面 management console/configuration/services/service ports 進(jìn)入，如下圖示：其中，ssh-console（22）、telnet-console（23）、ht

12、tp-console（8081）是為系統(tǒng)管理提供服務(wù)的端口，可以根據(jù)網(wǎng)絡(luò)管理要求選擇是否開放；dns-proxy（53）、http（80）和 socks（1080）必須 enable（yes），并且包括explicit 屬性，http（80）需要包括 transparent 屬性。并點(diǎn)擊 apply 使配置生效。2.6 配置本地時鐘配置本地時鐘從 web 管理界面 management console/configuration/general/clock 進(jìn)入，如下圖示：選擇本地時鐘定義為8 區(qū)，并點(diǎn)擊 apply 使配置生效。2.7 配置配置 radius 認(rèn)證服務(wù)認(rèn)證服務(wù)互聯(lián)網(wǎng)訪問用戶將

13、采用 radius 進(jìn)行用戶認(rèn)證，用戶分組通過 radius 的屬性進(jìn)行定義，分組與屬性對應(yīng)關(guān)系如下：工作組login(1)管理組framed(2)高級組call back login(3)普通組call back framed(4)臨時組outbound(5)從 web 管理界面 management console/configuration/authentication/radius 進(jìn)入，如下圖示：點(diǎn)擊 new 生成 radius 配置，在彈出窗口中定義 radius 服務(wù)器地址，如下圖示：其中，real name 定義為 radius，primary server host 中定義

14、radius 服務(wù)器ip 地址：2（暫定），port 為 1812，secret 為 radius 中定義的通訊密碼；點(diǎn)擊 ok 完成定義。并點(diǎn)擊 apply 使配置生效。注：port 和 secret 的定義必須與 radius 服務(wù)器中定義保持一致。如需定義備份的 radius 服務(wù)器，在上部選項中選擇 radius servers，如下圖示：在 alternate server 定義中，定義備用的 radius 服務(wù)器 ip 地址，及通訊密碼。從 web 管理界面 management console/configuration/authentication/tran

15、sparent proxy 進(jìn)入，如下圖示：其中，method 選定 ip，在 ip ttl 中定義 240 分鐘（4 個小時），用戶認(rèn)證一次將保持 4 小時；并點(diǎn)擊 apply 使配置生效。2.8 內(nèi)容過濾列表定義及下載內(nèi)容過濾列表定義及下載在 proxysg 中加載 blue coat 分類列表作為互聯(lián)網(wǎng)訪問控制及 anti-spyware 策略的基礎(chǔ)。從 web 管理界面 management console/configuration/content filtering/bluecoat進(jìn)入，如下圖示：輸入用戶名/密碼，選擇 force full update，并點(diǎn)擊 apply 使配

16、置生效，然后點(diǎn)擊 download now 開始下載分類列表庫。分類列表下載結(jié)束后（第一次下載超過 80mbypes 數(shù)據(jù)，所需時間與網(wǎng)絡(luò)和帶寬有關(guān)），定義自動下載更新，在上部選項中選擇 automatic download，如下圖示：其中：選擇每天 utc 時間下午 4:00（本地時間晚上 12:00）自動下載更新，并點(diǎn)擊 apply 使配置生效。啟動動態(tài)分類模式，在上部菜單選擇 dynamic categorization，如下圖示：選擇 enable dynamic categorization 和 categorize dynamically in the background，并點(diǎn)擊

17、 apply 使配置生效。選定使 blue coat 分類列表生效，從 web 管理界面 management console/configuration/content filtering/general 進(jìn)入，如下圖示：選定 use blue coat web filter，并點(diǎn)擊 apply 使配置生效。2.9 定義病毒掃描服務(wù)器定義病毒掃描服務(wù)器對所有通過 proxysg 的 http、ftp 通訊進(jìn)行病毒掃描，病毒掃描服務(wù)器采用mcafee，proxysg 通過 icap 協(xié)議實(shí)現(xiàn)與 mcafee 病毒掃描服務(wù)器通訊。從 web 管理界面 management console/con

18、figuration/external services/icap 進(jìn)入，點(diǎn)擊 new 生成 icap 服務(wù)配置，如下圖示：service 名為 mcafee_1 和 mcafee_2，選擇服務(wù)名 mcafee_1，并點(diǎn)擊 edit，進(jìn)入服務(wù)配置窗口，如下圖示：在 service url 中，定義 icap:/5，并點(diǎn)擊 sense settings 從 mcafee 獲取病毒掃描參數(shù)配置，點(diǎn)擊 register 定義進(jìn)行健康檢查，點(diǎn)擊 ok 完成定義，并點(diǎn)擊 apply 使配置生效。選擇服務(wù)名 mcafee_2，并點(diǎn)擊 edit，重復(fù)以上過程，并在 service url

19、中定義icap:/6。從 web 管理界面 management console/configuration/external services/serice-group 進(jìn)入，將兩臺 mcafee 服務(wù)器定義為一個 group，點(diǎn)擊 new 生成 service group 配置如下圖示：service group 名定義為 mcafee_group，點(diǎn)擊 edit 進(jìn)行服務(wù)器組定義，如下圖示：通過點(diǎn)擊 new 將 mcafee_1 和 mcafee_2 加入 mcafee_group 中，點(diǎn)擊 edit 可以改變 group 成員的權(quán)重，選擇 ok 完成配置，并點(diǎn)擊 ap

20、ply 使配置生效。2.10 帶寬管理定義帶寬管理定義根據(jù)帶寬管理策略要求，定義七個帶寬類，其中work_group_bandwidth、management_group_bandwidth、high_level_group_bandwidth、normal_group_bandwidth、temp_group_bandwidth 分別對應(yīng)工作組、管理組、高級組、普通組、臨時組的帶寬管理要求，limit_app_bandwidth 對應(yīng)高帶寬消耗應(yīng)用的帶寬管理策略，key_app_bandwidth 對應(yīng)關(guān)鍵應(yīng)用網(wǎng)站的帶寬管理策略。從 web 管理界面 management console/c

21、onfiguration/bandwidth mgmt./bwm classes 進(jìn)入，點(diǎn)擊 new 定義帶寬類，如下圖示：其中，需選中 enable bandwidth management，定義帶寬類，并點(diǎn)擊 apply 使配置生效。2.11 策略設(shè)置策略設(shè)置2.11.1 配置配置 ddos 攻擊防御攻擊防御通過 telnet、ssh 或 console 進(jìn)入 proxysg 的命令行管理界面，進(jìn)入 enable 狀態(tài)，通過命令 conf t 進(jìn)入配置狀態(tài)，通過以下命令啟動 ddos 防御：attack-detectionclientenable-limits2.11.2 設(shè)置缺省策略為設(shè)

22、置缺省策略為 deny從 web 管理界面 management console/configuration/policy/policy options 進(jìn)入缺省策略設(shè)置，如下圖示：其中，選擇 deny，并點(diǎn)擊 apply 使配置生效。2.11.3 配置配置 blue coat anti-spyware 策略策略從 web 管理界面 management console/configuration/policy/policy files 進(jìn)入缺省策略設(shè)置，如下圖示：在 install local file from 的下拉框中選擇 local file，點(diǎn)擊 install，如下圖示：在彈出的

23、窗口中，點(diǎn)擊瀏覽，并選定 blue coat 發(fā)布的 anti-spyware 策略，選擇 install 將策略加載到 proxysg 中。2.11.4 訪問控制訪問控制策略配置策略配置-vpm訪問控制策略通過 blue coat 圖視化界面 vpm 進(jìn)行配置，從 web 管理界面management console/configuration/policy/ visual policy manager 進(jìn)入，并點(diǎn)擊launch，即可啟動 vpm 界面，如下圖示：2.11.5 病毒掃描策略配置病毒掃描策略配置定義對所有通過 proxysg 的流量進(jìn)行病毒掃描，使用病毒掃描服務(wù)器組mcafee

24、_group。從 vpm 的 policy 菜單選擇 add web content layer，生成 web 內(nèi)容控制策略層，名字定義為 web av，并在第一條規(guī)則中，action 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇 new，選定 set icap response service，彈出窗口如下圖示：在 use icap response service 的下拉框中選擇 mcafee_group，并選定continure without further icap response，點(diǎn)擊 ok，退到上一層，在窗口中選擇icapresponseservice1，并點(diǎn)擊 ok，完成規(guī)

25、則設(shè)置；如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.6 用戶認(rèn)證策略設(shè)置用戶認(rèn)證策略設(shè)置從 vpm 的 policy 菜單選擇 add web authentication layer，生成 web 訪問用戶認(rèn)證層，名字定義為 web_radius_auth，并在第一條規(guī)則中，action 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇 new，選定 authenticate，彈出窗口如下圖示：在彈出的窗口中，realm 欄選定 radius(radius)，mode 中選定 proxy ip，點(diǎn)擊 ok，退到上一層，在窗口中選擇

26、 authenticate1，并點(diǎn)擊 ok，完成規(guī)則設(shè)置；如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。從 vpm 的 policy 菜單選擇 add socks authentication layer，生成 socks 訪問用戶認(rèn)證層，名字定義為 socks_radius_auth，并在第一條規(guī)則中，action 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇 new，選定 socks authenticate，彈出窗口如下圖示：其中，realm 中選定 radius(radius)，點(diǎn)擊 ok，退到上一層，在窗口中選擇socksauth

27、enticate1，并點(diǎn)擊 ok，完成規(guī)則設(shè)置；如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.7 帶寬管理策略定義帶寬管理策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 bandwidth_management，并在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇 new，選定 attribute，彈出窗口如下圖示：其中，定義 name 為 work_group，authentication realm 選定radius(rad

28、ius)，radius attribute 選定 login(1)，選擇 ok，完成屬性定義。重復(fù)以上過程分別定義 name 為management_group、high_level_group、normal_group、temp1_group，temp0_group，temp2_group 分別對應(yīng) radius attribute 為 framed(2)、call back login(3)、call back framed(4)、outbound(5)、nas prompt(7)、administrative(6)。在第一條規(guī)則的 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗

29、口中選擇new，選定 client protocol，彈出窗口如下圖示：其中，選定 p2p 和 all p2p，并選擇 ok，完成定義。在第一條規(guī)則的 destination 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇new，選定 url，彈出窗口如下圖示：在 simple match 中指定關(guān)鍵業(yè)務(wù)的域名，選擇 add 增加定義，選擇 close 結(jié)束定義。在第一條規(guī)則的 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇 new，選定 manage bandwidth，彈出窗口如下圖示：其中，name 定義為 key_app_bandwidth，limit bandwidth

30、 on 中選定 server side 和 inbound，在 bandwidth class 中選定 key_app_bandwidth，選擇 ok 完成定義；重復(fù)以上過程，定義名 name 為 limit_app_bandwidth_in，屬性為 server side inbound，bandwidth class 為 limit_app_bandwidth；定義名 name 為 limit_app_bandwidth_out，屬性為 server side outbound，bandwidth class 為 limit_app_bandwidth；定義名 name 為 work_gr

31、oup_bandwidth，屬性為 server side inbound，bandwidth class 為 work_group_bandwidth；定義名 name 為 management_group_bandwidth，屬性為 server side inbound，bandwidth class 為 management_group_bandwidth；定義名 name 為 high_level_group_bandwidth，屬性為 server side inbound，bandwidth class 為 high_level_group_bandwidth；定義名 name

32、為 normal_group_bandwidth，屬性為 server side inbound，bandwidth class 為 normal_group_bandwidth；定義名 name 為 temp_group_bandwidth，屬性為 server side inbound，bandwidth class 為 temp_group_bandwidth。在 vpm 界面點(diǎn)擊 add rule 增加七條規(guī)則，總共八條規(guī)則，第一條規(guī)則定義：在 destination 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇以上定義的關(guān)鍵業(yè)務(wù) url，在 action 欄用鼠標(biāo)右鍵，選擇 set，

33、在彈出窗口中選擇key_app_bandwidth；第二條規(guī)則定義：在 service 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇 all p2p，在 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇limit_app_bandwidth_in；第三條規(guī)則定義：在 service 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇 all p2p，在 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇limit_app_bandwidth_out；第四條規(guī)則定義：在 source 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇work_group，在 action 欄用鼠標(biāo)右鍵，選

34、擇 set，在彈出窗口中選擇work_group_bandwidth；第五條規(guī)則定義：在 source 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇management_group，在 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇management_group_bandwidth；第六條規(guī)則定義：在 source 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇high_level_group，在 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇high_level_group_bandwidth；第七條規(guī)則定義：在 source 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中

35、選擇normal_group，在 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇normal_group_bandwidth；第八條規(guī)則定義：在 source 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇temp_group，在 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出窗口中選擇temp_group_bandwidth。完成定義如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.8 work_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access l

36、ayer，生成 web 訪問控制層，名字定義為 work_group_policy，通過 add rule 增加兩條規(guī)則。在第一條規(guī)則的 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇new，選定 client protocol，彈出窗口如下圖示：其中，選定 socks 和 all socks，并選擇 ok，完成定義。再選擇 new，選定 client protocol，在彈出窗口中選定 streaming 和 all streaming。在 vpm 菜單選擇 add rule 增加兩條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中

37、選擇work_group，在 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定 all socks，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇work_group，在 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定 all streaming，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第三條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇work_group，在 action 欄用鼠標(biāo)右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點(diǎn)

38、擊 install policy 將策略加載到 proxysg 中。2.11.9 management_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 management_group_policy。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇management_group，在 action 欄用鼠標(biāo)右鍵，選擇 allow。在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.10 high

39、_level_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 high_level_group_policy。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇high_level_group，在 action 欄用鼠標(biāo)右鍵，選擇 allow。在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.11 normal_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy

40、 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 normal_group_policy。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇normal_group，在 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定 all streaming，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇normal_group，在 action 欄用鼠標(biāo)右鍵，選擇 allow。在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到

41、proxysg 中。2.11.12 temp1_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 temp1_group_policy。在第一條規(guī)則的 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇new，選定 client protocol，彈出窗口如下圖示：其中，選定 ftp 和 all ftp，并選擇 ok，完成定義。在 vpm 菜單選擇 add rule 增加四條規(guī)則，共五條規(guī)則。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出

42、的窗口中選擇temp1_group，在 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定 all socks，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定 all streaming，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第三條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定 all f

43、tp，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第四條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 destination 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定new，選擇 url，定義 simple match 中域名為 ，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第五條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 action 欄用鼠標(biāo)右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg

44、中。2.11.13 temp0_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 temp0_group_policy。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp0_group，在 action 欄用鼠標(biāo)右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.14 temp2_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vp

45、m 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 temp2_group_policy。在 vpm 菜單選擇 add rule 增加二條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp2_group，在 services 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選定 all socks，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp2_group，在 destination 欄用鼠標(biāo)右鍵，選擇

46、 set，在彈出的窗口中選定new，選擇 url，定義 simple match 中域名為 ，在 action 欄用鼠標(biāo)右鍵，選擇 deny。在第三條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇temp2_group，在 action 欄用鼠標(biāo)右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.15 ie 瀏覽器版本檢查策略瀏覽器版本檢查策略從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 browser_v

47、ersion_check，通過 add rule 增加一條規(guī)則，共兩條規(guī)則。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇new，選擇 request header，彈出窗口如下圖示：其中，name 定義為 requestheader_ie6，在 header name 下拉框中選擇 user-agent，在 header regex 中輸入.*msie6.*，點(diǎn)擊 ok 完成定義。在第一條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇requestheader_ie6，在 destination 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中點(diǎn)

48、擊new，選擇 url，定義 ，在 action 欄用鼠標(biāo)右鍵，選擇 allow。在第二條規(guī)則中，source 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇requestheader_ie6，在 action 欄用鼠標(biāo)右鍵，選擇 set，在彈出的窗口中選擇new，并選擇 deny，彈出窗口如下圖示：選定 force deny，details 提示為：please upgrade your browser to ie6.x，點(diǎn)擊ok 完成定義，并在返回的窗口中選定 deny1，點(diǎn)擊 ok，完成定義。如下圖示：在 vpm 菜單中點(diǎn)擊 install policy 將策略加載到 proxysg 中。2.11.16 dns 解析策略設(shè)置解析策略設(shè)置proxysg 將為用戶提供 dns 解析服務(wù)，將對解析請求應(yīng)答 proxysg 的 ip 地址，配置過程如下：從 vpm 的 policy 菜單選擇 add dns access layer，生成 dns 訪問控制層