bluecoatsgos培訓(xùn)配置于策略

BlueCoatProxySG

策略及配置ProxySG管理界面Graphicaluserinterface簡(jiǎn)介用戶界面生成必要的命令來(lái)完成操作分成三個(gè)功能區(qū)StatisticsConfigurationMaintenanceWeb瀏覽器要求支持JREversion1.5.0_15或更新版本Javaenabled最小分辨率1024x768FIPS模式:TLSv1securedconnectionEnabledbydefaultinJRE1.6MustbeenabledinInternetExplorerv6andearlier認(rèn)證認(rèn)證詳細(xì)說(shuō)明Management終端頭信息StatisticsTabConfigurationTabMaintenanceTabPreview,Revert,andApplySGOS基本配置General配置

設(shè)備名定義

時(shí)鐘定義

配置備份/恢復(fù)

可以修改設(shè)備名序列號(hào)不可修改時(shí)鐘設(shè)置顯示UTC時(shí)間顯示本地時(shí)間選擇時(shí)區(qū)中國(guó)：＋8啟動(dòng)NTP對(duì)時(shí)對(duì)時(shí)間隔立即對(duì)時(shí)暫停時(shí)鐘對(duì)時(shí)服務(wù)器設(shè)置如果要手動(dòng)修改時(shí)鐘，必須停止NTP對(duì)時(shí)，并暫停時(shí)鐘，然后進(jìn)行修改對(duì)時(shí)服務(wù)器設(shè)置對(duì)時(shí)服務(wù)器增加修改刪除上移下移盡量使用本地的對(duì)時(shí)服務(wù)配置備份及恢復(fù)

選擇配置類型顯示配置選擇配置安裝方式安裝配置選擇配置類型PostSetup：當(dāng)前所有配置，包括從console配置的，和List配置的Brief：所有從console配置的設(shè)置，不包括從List配置的Expanded：最完整的配置，包括系統(tǒng)專用的部分，無(wú)法放到其它系統(tǒng)ResultsofConfigurationLoad：上次加載配置的結(jié)果選擇配置安裝方式本地文件方式文本編輯方式配置是以添加方式加入恢復(fù)配置，建議先初始化Network配置

網(wǎng)卡配置路由配置DNS配置高級(jí)配置網(wǎng)卡配置

選擇網(wǎng)卡選擇網(wǎng)卡接口部分網(wǎng)卡有多接口IP地址子網(wǎng)掩碼網(wǎng)橋配置網(wǎng)卡接口高級(jí)配置網(wǎng)卡接口高級(jí)配置接受Inbound連接拒絕Inbound連接

將拒絕用網(wǎng)絡(luò)發(fā)起到該接口的連接，包括管理端口的請(qǐng)求，只有使用多端口時(shí)才選用網(wǎng)口自適應(yīng)手工配置網(wǎng)口參數(shù)雙工/半雙工選擇Speed選擇MAC地址改變?yōu)g覽器提示（在首頁(yè)）路由配置

Gateways配置靜態(tài)路由配置RIP配置Gateways配置已有Gateway生成編輯編輯刪除啟動(dòng)IPForwardingGateway編輯界面：由New和Edit生成Gateway的IP地址分組號(hào)越小優(yōu)先級(jí)越高，高優(yōu)先級(jí)的Gateway全部失效，才選用低優(yōu)先級(jí)的權(quán)重：按權(quán)重比例分配負(fù)載靜態(tài)路由配置選擇靜態(tài)路由設(shè)置方式URL本地文件文本編輯安裝顯示路由表顯示源路由設(shè)置文件靜態(tài)路由表是一個(gè)文本文件，每行包含：IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)IP，例如：DNS配置

名字添加查詢已有DNS服務(wù)器設(shè)置生成編輯刪除上移下移Primary/Alternative選擇查問(wèn)第一個(gè)PrimaryDNSServer返回結(jié)果為IP地址?獲得IP地址Yes查問(wèn)第一個(gè)AlternateDNSServer是否定義了Alternate?Yes無(wú)法解析No返回結(jié)果為域名不存在?NoYes無(wú)出錯(cuò)、無(wú)應(yīng)答?NoYes返回結(jié)果為IP地址?YesNo按順序查問(wèn)后面的PrimaryDNSServerNo……SplitDNS的應(yīng)用需使用Primary和AlternateDNSServerDNS服務(wù)器使用次序Services定義

一個(gè)Service將為一種協(xié)議產(chǎn)生一個(gè)偵聽(tīng)的端口和IP地址Service=Protocol+IP(InterfaceIP,VIP,orAll)+Port+Attribute(s)同一端口上的多個(gè)Service可以生成在不同的IP上Service名代理協(xié)議IP地址SOCKSProxy參數(shù)Intercept/BypassServices定義修改屬性：

Explicit：指定代理

Transparent：透明代理

Authenticate-401：服務(wù)器認(rèn)證響應(yīng)

Send-Client-IP：用ClientIP到源站點(diǎn)取信息，要求網(wǎng)絡(luò)配合策略配置

·

PolicyOptions：策略選項(xiàng)·

PolicyFiles：策略文件，所有策略配置均在系統(tǒng)中對(duì)應(yīng)到一個(gè)策略文件，該選項(xiàng)包括對(duì)文件方式的配置和備份、恢復(fù)等·

VisualPolicyManager：可視化策略管理器，通過(guò)可視化界面配置訪問(wèn)控制策略Exceptions：修改缺省的出錯(cuò)頁(yè)面

策略選項(xiàng)策略執(zhí)行次序（越前面優(yōu)先級(jí)越低）上移下移缺省策略設(shè)置跟蹤所有策略執(zhí)行（用于Debugging）HypertextTransferProtocolHTTPoverviewHTTP協(xié)議定義應(yīng)用級(jí)協(xié)議，用于信息傳遞、整合超媒體信息不同版本HTTP/0.9HTTP/1.0describedinRFC1945(May1996)HTTP/1.1describedinRFC2616(June1999)HTTP協(xié)議總是Client發(fā)起連接服務(wù)器不能發(fā)起連接HTTPURL["http:""http://"host_name[:port][abs_path["?"query]]Hostname是大小寫(xiě)無(wú)關(guān)的尤其是對(duì)基于Unix的服務(wù)器缺省端口80HTTPMessage兩種類型messages請(qǐng)求（Request）應(yīng)答（Response）Message有兩部分HeadersDataRequest方法GET獲取URL指定的信息如果請(qǐng)求的Message包含If-Modified-Since或相似的header，就變?yōu)闂l件請(qǐng)求HEAD和GET相同，但服務(wù)器在應(yīng)答中不返回Message-body部分Request方法POST包括以下功能：將信息發(fā)到服務(wù)器提供數(shù)據(jù)塊，例如：Form的結(jié)果、數(shù)據(jù)處理等通過(guò)Append操作擴(kuò)展數(shù)據(jù)庫(kù)CONNECT用來(lái)動(dòng)態(tài)切換為Tunnel（例如：SSLtunnelling）應(yīng)答碼成功碼：200OK客戶端出錯(cuò)404PageNotFound服務(wù)器出錯(cuò)500InternalServerErrorHTTP協(xié)議請(qǐng)求

GET/HTTP/1.1 Host: User-Agent:Firefox/1.0 Accept:text/xml應(yīng)答

HTTP/1.x200OK Content-Type:text/html Server:GWS/2.1 Content-Length:1121 Date:Wed,05

Jan200522:09GMT分級(jí)的HTTPRequests中間設(shè)備在client和server之間可以有任意數(shù)量的中間設(shè)備方法級(jí)的控制

ProtocolHostPortPathQueryFileExtensionurl.scheme=url.host=url.host.regex=url.address=url.domain=url.port=url.path=url.path.regex=url.extension=url.query=url.query.regex=互聯(lián)網(wǎng)代理不僅控制URL還可以控制協(xié)議方法GET請(qǐng)求（區(qū)別）GET/HTTP/1.1HOST:GETHTTP/1.1HOST:PolicyManagementPolicytranslation;defaultpolicy簡(jiǎn)介設(shè)置缺省策略設(shè)置全局的安全級(jí)別了解VisualPolicyManager管理策略層翻譯使用策略配置ProxySG生成策略缺省策略DenyProxySG的缺省設(shè)置所有代理通訊均被屏蔽Allow允許通過(guò)代理的通訊其他策略來(lái)屏蔽選定的通訊VisualPolicyManagerVPMPolicy對(duì)象觸發(fā)器（Triggerobjects）用來(lái)確定Rule是matches還是misses根據(jù)source,destination,service,和time來(lái)組織操作（Actionobjects）用來(lái)確定如何處理通訊根據(jù)action和track來(lái)組織Policy翻譯–Rule#1“屏蔽所有用戶訪問(wèn)Hacking站點(diǎn)”

Source:ANYDestination:HackingService:ANYTime:ANYAction:DENYTrack:nonePolicy翻譯–Rule#2“員工可以在工作時(shí)間外訪問(wèn)travel網(wǎng)站”

Source:ANYDestination:TravelService:ANYTime:Mon-Fri;08:00..17:00Action:DENYTrack:nonePolicy翻譯–Rule#3“只允許IT組的用戶使用FTP，工作時(shí)間外所有用戶都允許”

Source:NOT(GroupIT)Destination:ANYService:FTPTime:Mon.-Fri.;08:00..17:00Action:DENYTrack:none完成WebAccess策略VPM–Rules優(yōu)先級(jí)VPMPolicyLayersAdminAuthenticationWebAuthenticationAdminAccessWebAccessDNSAccessWebContentSOCKSAuthenticationForwardingSSLInterceptCPLSSLAccessVPM–Layers優(yōu)先級(jí)VPMLayerGuards55最佳實(shí)踐Policy構(gòu)成在單獨(dú)的層，表達(dá)單獨(dú)的決定Policy完整性小心使用ALLOWPolicy優(yōu)化只在必須的時(shí)候使用regularexpressions將最可能匹配的Rules放在Layer的前面盡可能使用subnets使用definitions和layerguards56WebFilter配置BCWFLicenseDRTR特性及設(shè)置啟動(dòng)BCWF根據(jù)分類控制Web訪問(wèn)最佳實(shí)踐：安全策略建議（1）1）使用策略屏蔽來(lái)自這些分類的可執(zhí)行文件：None:在WebPulse體系中還沒(méi)有分類的URLs，作為對(duì)Malware內(nèi)容的預(yù)防，屏蔽其可執(zhí)行內(nèi)容Adult:很多Malware從搜索引擎開(kāi)始，成人內(nèi)容的搜索很多返回的是Malware鏈接Open/MixedContent:很多Malware使用開(kāi)放的內(nèi)容服務(wù)器，例如：，無(wú)需屏蔽整個(gè)分類，只要屏蔽可執(zhí)行內(nèi)容OnlineStorage:像OpenContent分類，許多Malware使用在線存儲(chǔ)網(wǎng)站W(wǎng)ebAdvertisements:“垃圾廣告”是增長(zhǎng)很快的一個(gè)分類，很容易提供有害代碼Non-viewable:這個(gè)分類試圖跟蹤和分析網(wǎng)絡(luò)服務(wù)，典型地提供“non-viewable”內(nèi)容或小的Javascript，主要目的是跟蹤用戶對(duì)網(wǎng)站的訪問(wèn)WebHosting:很多Malware通過(guò)子域名（WebHosting域名生成的免費(fèi)域名）傳播SoftwareDownloads:取決于企業(yè)和用戶的使用，可以在這個(gè)分類中使用一個(gè)允許的域名列表，屏蔽其它的，這個(gè)分類是Malware作者的首要目標(biāo)，因?yàn)镸alware和軟件下載很相似ContentServers:不像OpenContent分類，這個(gè)分類的網(wǎng)站是較大的、可信任網(wǎng)站使用的，通常用來(lái)存儲(chǔ)視頻、圖片等，不是可執(zhí)行的內(nèi)容最佳實(shí)踐：安全策略建議（2）2）強(qiáng)烈建議屏蔽這些分類：Phishing,MaliciousSources,MaliciousOutboundData/BotnetsPornography,Extreme:有很多網(wǎng)站包含Malware的內(nèi)容Hacking:大部分和Hacking相關(guān)Gambling:有很多在線賭博的網(wǎng)站都試圖引導(dǎo)你下載一個(gè)Malware客戶端到你的電腦Suspicious:有很多網(wǎng)站會(huì)在這個(gè)分類中，很多是Malware或Spam網(wǎng)絡(luò)的一部分Placeholder:通常是“undead”域名，網(wǎng)站實(shí)際上并不“Alive”，成為“searchenginezombies”–很多和Malware網(wǎng)絡(luò)的搜索引擎優(yōu)化相關(guān)聯(lián)PotentiallyUnwantedSoftware:這個(gè)分類包括adware-/spyware-relate和其它MalwareScam/Questionable/Illegal:許多“騙子”網(wǎng)站分類為Questionable,經(jīng)常涉及Malware相關(guān)的活動(dòng)ProxyAvoidance:如果不屏蔽，上面分類都可能被訪問(wèn)DynamicDNSHost:使用動(dòng)態(tài)DNS的網(wǎng)站，這些網(wǎng)站被用作“Phone

Home”數(shù)據(jù)站點(diǎn)，應(yīng)該屏蔽其所有內(nèi)容，不僅僅是可執(zhí)行內(nèi)容最佳實(shí)踐：安全策略建議（3）3）用Reporter看網(wǎng)絡(luò)中Botnet活動(dòng)的跡象除對(duì)“可疑的”分類(Spyware/MalwareSource,Spyware/MalwareEffects,Suspicious,andPhishing)外，以上提到的分類也需要特別看一看。檢查“Unrated/None”的通訊量，作為一個(gè)感染的指示：如果看到大量Unrated的通訊來(lái)自網(wǎng)絡(luò)中的計(jì)算機(jī)，很有可能是被感染的機(jī)器試圖連接新的“Phone

Home”域名最佳實(shí)踐：安全策略建議（4）4）很多Bots試圖使用443端口做“Phone

Home”通訊，在策略中做兩個(gè)步驟屏蔽這種通訊確保SSL協(xié)議使用有效證書(shū)，建議屏蔽沒(méi)有使用合法機(jī)構(gòu)頒發(fā)的有效證書(shū)的SSL，而且建議評(píng)比所有自簽證書(shū)的SSL，如果需要可以使用白名單做例外建議屏蔽所有試圖使用443端口的非SSL通訊，許多Botnets使用自定義的加密方式進(jìn)行通訊，當(dāng)然有許多合法應(yīng)用也在443端口使用自定義的加密方式，需要用白名單做例外最佳實(shí)踐：安全策略建議（5）5）其它建議使用病毒掃描()記日志()參考BluecoatSecurityBlog()ThreatProtection配置68ThreatProtection:WebPulseDownloadstatusmessageformats:Succeeded(Time:YYYY/MM/DDHH:MM:SS)Failed(Time:YYYY/MM/DDHH:MM:SS,Error:XXXXXX)UnknownErrormessagesaretakenfromthecontent-filterCLIoutput:SG#(config)content-filterSG#(configcontent-filter)bluecoatSG#(configbluecoat)view…Downloadlog:…Fetching:

ERROR:Socketconnecterror12369ThreatProtection:Malware(ICAP,ProxyAV)1234簡(jiǎn)化ProxyAV配置,Response-Mod71完全External

Servcies/ICAP配置界面MalwareScanningVPMVPM配置可以覆蓋GUI設(shè)置用戶認(rèn)證用戶認(rèn)證基于用戶和用戶分組的策略細(xì)?；膱?bào)告管理提示頁(yè)面指定代理用戶認(rèn)證代理用戶認(rèn)證域AuthenticationCache控制不同層次的authenticationcacheCache:credentialsurrogateauthorization(LDAP)AuthenticationCache3個(gè)層次的

cache(5.x以上版本，4.x只有一個(gè)cache):CredentialSurrogateAuthorizationCache每個(gè)認(rèn)證域單獨(dú)定義Cache時(shí)間可調(diào)Cache可以被清除

(在5.x以上版本的statistics中)CredentialCache基本的“認(rèn)證憑證”被記住的時(shí)間基本的“認(rèn)證憑證”是登錄帳號(hào)和密碼，即基本類型“口令”（非NTLM和Kerberos等）缺省900秒(15分鐘)在這期間，用戶的“認(rèn)證憑證”是和被緩存的“認(rèn)證憑證”比較如果密碼不匹配，Proxy將到認(rèn)證服務(wù)器重新確認(rèn)(有可能使密碼被修改了)ServerSSO:被緩存的“認(rèn)證憑證”可以轉(zhuǎn)發(fā)到服務(wù)器(命令行命令:server-authentication):僅對(duì)基本類型的“認(rèn)證憑證”(ldap,radius,iwawithbasiccredentials)SurrogateCacheSurrogate是指一種指定認(rèn)證用戶的信息在Surrogate的生命期中，用戶的回話不會(huì)被要求重新確認(rèn)用戶如果清楚Surrogate

Cache，用戶將被要求重新認(rèn)證兩種主要的surrogates:Ip地址:在TCP會(huì)話中的源IP地址Cookie:Proxy設(shè)置的cookieCookie模式只適用于http(https)AuthorizationCache(LDAP)涉及用戶組和屬性僅適用于具有這種概念的認(rèn)證域(例如：Ldap)Proxy將記住：用戶組信息屬性值(5.3withLdaprealm)InactivityTimeout沒(méi)有活動(dòng)N分鐘后，自動(dòng)Log

out用戶Inactivitytimeout策略：用戶認(rèn)證認(rèn)證模式最佳實(shí)踐ProxyChallengeOriginChallengeFormChallengeOriginChallengewithredirectionFormChallengewithredirectionTCPconnectionSurrogateproxyorigin---CookieSurrogate-origin-cookieform-cookieorigin-cookie-redirectform-cookie-redirectIPSurrogateproxy-iporigin-ipform-iporigin-ip-redirectform-ip-redirectReverseProxyTransparentProxyExplicitProxy策略：用戶訪問(wèn)控制策略：限制用戶同時(shí)登錄的IP數(shù)<Proxy> user.login.count=(2..)user.login.log_out(yes)deny策略：認(rèn)證出錯(cuò)處理SGOS4:如果認(rèn)證或授權(quán)出錯(cuò)：DenySGOS5:缺省Deny能夠定義容忍的出錯(cuò)：AuthenticationerrorsAuthorizationerrors舉例:認(rèn)證服務(wù)器down/unreachable舉例:認(rèn)證服務(wù)器down/unreachable顯示用戶登入狀況訪問(wèn)控制策略—屏蔽443端口上的非SSL通訊92屏蔽443端口上的非SSL通訊控制嚴(yán)格的企業(yè)網(wǎng)環(huán)境中，采用代理方式上網(wǎng)（HTTP代理），通常僅允許目標(biāo)端口為80和443的互聯(lián)網(wǎng)訪問(wèn)現(xiàn)代大部分軟件均能通過(guò)HTTP代理進(jìn)行互聯(lián)網(wǎng)訪問(wèn)，但是通常采用HTTP

connect方法，建立HTTPtunnel穿過(guò)代理，嚴(yán)格的控制，將僅允許HTTPGET和POST方法（即純HTTP）通過(guò)代理，這將屏蔽大部分軟件通過(guò)HTTP代理由于HTTPs通訊也采用Connect方法，因此，需要在代理上允許目標(biāo)端口為443的Tunnel訪問(wèn)，但是，當(dāng)前大量軟件能夠自動(dòng)檢測(cè)并通過(guò)443端口的HTTP

tunnel實(shí)現(xiàn)訪問(wèn)，例如：QQ、淘寶旺旺等Bluecoat

SG的SSL

intercept策略，將目標(biāo)端口為443的通訊根據(jù)HTTPs協(xié)議要求進(jìn)行處理，能夠有效屏蔽非HTTPs通訊通過(guò)http

tunnel方式傳輸，但SG采用的SSL

proxy采用了替換SSL證書(shū)方式，在企業(yè)沒(méi)有合法證書(shū)可用時(shí)，客戶端訪問(wèn)HTTPs將出現(xiàn)很多證書(shū)告警本配置在不進(jìn)行SSL

intercept的情況下，屏蔽非SSL的通訊通過(guò)HTTPtunnel（目標(biāo)443端口）的訪問(wèn)93定義WebAccessLayer策略啟動(dòng)VPM:configuration/policy/VirsualPolicyManager/Launch從Policy菜單建立新的Web

Access層94定義訪問(wèn)控制Rules允許純HTTP訪問(wèn)，定義純HTTP：通過(guò)Service/Set/New/ClientProtocol/HTTP/PureHTTP允許目標(biāo)端口443訪問(wèn)，定義目標(biāo)端口443：通過(guò)Destination/Set/New/DestinationHost/Port，在彈出窗口中定義Port，無(wú)需定義Host屏蔽其它訪問(wèn)95定義CPLLayer策略從Policy菜單建立新的CPL層注：SGOS6.x可以在VPM中定義CPL策略，以前版本需要通過(guò)LocalPolicy定義96定義SSL檢查Rules將以下CPL策略貼到CPLLayer中：<proxy>:443/force_protocol(no):443/force_protocol(no)url.port=443force_protocol(ssl)其中，前面兩條對(duì)兩個(gè)域名的443端口訪問(wèn)不進(jìn)行SSL強(qiáng)制檢查，這個(gè)例外可以允許QQ上網(wǎng)最后一條，對(duì)所有目標(biāo)端口為443的訪問(wèn)強(qiáng)制SSL檢查，非SSL將被屏蔽97附加策略增加SSLInterceptLayer策略DisableSSLintercept增加SSLAccessLayer策略關(guān)閉ServerSSL證書(shū)檢查注：這兩個(gè)策略可選配98小節(jié)以上策略配置將允許：HTTPHTTPsQQ聊天其它大部分軟件將被屏蔽，能夠通過(guò)純HTTP訪問(wèn)的應(yīng)用還是能夠進(jìn)行訪問(wèn)的，那和通過(guò)瀏覽器的上網(wǎng)訪問(wèn)沒(méi)有區(qū)別，需要通過(guò)URL、Domain、UserAgent等其它HTTP要素進(jìn)行控制。控制大文件下載控制下載文件大小的方法ProxySG可以控制HTTP大文件下載控制下載文件大小，通過(guò)控制HTTP的GET響應(yīng)的Content-Length頭字段來(lái)實(shí)現(xiàn)在策略中Content-Length用字符串方式定義需注意：由于增加了傳輸信息，下載文件的大小有可能比實(shí)際文件更大生成一個(gè)WebAccessLayer名字為L(zhǎng)imit_download_file_size可選策略定義—Destination--1在Rule的Destination中用鼠標(biāo)右鍵，并選擇New在下拉菜單中選擇：ResponseHeader策略定義—Destination—2ResponseHeader定義窗口中，選擇HeaderName為：Content-Length，在HeaderRegex中定義文件大小。例如：10K以上：^.{5,}30K以上：^.{6,}|^[3-9].{4,}2M以上：^.{8,}|^[2-9].{6,}策略定義—Action指定Action操作Deny或Force

DenyAttackDetect功能

TerminateConnect處理106Bluecoat

SG攻擊檢測(cè)功能為減少DDOS攻擊和端口掃描的影響，SG能夠限制從同一個(gè)ClientIP來(lái)的并發(fā)連接數(shù)，并對(duì)大量出現(xiàn)TCP失敗連接的Client端進(jìn)行屏蔽也可以限制到超載的服務(wù)器的并發(fā)連接數(shù)AttackDetection配置—啟動(dòng)客戶端連接數(shù)限制SG的攻擊檢測(cè)功能只能通過(guò)命令行配置：?jiǎn)?dòng)客戶端控制:

enable conft

attack-detection

client enable-limitsAttackDetection配置—顯示配置參數(shù)并發(fā)連接數(shù)限制的顯示：

enable conft

attack-detection

client view限制已啟動(dòng)客戶端并發(fā)連接數(shù)客戶端連接失敗次數(shù)客戶端警告次數(shù)屏蔽操作解除屏蔽時(shí)間AttackDetection配置—工作方式說(shuō)明限制已啟動(dòng)客戶端并發(fā)連接數(shù)客戶端連接失敗次數(shù)客戶端警告次數(shù)屏蔽操作解除屏蔽時(shí)間SG的攻擊檢測(cè)包括兩部分，一是根據(jù)客戶端并發(fā)連接，二是根據(jù)失敗連接次數(shù)1）如果一個(gè)客戶端來(lái)的連接超過(guò)ClientConnectionLimit值，超過(guò)的連接將被屏蔽掉2）如果一個(gè)客戶端產(chǎn)生的失敗連接超過(guò)Client

Failure

Limit的值，將發(fā)出一次警告，如果警告次數(shù)超過(guò)Client

Warning

Limit值，SG將這個(gè)客戶端IP放入黑名單，屏蔽其所有訪問(wèn)，屏蔽方式根據(jù)BlockedClientaction定義（Drop或Send-RST）第一種情況，當(dāng)客戶端連接降到ClientConnectionLimit以下，新的Client連接將被SG接受第二種情況，則根據(jù)Client

Connection

unblocktime定義的時(shí)間后，將其IP從黑名單中去掉，如果unblock

time定義為Unlimited，將需要管理員人工清除AttackDetection配置—修改配置參數(shù)并發(fā)連接數(shù)限制的修改：

enable conft

attack-detection

client default

[block-action|connection-limit|failure-limit|unblock-time|warning-limit]以上命令修改Attack

Detection的全局配置參數(shù)國(guó)內(nèi)運(yùn)用中，connection-limit通常設(shè)置200-300AttackDetection配置—為指定網(wǎng)段修改配置參數(shù)SG允許為指定網(wǎng)段，設(shè)定不同于Default的并發(fā)連接數(shù)限制：

enable conft

attack-detection

client create

/24 edit/24 block-action connection-limit failure-limit unblock-time warning-limit delete/24

（取消定義）AttackDetection配置—顯示黑名單及解鎖因失敗連接數(shù)超過(guò)Limits而被屏蔽的IP地址，通過(guò)以下命令顯示：

enable conft

attack-detection client

view

client

blocked （顯示并屏蔽IP列表）

view

client

connections（顯示當(dāng)前所有IP并發(fā)連接數(shù)） unblock

<ipaddress> （將指定IP地址從屏蔽列表中解除）Web顯示：

113SG

Exception選項(xiàng)—Terminate

connectionSG對(duì)訪問(wèn)進(jìn)行屏蔽時(shí),將返回出錯(cuò)頁(yè)面提示用戶(Exception),這個(gè)功能是缺省設(shè)置部分軟件(包括:一些客戶端插件、來(lái)自Internet的掃描軟件等)在被屏蔽時(shí),會(huì)不斷發(fā)出試探連接的請(qǐng)求,它們會(huì)利用和SG建立的同一個(gè)TCP會(huì)話，不斷發(fā)出HTTP請(qǐng)求這種請(qǐng)求由于不需要重建TCP會(huì)話，有時(shí)會(huì)非常快、非常多，對(duì)SG產(chǎn)生很大的壓力Terminate

Connection是SG出錯(cuò)頁(yè)面的一個(gè)選項(xiàng)，即定義SG不發(fā)出出錯(cuò)頁(yè)面，而是，直接關(guān)閉被屏蔽的TCP會(huì)話114SG

Exception選項(xiàng)—Terminate

connection配置TerminateConnection通過(guò)SG的CPL（ContentPolicyLanguage）進(jìn)行配置CPL策略通過(guò)SG的LocalPolicyFiles（web管理界面Configuration/Policy/PolicyFiles/LocalPolicy）加載，SGOS6在VPM中增加了新的CPLLayer，也可以加載CPL策略以下策略定義，將取消所有報(bào)錯(cuò)頁(yè)面，報(bào)錯(cuò)操作均關(guān)閉TCP連接：<Exception>terminate_connection(yes)以下策略對(duì)替換特定報(bào)錯(cuò)頁(yè)面，使用關(guān)閉TCP連接<exception>exception.id=tcp_errorterminate_connection(yes)以下策略定義對(duì)特定網(wǎng)站，使用關(guān)閉TCP連接的報(bào)錯(cuò)方式，注：這里只是定義出錯(cuò)頁(yè)面的處理方式，即屏蔽策略是另外定義的。<exception>url.domain=“”terminate_connection(yes)Bluecoat緩存策略設(shè)置（CPL）116Bluecoat緩存特性BluecoatSG具有強(qiáng)大的緩存功能SG緩存缺省已啟動(dòng)SG緩存在缺省情況下，僅對(duì)靜態(tài)的內(nèi)容進(jìn)行緩存，對(duì)帶有Cookie、URL中有參數(shù)（帶？）等動(dòng)態(tài)內(nèi)容不緩存SG的智能算法根據(jù)網(wǎng)站內(nèi)容的變化特征自動(dòng)確定對(duì)象的緩存時(shí)間可以通過(guò)策略語(yǔ)言（CPL）對(duì)SG的缺省緩存特性進(jìn)行控制，例如：緩存的時(shí)間等對(duì)于部分網(wǎng)站通過(guò)變換URL的方式進(jìn)行Loadbalance的情況，通過(guò)CPL可以定義相同的對(duì)象在緩存時(shí)使用相同的URL，從而提高命中率和緩存利用率本說(shuō)明采用CPL實(shí)現(xiàn)緩存策略的配置117緩存策略通過(guò)策略語(yǔ)言（CPL）對(duì)SG的缺省緩存特性進(jìn)行控制，例如：緩存的時(shí)間等在CPL中通過(guò)<cache>層策略實(shí)現(xiàn)對(duì)缺省緩存策略的修改例如：定義對(duì)所有圖形、視頻對(duì)象（由文件后綴決定）強(qiáng)制緩存2天，策略如下：<cache>condition=video_FileExtensioncachettl(172800)cache(yes)force_cache(yes)condition=image_FileExtensioncachettl(172800)cache(yes)force_cache(yes)defineconditionimage_FileExtensioncacheurl.extension=(jpg,gif,jpeg,bmp)endconditionFileExtensioncachedefineconditionvideo_FileExtensioncacheurl.extension=(rm,mp3,mp4,flv,wma,f4v)endconditionvideo_FileExtensioncache118視頻對(duì)象緩存策略的視頻內(nèi)容通過(guò)域名播出其中，xxx根據(jù)其loadbalance的結(jié)果分配到不同域名，例如：heb1、heb2、wh等Xxx不同，路徑及文件名一致時(shí)，內(nèi)容也一致針對(duì)這種情況，通過(guò)以下策略定義，可以實(shí)現(xiàn)將相同的內(nèi)容在SG中緩存為同一對(duì)象<proxy>condition=sina_video_requestaction.force_cache_sina(yes)<cache>refresh(no)defineconditionsina_video_requestcondition=video_FileExtensioncacheEnddefineactionforce_cache_sinarewrite(url,"http://(.*)\.dhot\.v\.iask\/(.*)$","$(2)",cache)end119CPL策略安裝（1）CPL通過(guò)SGWeb管理界面，configuration/Policy/Policyfiles/Localpolicyfile，如下圖示：選擇TextEditor點(diǎn)擊Install，進(jìn)入策略編輯彈出窗口見(jiàn)下頁(yè)120CPL策略安裝（2）在彈出窗口中編輯CPL策略，如下圖示：編輯策略點(diǎn)擊Install，加載策略注：策略安裝是覆蓋式的，原有CPL策略將被覆蓋121緩存策略-CPLCPL策略是按層定義的，綜合以上說(shuō)明的策略，可以定義在一個(gè)CPL中（如下），并通過(guò)LocalPolic