《BlueCoat互联网代理安全网关功能需求文档 .doc》由会员分享,可在线阅读,更多相关《BlueCoat互联网代理安全网关功能需求文档 .doc(47页珍藏版)》请在三一办公上搜索。
1、互联网代理安全网关功能需求文档2011年1月目 录一、 安装设备及安装环境41.1 实施设备清单41.2 实施拓朴结构图4二、 实施步骤52.1 物理连接52.2 初始IP地址配置52.3 远程管理软件配置52.4 网络配置62.4.1 Adapter 1地址配置62.4.2 静态路由配置72.4.3 配置外网DNS服务器92.4.4 配置虚拟IP地址92.4.5 配置Fail Over102.5 配置代理服务端口122.6 配置本地时钟132.7 配置Radius认证服务132.8 内容过滤列表定义及下载162.9 定义病毒扫描服务器182.10 带宽管理定义222.11 策略设置232.1
2、1.1 配置DDOS攻击防御232.11.2 设置缺省策略为DENY232.11.3 配置Blue Coat Anti-Spyware策略242.11.4 访问控制策略配置-VPM252.11.5 病毒扫描策略配置252.11.6 用户认证策略设置272.11.7 带宽管理策略定义292.11.8 Work_Group用户组访问控制策略定义342.11.9 Management_Group用户组访问控制策略定义362.11.10 High_Level_Group用户组访问控制策略定义362.11.11 Normal_Group用户组访问控制策略定义372.11.12 Temp_Group用户组
3、访问控制策略定义372.11.13 IE浏览器版本检查策略392.11.14 DNS解析策略设置41一、 安装设备及安装环境1.1 实施设备清单Bluecoat安全代理专用设备SG60010一台,AV510-A一台,BCWF内容过滤,MCAFEE防病毒,企业版报表模块。1.2 实施拓朴结构图Bluecoat设备SG600-103配置于内网,AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种,网络示意结构如下图:旁路模式:二、 实施步骤2.1 物理连接两台Bluecoat SG8002的Adapter0_Interface 0和Adapter1_Interface0
4、通过以太网双绞线连接于两台Radware CID交换机。2.2 初始IP地址配置通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为:第一台SG8002:191.32.1.9(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)第二台SG8002:191.32.1.11(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)2.3 远程管理软件配置Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理,浏览器管理端口为8082,管理
5、用的PC机需安装了Java运行环境。管理界面的URL为:https:/191.32.1.9:8082和https:/191.32.1.11:80822.4 网络配置在xxxxx网络环境中,(1)ProxySG800-2两个端口均需配置IP地址;(2)除缺省路由指向防火墙,还需一条静态路由,作为内网通讯的路由,(3)配置外网DNS,以便ProxySG到互联网的访问,(4) 每台另外需要一个虚拟IP地址,作为内部员工的DNS解析服务器IP地址;(5)对虚拟IP地址配置Fail Over,当一台ProxySG停止工作,其虚拟IP将切换到另外一台。2.4.1 Adapter 1地址配置从Web管理界面
6、Management Console/Configuration/Network/Adapter进入,在Adapters下拉框中选择Adapter1,并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码,如下图示:第一台ProxySG800-2的IP地址为:191.32.1.10,掩码:255.255.255.224第二台ProxySG800-2的IP地址为:191.32.1.12,掩码:255.255.255.224点击Apply使配置生效。2.4.2 静态路由配置从Web管理界面Management Co
7、nsole/Configuration/Network/Routing进入,在窗口上部选项中选择Routing,并在Install Routing table from下拉框中选择Text Editor,如下图示:点击Install,并在弹出窗口中输入静态路由:191.0.0.0 255.0.0.0 191.32.1.5 如下图示:点击Install使配置生效。2.4.3 配置外网DNS服务器从Web管理界面Management Console/Configuration/Network/DNS进入,如下图示:点击New增加外网DNS服务器IP地址,并点击Apply使配置生效。2.4.4 配置
8、虚拟IP地址从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择VIPs,如下图示:点击New配置虚拟IP地址,并点击Apply使配置生效。第一台ProxySG800-2的虚拟IP地址为:191.32.1.13第二台ProxySG800-2的虚拟IP地址为:191.32.1.142.4.5 配置Fail Over从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择Failover,如下图示:点击New配置Failover
9、组,如下图示:在弹出窗口中,选择Existing IP,并在下拉框中选择已定义的虚拟IP地址:191.32.1.13(第一台ProxySG800),191.32.1.14(第二台ProxySG800),在Group Setting中,选择Enable,并在Relative Priority中选中Master,点击OK完成配置。并点击Apply使配置生效。点击New配置另一个Failover组,如下图示:在弹出窗口中,选择New IP,指定虚拟IP地址:191.32.1.14(第一台ProxySG800),191.32.1.13(第二台ProxySG800),在Group Setting中,选择
10、Enable,点击OK完成配置。并点击Apply使配置生效。2.5 配置代理服务端口在xxxxx网络中ProxySG将提供HTTP(80端口)、SOCKS(1080端口)、DNS(53端口)的代理服务,其它通讯如:MSN、流媒体等均通过HTTP或SOCKS代理实现。从Web管理界面Management Console/Configuration/Services/Service Ports进入,如下图示:其中,SSH-Console(22)、Telnet-Console(23)、HTTP-Console(8081)是为系统管理提供服务的端口,可以根据网络管理要求选择是否开放;DNS-Proxy
11、(53)、HTTP(80)和SOCKS(1080)必须Enable(Yes),并且包括Explicit属性,HTTP(80)需要包括Transparent属性。并点击Apply使配置生效。2.6 配置本地时钟从Web管理界面Management Console/Configuration/General/Clock进入,如下图示:选择本地时钟定义为8区,并点击Apply使配置生效。2.7 配置Radius认证服务互联网访问用户将采用Radius进行用户认证,用户分组通过Radius的属性进行定义,分组与属性对应关系如下:工作组Login(1)管理组Framed(2)高级组Call Back l
12、ogin(3)普通组Call Back Framed(4)临时组Outbound(5)从Web管理界面Management Console/Configuration/Authentication/RADIUS进入,如下图示:点击New生成RADIUS配置,在弹出窗口中定义Radius服务器地址,如下图示:其中,Real Name定义为RADIUS,Primary server host中定义RADIUS服务器IP地址:191.32.1.22(暂定),Port为1812,Secret为RADIUS中定义的通讯密码;点击OK完成定义。并点击Apply使配置生效。注:Port和Secret的定义必
13、须与RADIUS服务器中定义保持一致。如需定义备份的RADIUS服务器,在上部选项中选择RADIUS Servers,如下图示:在Alternate Server定义中,定义备用的RADIUS服务器IP地址,及通讯密码。从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入,如下图示:其中,Method选定IP,在IP TTL中定义240分钟(4个小时),用户认证一次将保持4小时;并点击Apply使配置生效。2.8 内容过滤列表定义及下载在ProxySG中加载Blue Coat分类列表作为互联网访问
14、控制及Anti-Spyware策略的基础。从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat进入,如下图示:输入用户名/密码,选择Force Full Update,并点击Apply使配置生效,然后点击Download Now开始下载分类列表库。分类列表下载结束后(第一次下载超过80Mbypes数据,所需时间与网络和带宽有关),定义自动下载更新,在上部选项中选择Automatic Download,如下图示:其中:选择每天UTC时间下午4:00(本地时间晚上12:00)自动下载更新,并点击Apply使配置生效。
15、启动动态分类模式,在上部菜单选择Dynamic Categorization,如下图示:选择Enable Dynamic Categorization和Categorize dynamically in the background,并点击Apply使配置生效。选定使Blue Coat分类列表生效,从Web管理界面Management Console/Configuration/Content Filtering/General进入,如下图示:选定Use Blue Coat Web Filter,并点击Apply使配置生效。2.9 定义病毒扫描服务器对所有通过ProxySG的HTTP、FTP通
16、讯进行病毒扫描,病毒扫描服务器采用McAfee,ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。从Web管理界面Management Console/Configuration/External Services/ICAP进入,点击New生成ICAP服务配置,如下图示:Service名为McAfee_1和McAfee_2,选择服务名McAfee_1,并点击Edit,进入服务配置窗口,如下图示:在Service URL中,定义icap:/10.32.0.15,并点击Sense settings从McAfee获取病毒扫描参数配置,点击Register定义进行健康检查,点击OK完
17、成定义,并点击Apply使配置生效。选择服务名McAfee_2,并点击Edit,重复以上过程,并在Service URL中定义icap:/10.32.0.16。从Web管理界面Management Console/Configuration/External Services/Serice-Group进入,将两台McAfee服务器定义为一个Group,点击New生成Service Group配置如下图示:Service Group名定义为McAfee_Group,点击Edit进行服务器组定义,如下图示:通过点击New将McAfee_1和McAfee_2加入McAfee_Group中,点击Edi
18、t可以改变Group成员的权重,选择OK完成配置,并点击Apply使配置生效。2.10 带宽管理定义根据带宽管理策略要求,定义七个带宽类,其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、Normal_Group_Bandwidth、Temp_Group_Bandwidth分别对应工作组、管理组、高级组、普通组、临时组的带宽管理要求,Limit_App_Bandwidth对应高带宽消耗应用的带宽管理策略,Key_App_Bandwidth对应关键应用网站的带宽管理策略。从Web管理界面Man
19、agement Console/Configuration/Bandwidth Mgmt./BWM Classes进入,点击New定义带宽类,如下图示:其中,需选中Enable Bandwidth Management,定义带宽类,并点击Apply使配置生效。2.11 策略设置2.11.1 配置DDOS攻击防御通过Telnet、SSH或Console进入ProxySG的命令行管理界面,进入enable状态,通过命令conf t进入配置状态,通过以下命令启动DDOS防御:attack-detectionclientenable-limits2.11.2 设置缺省策略为DENY从Web管理界面Ma
20、nagement Console/configuration/Policy/Policy Options进入缺省策略设置,如下图示:其中,选择DENY,并点击Apply使配置生效。2.11.3 配置Blue Coat Anti-Spyware策略从Web管理界面Management Console/configuration/Policy/Policy Files进入缺省策略设置,如下图示:在Install Local File From的下拉框中选择Local File,点击Install,如下图示:在弹出的窗口中,点击浏览,并选定Blue Coat发布的Anti-Spyware策略,选择I
21、nstall将策略加载到ProxySG中。2.11.4 访问控制策略配置-VPM访问控制策略通过Blue Coat图视化界面VPM进行配置,从Web管理界面Management Console/configuration/Policy/ Visual Policy Manager进入,并点击Launch,即可启动VPM界面,如下图示:2.11.5 病毒扫描策略配置定义对所有通过ProxySG的流量进行病毒扫描,使用病毒扫描服务器组McAfee_Group。从VPM的Policy菜单选择Add Web Content Layer,生成Web内容控制策略层,名字定义为Web AV,并在第一条规则中
22、,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Set ICAP Response Service,弹出窗口如下图示:在Use ICAP response service的下拉框中选择McAfee_Group,并选定Continure without further ICAP response,点击OK,退到上一层,在窗口中选择ICAPResponseService1,并点击OK,完成规则设置;如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.6 用户认证策略设置从VPM的Policy菜单选择Add Web Authentic
23、ation Layer,生成Web访问用户认证层,名字定义为Web_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Authenticate,弹出窗口如下图示:在弹出的窗口中,Realm栏选定radius(RADIUS),Mode中选定Proxy IP,点击OK,退到上一层,在窗口中选择Authenticate1,并点击OK,完成规则设置;如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。从VPM的Policy菜单选择Add SOCKS Authentication Layer,生成SOCKS访问
24、用户认证层,名字定义为SOCKS_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定SOCKS Authenticate,弹出窗口如下图示:其中,Realm中选定radius(RADIUS),点击OK,退到上一层,在窗口中选择SOCKSAuthenticate1,并点击OK,完成规则设置;如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.7 带宽管理策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Bandwidth_Manag
25、ement,并在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Attribute,弹出窗口如下图示:其中,定义Name为Work_Group,Authentication Realm选定RADIUS(RADIUS),RADIUS Attribute选定Login(1),选择OK,完成属性定义。重复以上过程分别定义Name为Management_Group、High_Level_Group、Normal_Group、Temp1_Group,Temp0_Group,Temp2_Group分别对应RADIUS Attribute为Framed(2)、Call Ba
26、ck login(3)、Call Back Framed(4)、Outbound(5)、NAS Prompt(7)、Administrative(6)。在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:其中,选定P2P和All P2P,并选择OK,完成定义。在第一条规则的Destination栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定URL,弹出窗口如下图示:在Simple Match中指定关键业务的域名,选择Add增加定义,选择Close结束定义。在第一条规则的Action栏用鼠标右键,选择S
27、et,在弹出的窗口中选择New,选定Manage Bandwidth,弹出窗口如下图示:其中,Name定义为Key_App_Bandwidth,Limit Bandwidth on中选定Server Side和Inbound,在Bandwidth Class中选定Key_App_Bandwidth,选择OK完成定义;重复以上过程,定义名Name为Limit_App_Bandwidth_in,属性为Server Side Inbound,Bandwidth Class为Limit_App_Bandwidth;定义名Name为Limit_App_Bandwidth_out,属性为Server Si
28、de Outbound,Bandwidth Class为Limit_App_Bandwidth;定义名Name为Work_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Work_Group_Bandwidth;定义名Name为Management_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Management_Group_Bandwidth;定义名Name为High_Level_Group_Bandwidth,属性为Server Side Inbound,Band
29、width Class为High_Level_Group_Bandwidth;定义名Name为Normal_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Normal_Group_Bandwidth;定义名Name为Temp_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Temp_Group_Bandwidth。在VPM界面点击Add Rule增加七条规则,总共八条规则,第一条规则定义:在Destination栏用鼠标右键,选择Set,在弹出窗口中选择以上定义的关键业
30、务URL,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Key_App_Bandwidth;第二条规则定义:在Service栏用鼠标右键,选择Set,在弹出窗口中选择All P2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_in;第三条规则定义:在Service栏用鼠标右键,选择Set,在弹出窗口中选择All P2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_out;第四条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Work_Group,在Action栏用
31、鼠标右键,选择Set,在弹出窗口中选择Work_Group_Bandwidth;第五条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group_Bandwidth;第六条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group_Bandwidth;第七条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Normal_G
32、roup,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Normal_Group_Bandwidth;第八条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group_Bandwidth。完成定义如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.8 Work_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Work_Group_Policy,通过A
33、dd Rule增加两条规则。在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:其中,选定SOCKS和All SOCKS,并选择OK,完成定义。再选择New,选定Client Protocol,在弹出窗口中选定Streaming和All Streaming。在VPM菜单选择Add Rule增加两条规则,共三条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右
34、键,选择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选择Deny。在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.9 Management_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Ac
35、cess Layer,生成Web访问控制层,名字定义为Management_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Management_Group,在Action栏用鼠标右键,选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.10 High_Level_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为High_Level_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Se
36、t,在弹出的窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.11 Normal_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Normal_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Normal_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选
37、择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Normal_Group,在Action栏用鼠标右键,选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.12 Temp1_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Temp1_Group_Policy。在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:其中,选定FTP和All FTP
38、,并选择OK,完成定义。在VPM菜单选择Add Rule增加四条规则,共五条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右键,选择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选择Deny。在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选
39、择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All FTP,在Action栏用鼠标右键,选择Deny。在第四条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Destination栏用鼠标右键,选择Set,在弹出的窗口中选定New,选择URL,定义Simple Match中域名为,在Action栏用鼠标右键,选择Deny。在第五条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Inst
40、all Policy将策略加载到ProxySG中。2.11.13 Temp0_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Temp0_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp0_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.14 Temp2_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web A
41、ccess Layer,生成Web访问控制层,名字定义为Temp2_Group_Policy。在VPM菜单选择Add Rule增加二条规则,共三条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右键,选择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Destination栏用鼠标右键,选择Set,在弹出的窗口中选定New,选择URL,定义Simple Match中域名为,在Ac
42、tion栏用鼠标右键,选择Deny。在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.15 IE浏览器版本检查策略从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Browser_Version_Check,通过Add Rule增加一条规则,共两条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择New,选择Requ
43、est Header,弹出窗口如下图示:其中,Name定义为RequestHeader_IE6,在Header Name下拉框中选择User-Agent,在Header Regex中输入.*MSIE6.*,点击OK完成定义。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择RequestHeader_IE6,在Destination栏用鼠标右键,选择Set,在弹出的窗口中点击New,选择URL,定义,在Action栏用鼠标右键,选择Allow。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择RequestHeader_IE6,在Action栏用鼠标
44、右键,选择Set,在弹出的窗口中选择New,并选择Deny,弹出窗口如下图示:选定Force Deny,Details提示为:Please upgrade your Browser to IE6.x,点击OK完成定义,并在返回的窗口中选定Deny1,点击OK,完成定义。如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.16 DNS解析策略设置ProxySG将为用户提供DNS解析服务,将对解析请求应答ProxySG的IP地址,配置过程如下:从VPM的Policy菜单选择Add DNS Access Layer,生成DNS访问控制层,在第一条规则的Ac
45、tion栏用鼠标右键,选择Set,在弹出窗口中选择New,选择Send DNS Response,如下图示:其中:Name为SendDNSResponse_CCB,Host为JiangSu_CCB,选定Responds with incoming proxy IP,选择OK,并在菜单中选定SendDNSResponse_CCB,选择OK完成定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.12 Anti-Spyware策略Blue Coat定期发布Anti-Spyware策略,该策略基于Blue Coat URL列表,因此必须在Blue Coat
46、URL分类列表下载结束并生效后,才能安装该策略。在获得Anti-Spyware策略文件后,从Web管理界面Management Console/Configuration/Policy/Policy Files进入,如下图示:在Install Local File From选项中选择Local File,并点击Install,在弹出窗口中Browse到Anti-Spyware策略问题,并将其安装到ProxySG中,策略即生效。如果需要定义特定网站不受Anti-Spyware策略的影响,需启动VPM(Management Console/Configuration/Policy/Visual P
47、olicy Manager);在VPM菜单Configuration中选择Edit Categories,如下图示:将Policy展开,并选定Additional_Spyware_Trusted_Sites,点击Edit URLs,并在弹出窗口中,将指定域名加入,如下图示:可以加多行,点击OK,完成定义,在点击OK回到VPM页面,并点击Install Policy使配置生效。2.13 PAC文件定义PAC文件定义IE浏览器上网代理的脚本,可以加载到ProxySG中,PAC为文本文件,定义如下: function FindProxyForURL(url, host) if (isInNet(host, 191.0.0.0, 255.0