《BlueCoat互联网代理安全网关功能需求文档.doc》由会员分享,可在线阅读,更多相关《BlueCoat互联网代理安全网关功能需求文档.doc(47页珍藏版)》请在三一办公上搜索。
1、互联网代理安全网关功能需求文档2011年1月目 录一、 安装设备及安装环境41.1 实施设备清单41.2 实施拓朴结构图4二、 实施步骤52.1 物理连接52.2 初始IP地址配置52.3 远程管理软件配置52.4 网络配置62.4.1 Adapter 1地址配置62.4.2 静态路由配置72.4.3 配置外网DNS服务器92.4.4 配置虚拟IP地址92.4.5 配置Fail Over102.5 配置代理服务端口122.6 配置本地时钟132.7 配置Radius认证服务132.8 内容过滤列表定义及下载162.9 定义病毒扫描服务器182.10 带宽管理定义222.11 策略设置232.1
2、1.1 配置DDOS攻击防御232.11.2 设置缺省策略为DENY232.11.3 配置Blue Coat Anti-Spyware策略242.11.4 访问控制策略配置-VPM252.11.5 病毒扫描策略配置252.11.6 用户认证策略设置272.11.7 带宽管理策略定义292.11.8 Work_Group用户组访问控制策略定义342.11.9 Management_Group用户组访问控制策略定义362.11.10 High_Level_Group用户组访问控制策略定义362.11.11 Normal_Group用户组访问控制策略定义372.11.12 Temp_Group用户组
3、访问控制策略定义372.11.13 IE浏览器版本检查策略392.11.14 DNS解析策略设置41一、 安装设备及安装环境1.1 实施设备清单Bluecoat安全代理专用设备SG60010一台,AV510-A一台,BCWF内容过滤,MCAFEE防病毒,企业版报表模块。1.2 实施拓朴结构图Bluecoat设备SG600-103配置于内网,AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种,网络示意结构如下图:旁路模式:二、 实施步骤2.1 物理连接两台Bluecoat SG8002的Adapter0_Interface 0和Adapter1_Interface0
4、通过以太网双绞线连接于两台Radware CID交换机。2.2 初始IP地址配置通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为:第一台SG8002:191.32.1.9(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)第二台SG8002:191.32.1.11(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)2.3 远程管理软件配置Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理,浏览器管理端口为8082,管理
5、用的PC机需安装了Java运行环境。管理界面的URL为:https:/191.32.1.9:8082和https:/191.32.1.11:80822.4 网络配置在xxxxx网络环境中,(1)ProxySG800-2两个端口均需配置IP地址;(2)除缺省路由指向防火墙,还需一条静态路由,作为内网通讯的路由,(3)配置外网DNS,以便ProxySG到互联网的访问,(4) 每台另外需要一个虚拟IP地址,作为内部员工的DNS解析服务器IP地址;(5)对虚拟IP地址配置Fail Over,当一台ProxySG停止工作,其虚拟IP将切换到另外一台。2.4.1 Adapter 1地址配置从Web管理界面
6、Management Console/Configuration/Network/Adapter进入,在Adapters下拉框中选择Adapter1,并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码,如下图示:第一台ProxySG800-2的IP地址为:191.32.1.10,掩码:255.255.255.224第二台ProxySG800-2的IP地址为:191.32.1.12,掩码:255.255.255.224点击Apply使配置生效。2.4.2 静态路由配置从Web管理界面Management Co
7、nsole/Configuration/Network/Routing进入,在窗口上部选项中选择Routing,并在Install Routing table from下拉框中选择Text Editor,如下图示:点击Install,并在弹出窗口中输入静态路由:191.0.0.0 255.0.0.0 191.32.1.5 如下图示:点击Install使配置生效。2.4.3 配置外网DNS服务器从Web管理界面Management Console/Configuration/Network/DNS进入,如下图示:点击New增加外网DNS服务器IP地址,并点击Apply使配置生效。2.4.4 配置
8、虚拟IP地址从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择VIPs,如下图示:点击New配置虚拟IP地址,并点击Apply使配置生效。第一台ProxySG800-2的虚拟IP地址为:191.32.1.13第二台ProxySG800-2的虚拟IP地址为:191.32.1.142.4.5 配置Fail Over从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择Failover,如下图示:点击New配置Failover
9、组,如下图示:在弹出窗口中,选择Existing IP,并在下拉框中选择已定义的虚拟IP地址:191.32.1.13(第一台ProxySG800),191.32.1.14(第二台ProxySG800),在Group Setting中,选择Enable,并在Relative Priority中选中Master,点击OK完成配置。并点击Apply使配置生效。点击New配置另一个Failover组,如下图示:在弹出窗口中,选择New IP,指定虚拟IP地址:191.32.1.14(第一台ProxySG800),191.32.1.13(第二台ProxySG800),在Group Setting中,选择
10、Enable,点击OK完成配置。并点击Apply使配置生效。2.5 配置代理服务端口在xxxxx网络中ProxySG将提供HTTP(80端口)、SOCKS(1080端口)、DNS(53端口)的代理服务,其它通讯如:MSN、流媒体等均通过HTTP或SOCKS代理实现。从Web管理界面Management Console/Configuration/Services/Service Ports进入,如下图示:其中,SSH-Console(22)、Telnet-Console(23)、HTTP-Console(8081)是为系统管理提供服务的端口,可以根据网络管理要求选择是否开放;DNS-Proxy
11、(53)、HTTP(80)和SOCKS(1080)必须Enable(Yes),并且包括Explicit属性,HTTP(80)需要包括Transparent属性。并点击Apply使配置生效。2.6 配置本地时钟从Web管理界面Management Console/Configuration/General/Clock进入,如下图示:选择本地时钟定义为8区,并点击Apply使配置生效。2.7 配置Radius认证服务互联网访问用户将采用Radius进行用户认证,用户分组通过Radius的属性进行定义,分组与属性对应关系如下:工作组Login(1)管理组Framed(2)高级组Call Back l
12、ogin(3)普通组Call Back Framed(4)临时组Outbound(5)从Web管理界面Management Console/Configuration/Authentication/RADIUS进入,如下图示:点击New生成RADIUS配置,在弹出窗口中定义Radius服务器地址,如下图示:其中,Real Name定义为RADIUS,Primary server host中定义RADIUS服务器IP地址:191.32.1.22(暂定),Port为1812,Secret为RADIUS中定义的通讯密码;点击OK完成定义。并点击Apply使配置生效。注:Port和Secret的定义必
13、须与RADIUS服务器中定义保持一致。如需定义备份的RADIUS服务器,在上部选项中选择RADIUS Servers,如下图示:在Alternate Server定义中,定义备用的RADIUS服务器IP地址,及通讯密码。从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入,如下图示:其中,Method选定IP,在IP TTL中定义240分钟(4个小时),用户认证一次将保持4小时;并点击Apply使配置生效。2.8 内容过滤列表定义及下载在ProxySG中加载Blue Coat分类列表作为互联网访问
14、控制及Anti-Spyware策略的基础。从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat进入,如下图示:输入用户名/密码,选择Force Full Update,并点击Apply使配置生效,然后点击Download Now开始下载分类列表库。分类列表下载结束后(第一次下载超过80Mbypes数据,所需时间与网络和带宽有关),定义自动下载更新,在上部选项中选择Automatic Download,如下图示:其中:选择每天UTC时间下午4:00(本地时间晚上12:00)自动下载更新,并点击Apply使配置生效。
15、启动动态分类模式,在上部菜单选择Dynamic Categorization,如下图示:选择Enable Dynamic Categorization和Categorize dynamically in the background,并点击Apply使配置生效。选定使Blue Coat分类列表生效,从Web管理界面Management Console/Configuration/Content Filtering/General进入,如下图示:选定Use Blue Coat Web Filter,并点击Apply使配置生效。2.9 定义病毒扫描服务器对所有通过ProxySG的HTTP、FTP通
16、讯进行病毒扫描,病毒扫描服务器采用McAfee,ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。从Web管理界面Management Console/Configuration/External Services/ICAP进入,点击New生成ICAP服务配置,如下图示:Service名为McAfee_1和McAfee_2,选择服务名McAfee_1,并点击Edit,进入服务配置窗口,如下图示:在Service URL中,定义icap:/10.32.0.15,并点击Sense settings从McAfee获取病毒扫描参数配置,点击Register定义进行健康检查,点击OK完
17、成定义,并点击Apply使配置生效。选择服务名McAfee_2,并点击Edit,重复以上过程,并在Service URL中定义icap:/10.32.0.16。从Web管理界面Management Console/Configuration/External Services/Serice-Group进入,将两台McAfee服务器定义为一个Group,点击New生成Service Group配置如下图示:Service Group名定义为McAfee_Group,点击Edit进行服务器组定义,如下图示:通过点击New将McAfee_1和McAfee_2加入McAfee_Group中,点击Edi
18、t可以改变Group成员的权重,选择OK完成配置,并点击Apply使配置生效。2.10 带宽管理定义根据带宽管理策略要求,定义七个带宽类,其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、Normal_Group_Bandwidth、Temp_Group_Bandwidth分别对应工作组、管理组、高级组、普通组、临时组的带宽管理要求,Limit_App_Bandwidth对应高带宽消耗应用的带宽管理策略,Key_App_Bandwidth对应关键应用网站的带宽管理策略。从Web管理界面Man
19、agement Console/Configuration/Bandwidth Mgmt./BWM Classes进入,点击New定义带宽类,如下图示:其中,需选中Enable Bandwidth Management,定义带宽类,并点击Apply使配置生效。2.11 策略设置2.11.1 配置DDOS攻击防御通过Telnet、SSH或Console进入ProxySG的命令行管理界面,进入enable状态,通过命令conf t进入配置状态,通过以下命令启动DDOS防御:attack-detectionclientenable-limits2.11.2 设置缺省策略为DENY从Web管理界面Ma
20、nagement Console/configuration/Policy/Policy Options进入缺省策略设置,如下图示:其中,选择DENY,并点击Apply使配置生效。2.11.3 配置Blue Coat Anti-Spyware策略从Web管理界面Management Console/configuration/Policy/Policy Files进入缺省策略设置,如下图示:在Install Local File From的下拉框中选择Local File,点击Install,如下图示:在弹出的窗口中,点击浏览,并选定Blue Coat发布的Anti-Spyware策略,选择I
21、nstall将策略加载到ProxySG中。2.11.4 访问控制策略配置-VPM访问控制策略通过Blue Coat图视化界面VPM进行配置,从Web管理界面Management Console/configuration/Policy/ Visual Policy Manager进入,并点击Launch,即可启动VPM界面,如下图示:2.11.5 病毒扫描策略配置定义对所有通过ProxySG的流量进行病毒扫描,使用病毒扫描服务器组McAfee_Group。从VPM的Policy菜单选择Add Web Content Layer,生成Web内容控制策略层,名字定义为Web AV,并在第一条规则中
22、,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Set ICAP Response Service,弹出窗口如下图示:在Use ICAP response service的下拉框中选择McAfee_Group,并选定Continure without further ICAP response,点击OK,退到上一层,在窗口中选择ICAPResponseService1,并点击OK,完成规则设置;如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.6 用户认证策略设置从VPM的Policy菜单选择Add Web Authentic
23、ation Layer,生成Web访问用户认证层,名字定义为Web_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Authenticate,弹出窗口如下图示:在弹出的窗口中,Realm栏选定radius(RADIUS),Mode中选定Proxy IP,点击OK,退到上一层,在窗口中选择Authenticate1,并点击OK,完成规则设置;如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。从VPM的Policy菜单选择Add SOCKS Authentication Layer,生成SOCKS访问
24、用户认证层,名字定义为SOCKS_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定SOCKS Authenticate,弹出窗口如下图示:其中,Realm中选定radius(RADIUS),点击OK,退到上一层,在窗口中选择SOCKSAuthenticate1,并点击OK,完成规则设置;如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.7 带宽管理策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Bandwidth_Manag
25、ement,并在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Attribute,弹出窗口如下图示:其中,定义Name为Work_Group,Authentication Realm选定RADIUS(RADIUS),RADIUS Attribute选定Login(1),选择OK,完成属性定义。重复以上过程分别定义Name为Management_Group、High_Level_Group、Normal_Group、Temp1_Group,Temp0_Group,Temp2_Group分别对应RADIUS Attribute为Framed(2)、Call Ba
26、ck login(3)、Call Back Framed(4)、Outbound(5)、NAS Prompt(7)、Administrative(6)。在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:其中,选定P2P和All P2P,并选择OK,完成定义。在第一条规则的Destination栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定URL,弹出窗口如下图示:在Simple Match中指定关键业务的域名,选择Add增加定义,选择Close结束定义。在第一条规则的Action栏用鼠标右键,选择S
27、et,在弹出的窗口中选择New,选定Manage Bandwidth,弹出窗口如下图示:其中,Name定义为Key_App_Bandwidth,Limit Bandwidth on中选定Server Side和Inbound,在Bandwidth Class中选定Key_App_Bandwidth,选择OK完成定义;重复以上过程,定义名Name为Limit_App_Bandwidth_in,属性为Server Side Inbound,Bandwidth Class为Limit_App_Bandwidth;定义名Name为Limit_App_Bandwidth_out,属性为Server Si
28、de Outbound,Bandwidth Class为Limit_App_Bandwidth;定义名Name为Work_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Work_Group_Bandwidth;定义名Name为Management_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Management_Group_Bandwidth;定义名Name为High_Level_Group_Bandwidth,属性为Server Side Inbound,Band
29、width Class为High_Level_Group_Bandwidth;定义名Name为Normal_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Normal_Group_Bandwidth;定义名Name为Temp_Group_Bandwidth,属性为Server Side Inbound,Bandwidth Class为Temp_Group_Bandwidth。在VPM界面点击Add Rule增加七条规则,总共八条规则,第一条规则定义:在Destination栏用鼠标右键,选择Set,在弹出窗口中选择以上定义的关键业
30、务URL,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Key_App_Bandwidth;第二条规则定义:在Service栏用鼠标右键,选择Set,在弹出窗口中选择All P2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_in;第三条规则定义:在Service栏用鼠标右键,选择Set,在弹出窗口中选择All P2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_out;第四条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Work_Group,在Action栏用
31、鼠标右键,选择Set,在弹出窗口中选择Work_Group_Bandwidth;第五条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group_Bandwidth;第六条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group_Bandwidth;第七条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Normal_G
32、roup,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Normal_Group_Bandwidth;第八条规则定义:在Source栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group_Bandwidth。完成定义如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.8 Work_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Work_Group_Policy,通过A
33、dd Rule增加两条规则。在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:其中,选定SOCKS和All SOCKS,并选择OK,完成定义。再选择New,选定Client Protocol,在弹出窗口中选定Streaming和All Streaming。在VPM菜单选择Add Rule增加两条规则,共三条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右
34、键,选择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选择Deny。在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.9 Management_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Ac
35、cess Layer,生成Web访问控制层,名字定义为Management_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Management_Group,在Action栏用鼠标右键,选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.10 High_Level_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为High_Level_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Se
36、t,在弹出的窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.11 Normal_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Normal_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Normal_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选
37、择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Normal_Group,在Action栏用鼠标右键,选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.12 Temp1_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Temp1_Group_Policy。在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Client Protocol,弹出窗口如下图示:其中,选定FTP和All FTP
38、,并选择OK,完成定义。在VPM菜单选择Add Rule增加四条规则,共五条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右键,选择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All Streaming,在Action栏用鼠标右键,选择Deny。在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选
39、择Temp1_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All FTP,在Action栏用鼠标右键,选择Deny。在第四条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Destination栏用鼠标右键,选择Set,在弹出的窗口中选定New,选择URL,定义Simple Match中域名为,在Action栏用鼠标右键,选择Deny。在第五条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp1_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Inst
40、all Policy将策略加载到ProxySG中。2.11.13 Temp0_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Temp0_Group_Policy。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp0_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.14 Temp2_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web A
41、ccess Layer,生成Web访问控制层,名字定义为Temp2_Group_Policy。在VPM菜单选择Add Rule增加二条规则,共三条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定All SOCKS,在Action栏用鼠标右键,选择Deny。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Destination栏用鼠标右键,选择Set,在弹出的窗口中选定New,选择URL,定义Simple Match中域名为,在Ac
42、tion栏用鼠标右键,选择Deny。在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Temp2_Group,在Action栏用鼠标右键,选择Allow。完成规则定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.15 IE浏览器版本检查策略从VPM的Policy菜单选择Add Web Access Layer,生成Web访问控制层,名字定义为Browser_Version_Check,通过Add Rule增加一条规则,共两条规则。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择New,选择Requ
43、est Header,弹出窗口如下图示:其中,Name定义为RequestHeader_IE6,在Header Name下拉框中选择User-Agent,在Header Regex中输入.*MSIE6.*,点击OK完成定义。在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择RequestHeader_IE6,在Destination栏用鼠标右键,选择Set,在弹出的窗口中点击New,选择URL,定义,在Action栏用鼠标右键,选择Allow。在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择RequestHeader_IE6,在Action栏用鼠标
44、右键,选择Set,在弹出的窗口中选择New,并选择Deny,弹出窗口如下图示:选定Force Deny,Details提示为:Please upgrade your Browser to IE6.x,点击OK完成定义,并在返回的窗口中选定Deny1,点击OK,完成定义。如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.11.16 DNS解析策略设置ProxySG将为用户提供DNS解析服务,将对解析请求应答ProxySG的IP地址,配置过程如下:从VPM的Policy菜单选择Add DNS Access Layer,生成DNS访问控制层,在第一条规则的Ac
45、tion栏用鼠标右键,选择Set,在弹出窗口中选择New,选择Send DNS Response,如下图示:其中:Name为SendDNSResponse_CCB,Host为JiangSu_CCB,选定Responds with incoming proxy IP,选择OK,并在菜单中选定SendDNSResponse_CCB,选择OK完成定义,如下图示:在VPM菜单中点击Install Policy将策略加载到ProxySG中。2.12 Anti-Spyware策略Blue Coat定期发布Anti-Spyware策略,该策略基于Blue Coat URL列表,因此必须在Blue Coat
46、URL分类列表下载结束并生效后,才能安装该策略。在获得Anti-Spyware策略文件后,从Web管理界面Management Console/Configuration/Policy/Policy Files进入,如下图示:在Install Local File From选项中选择Local File,并点击Install,在弹出窗口中Browse到Anti-Spyware策略问题,并将其安装到ProxySG中,策略即生效。如果需要定义特定网站不受Anti-Spyware策略的影响,需启动VPM(Management Console/Configuration/Policy/Visual P
47、olicy Manager);在VPM菜单Configuration中选择Edit Categories,如下图示:将Policy展开,并选定Additional_Spyware_Trusted_Sites,点击Edit URLs,并在弹出窗口中,将指定域名加入,如下图示:可以加多行,点击OK,完成定义,在点击OK回到VPM页面,并点击Install Policy使配置生效。2.13 PAC文件定义PAC文件定义IE浏览器上网代理的脚本,可以加载到ProxySG中,PAC为文本文件,定义如下: function FindProxyForURL(url, host) if (isInNet(host, 191.0.0.0, 255.0
