BlueCoat代理服务器配置指南.docx
- 文档编号:16317272
- 上传时间:2023-07-12
- 格式:DOCX
- 页数:42
- 大小:1.71MB
BlueCoat代理服务器配置指南.docx
《BlueCoat代理服务器配置指南.docx》由会员分享,可在线阅读,更多相关《BlueCoat代理服务器配置指南.docx(42页珍藏版)》请在冰点文库上搜索。
BlueCoat代理服务器配置指南
BlueCoat代理服务器配置指南
2011年1月
安装设备及安装环境
实施设备清单
Bluecoat安全代理专用设备SG600-10一台,AV510-A一台,BCWF内容过滤,MCAFEE防病毒,企业版报表模块。
实施拓朴结构图
Bluecoat设备SG600-10-3配置于内网,AV510-A与SG600-10之间通过ICAP协议建立通信。
连接方法有以下几种,网络示意结构如下图:
旁路模式:
实施步骤
物理连接
两台BluecoatSG800-2的Adapter0_Interface0和Adapter1_Interface0通过以太网双绞线连接于两台RadwareCID交换机。
初始IP地址配置
通过设备前操纵面板能够设置ProxySG800-2的Adapter0_Interface0的地址为:
第一台SG800-2:
191.32.1.9(IP)
255.255.255.224(Mask)
191.32.1.1(DefaultGateway)
第二台SG800-2:
191.32.1.11(IP)
255.255.255.224(Mask)
191.32.1.1(DefaultGateway)
远程治理软件配置
Bluecoat安全代理专用设备通过IE扫瞄器和SSH命令进行治理,扫瞄器治理端口为8082,治理用的PC机需安装了Java运行环境。
治理界面的URL为:
https:
//191.32.1.9:
8082和https:
//191.32.1.11:
8082
网络配置
在xxxxx网络环境中,
(1)ProxySG800-2两个端口均需配置IP地址;
(2)除缺省路由指向防火墙,还需一条静态路由,作为内网通讯的路由,(3)配置外网DNS,以便ProxySG到互联网的访咨询,(4)每台另外需要一个虚拟IP地址,作为内部职员的DNS解析服务器IP地址;(5)对虚拟IP地址配置FailOver,当一台ProxySG停止工作,其虚拟IP将切换到另外一台。
Adapter1地址配置
从Web治理界面ManagementConsole/Configuration/Network/Adapter进入,在Adapters下拉框中选择Adapter1,并在IPaddressforInterface0和SubnetmaskforInterface0中配置IP地址和子网掩码,如下图示:
第一台ProxySG800-2的IP地址为:
191.32.1.10,掩码:
255.255.255.224
第二台ProxySG800-2的IP地址为:
191.32.1.12,掩码:
255.255.255.224
点击Apply使配置生效。
静态路由配置
从Web治理界面ManagementConsole/Configuration/Network/Routing进入,在窗口上部选项中选择Routing,并在InstallRoutingtablefrom下拉框中选择TextEditor,如下图示:
点击Install,并在弹出窗口中输入静态路由:
191.0.0.0255.0.0.0191.32.1.5
如下图示:
点击Install使配置生效。
配置外网DNS服务器
从Web治理界面ManagementConsole/Configuration/Network/DNS进入,如下图示:
点击New增加外网DNS服务器IP地址,并点击Apply使配置生效。
配置虚拟IP地址
从Web治理界面ManagementConsole/Configuration/Network/Advanced进入,在窗口上部选项中选择VIPs,如下图示:
点击New配置虚拟IP地址,并点击Apply使配置生效。
第一台ProxySG800-2的虚拟IP地址为:
191.32.1.13
第二台ProxySG800-2的虚拟IP地址为:
191.32.1.14
配置FailOver
从Web治理界面ManagementConsole/Configuration/Network/Advanced进入,在窗口上部选项中选择Failover,如下图示:
点击New配置Failover组,如下图示:
在弹出窗口中,选择ExistingIP,并在下拉框中选择已定义的虚拟IP地址:
191.32.1.13(第一台ProxySG800),191.32.1.14(第二台ProxySG800),在GroupSetting中,选择Enable,并在RelativePriority中选中Master,点击OK完成配置。
并点击Apply使配置生效。
点击New配置另一个Failover组,如下图示:
在弹出窗口中,选择NewIP,指定虚拟IP地址:
191.32.1.14(第一台ProxySG800),191.32.1.13(第二台ProxySG800),在GroupSetting中,选择Enable,点击OK完成配置。
并点击Apply使配置生效。
配置代理服务端口
在xxxxx网络中ProxySG将提供HTTP(80端口)、SOCKS(1080端口)、DNS(53端口)的代理服务,其它通讯如:
MSN、流媒体等均通过HTTP或SOCKS代理实现。
从Web治理界面ManagementConsole/Configuration/Services/ServicePorts进入,如下图示:
配置本地时钟
从Web治理界面ManagementConsole/Configuration/General/Clock进入,如下图示:
选择本地时钟定义为+8区,并点击Apply使配置生效。
配置Radius认证服务
互联网访咨询用户将采纳Radius进行用户认证,用户分组通过Radius的属性进行定义,分组与属性对应关系如下:
工作组Login
(1)
治理组Framed
(2)
高级组CallBacklogin(3)
一般组CallBackFramed(4)
临时组Outbound(5)
从Web治理界面ManagementConsole/Configuration/Authentication/RADIUS进入,如下图示:
点击New生成RADIUS配置,在弹出窗口中定义Radius服务器地址,如下图示:
其中,RealName定义为RADIUS,Primaryserverhost中定义RADIUS服务器IP地址:
191.32.1.22(暂定),Port为1812,Secret为RADIUS中定义的通讯密码;点击OK完成定义。
并点击Apply使配置生效。
注:
Port和Secret的定义必须与RADIUS服务器中定义保持一致。
如需定义备份的RADIUS服务器,在上部选项中选择RADIUSServers,如下图示:
在AlternateServer定义中,定义备用的RADIUS服务器IP地址,及通讯密码。
从Web治理界面ManagementConsole/Configuration/Authentication/TransparentProxy进入,如下图示:
其中,Method选定IP,在IPTTL中定义240分钟(4个小时),用户认证一次将保持4小时;并点击Apply使配置生效。
内容过滤列表定义及下载
在ProxySG中加载BlueCoat分类列表作为互联网访咨询操纵及Anti-Spyware策略的基础。
从Web治理界面ManagementConsole/Configuration/ContentFiltering/Bluecoat进入,如下图示:
输入用户名/密码,选择ForceFullUpdate,并点击Apply使配置生效,然后点击DownloadNow开始下载分类列表库。
分类列表下载终止后(第一次下载超过80Mbypes数据,所需时刻与网络和带宽有关),定义自动下载更新,在上部选项中选择AutomaticDownload,如下图示:
其中:
选择每天UTC时刻下午4:
00(本地时刻晚上12:
00)自动下载更新,并点击Apply使配置生效。
启动动态分类模式,在上部菜单选择DynamicCategorization,如下图示:
选择EnableDynamicCategorization和Categorizedynamicallyinthebackground,并点击Apply使配置生效。
选定使BlueCoat分类列表生效,从Web治理界面ManagementConsole/Configuration/ContentFiltering/General进入,如下图示:
选定UseBlueCoatWebFilter,并点击Apply使配置生效。
定义病毒扫描服务器
对所有通过ProxySG的HTTP、FTP通讯进行病毒扫描,病毒扫描服务器采纳McAfee,ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。
从Web治理界面ManagementConsole/Configuration/ExternalServices/ICAP进入,点击New生成ICAP服务配置,如下图示:
Service名为McAfee_1和McAfee_2,选择服务名McAfee_1,并点击Edit,进入服务配置窗口,如下图示:
在ServiceURL中,定义icap:
//10.32.0.15,并点击Sensesettings从McAfee猎取病毒扫描参数配置,点击Register定义进行健康检查,点击OK完成定义,并点击Apply使配置生效。
选择服务名McAfee_2,并点击Edit,重复以上过程,并在ServiceURL中定义icap:
//10.32.0.16。
从Web治理界面ManagementConsole/Configuration/ExternalServices/Serice-Group进入,将两台McAfee服务器定义为一个Group,点击New生成ServiceGroup配置如下图示:
ServiceGroup名定义为McAfee_Group,点击Edit进行服务器组定义,如下图示:
通过点击New将McAfee_1和McAfee_2加入McAfee_Group中,点击Edit能够改变Group成员的权重,选择OK完成配置,并点击Apply使配置生效。
带宽治理定义
按照带宽治理策略要求,定义七个带宽类,其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、Normal_Group_Bandwidth、Temp_Group_Bandwidth分不对应工作组、治理组、高级组、一般组、临时组的带宽治理要求,Limit_App_Bandwidth对应高带宽消耗应用的带宽治理策略,Key_App_Bandwidth对应关键应用网站的带宽治理策略。
从Web治理界面ManagementConsole/Configuration/BandwidthMgmt./BWMClasses进入,点击New定义带宽类,如下图示:
其中,需选中EnableBandwidthManagement,定义带宽类,并点击Apply使配置生效。
策略设置
配置DDOS攻击防备
attack-detection
client
enable-limits
设置缺省策略为DENY
从Web治理界面ManagementConsole/configuration/Policy/PolicyOptions进入缺省策略设置,如下图示:
其中,选择DENY,并点击Apply使配置生效。
配置BlueCoatAnti-Spyware策略
从Web治理界面ManagementConsole/configuration/Policy/PolicyFiles进入缺省策略设置,如下图示:
在InstallLocalFileFrom的下拉框中选择LocalFile,点击Install,如下图示:
在弹出的窗口中,点击扫瞄,并选定BlueCoat公布的Anti-Spyware策略,选择Install将策略加载到ProxySG中。
访咨询操纵策略配置-VPM
访咨询操纵策略通过BlueCoat图视化界面VPM进行配置,从Web治理界面ManagementConsole/configuration/Policy/VisualPolicyManager进入,并点击Launch,即可启动VPM界面,如下图示:
病毒扫描策略配置
定义对所有通过ProxySG的流量进行病毒扫描,使用病毒扫描服务器组McAfee_Group。
从VPM的Policy菜单选择AddWebContentLayer,生成Web内容操纵策略层,名字定义为WebAV,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定SetICAPResponseService,弹出窗口如下图示:
在UseICAPresponseservice的下拉框中选择McAfee_Group,并选定ContinurewithoutfurtherICAPresponse,点击OK,退到上一层,在窗口中选择ICAPResponseService1,并点击OK,完成规则设置;如下图示:
在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。
用户认证策略设置
从VPM的Policy菜单选择AddWebAuthenticationLayer,生成Web访咨询用户认证层,名字定义为Web_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Authenticate,弹出窗口如下图示:
在弹出的窗口中,Realm栏选定radius(RADIUS),Mode中选定ProxyIP,点击OK,退到上一层,在窗口中选择Authenticate1,并点击OK,完成规则设置;如下图示:
在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。
从VPM的Policy菜单选择AddSOCKSAuthenticationLayer,生成SOCKS访咨询用户认证层,名字定义为SOCKS_Radius_Auth,并在第一条规则中,Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定SOCKSAuthenticate,弹出窗口如下图示:
其中,Realm中选定radius(RADIUS),点击OK,退到上一层,在窗口中选择SOCKSAuthenticate1,并点击OK,完成规则设置;如下图示:
在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。
带宽治理策略定义
从VPM的Policy菜单选择AddWebAccessLayer,生成Web访咨询操纵层,名字定义为Bandwidth_Management,并在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定Attribute,弹出窗口如下图示:
其中,定义Name为Work_Group,AuthenticationRealm选定RADIUS(RADIUS),RADIUSAttribute选定Login
(1),选择OK,完成属性定义。
重复以上过程分不定义Name为Management_Group、High_Level_Group、Normal_Group、Temp1_Group,Temp0_Group,Temp2_Group分不对应RADIUSAttribute为Framed
(2)、CallBacklogin(3)、CallBackFramed(4)、Outbound(5)、NASPrompt(7)、Administrative(6)。
在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定ClientProtocol,弹出窗口如下图示:
其中,选定P2P和AllP2P,并选择OK,完成定义。
在第一条规则的Destination栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定URL,弹出窗口如下图示:
在SimpleMatch中指定关键业务的域名,选择Add增加定义,选择Close终止定义。
在第一条规则的Action栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定ManageBandwidth,弹出窗口如下图示:
其中,Name定义为Key_App_Bandwidth,LimitBandwidthon中选定ServerSide和Inbound,在BandwidthClass中选定Key_App_Bandwidth,选择OK完成定义;
重复以上过程,定义名Name为Limit_App_Bandwidth_in,属性为ServerSideInbound,BandwidthClass为Limit_App_Bandwidth;
定义名Name为Limit_App_Bandwidth_out,属性为ServerSideOutbound,BandwidthClass为Limit_App_Bandwidth;
定义名Name为Work_Group_Bandwidth,属性为ServerSideInbound,BandwidthClass为Work_Group_Bandwidth;
定义名Name为Management_Group_Bandwidth,属性为ServerSideInbound,BandwidthClass为Management_Group_Bandwidth;
定义名Name为High_Level_Group_Bandwidth,属性为ServerSideInbound,BandwidthClass为High_Level_Group_Bandwidth;
定义名Name为Normal_Group_Bandwidth,属性为ServerSideInbound,BandwidthClass为Normal_Group_Bandwidth;
定义名Name为Temp_Group_Bandwidth,属性为ServerSideInbound,BandwidthClass为Temp_Group_Bandwidth。
在VPM界面点击AddRule增加七条规则,总共八条规则,
第一条规则定义:
在Destination栏用鼠标右键,选择Set,在弹出窗口中选择以上定义的关键业务URL,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Key_App_Bandwidth;
第二条规则定义:
在Service栏用鼠标右键,选择Set,在弹出窗口中选择AllP2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_in;
第三条规则定义:
在Service栏用鼠标右键,选择Set,在弹出窗口中选择AllP2P,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Limit_App_Bandwidth_out;
第四条规则定义:
在Source栏用鼠标右键,选择Set,在弹出窗口中选择Work_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Work_Group_Bandwidth;
第五条规则定义:
在Source栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Management_Group_Bandwidth;
第六条规则定义:
在Source栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择High_Level_Group_Bandwidth;
第七条规则定义:
在Source栏用鼠标右键,选择Set,在弹出窗口中选择Normal_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Normal_Group_Bandwidth;
第八条规则定义:
在Source栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group,在Action栏用鼠标右键,选择Set,在弹出窗口中选择Temp_Group_Bandwidth。
完成定义如下图示:
在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。
Work_Group用户组访咨询操纵策略定义
从VPM的Policy菜单选择AddWebAccessLayer,生成Web访咨询操纵层,名字定义为Work_Group_Policy,通过AddRule增加两条规则。
在第一条规则的Services栏用鼠标右键,选择Set,在弹出的窗口中选择New,选定ClientProtocol,弹出窗口如下图示:
其中,选定SOCKS和AllSOCKS,并选择OK,完成定义。
再选择New,选定ClientProtocol,在弹出窗口中选定Streaming和AllStreaming。
在VPM菜单选择AddRule增加两条规则,共三条规则。
在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定AllSOCKS,在Action栏用鼠标右键,选择Deny。
在第二条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Services栏用鼠标右键,选择Set,在弹出的窗口中选定AllStreaming,在Action栏用鼠标右键,选择Deny。
在第三条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Work_Group,在Action栏用鼠标右键,选择Allow。
完成规则定义,如下图示:
在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。
Management_Group用户组访咨询操纵策略定义
从VPM的Policy菜单选择AddWebAccessLayer,生成Web访咨询操纵层,名字定义为Management_Group_Policy。
在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择Management_Group,在Action栏用鼠标右键,选择Allow。
在VPM菜单中点击InstallPolicy将策略加载到ProxySG中。
High_Level_Group用户组访咨询操纵策略定义
从VPM的Policy菜单选择AddWebAccessLayer,生成Web访咨询操纵层,名字定义为High_Level_Group_Policy。
在第一条规则中,Source栏用鼠标右键,选择Set,在弹出的窗口中选择High_Level_Group,在Action栏用鼠标右键,选择Allow。
在VPM菜单中点击Ins
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- BlueCoat 代理服务器 配置 指南
![提示](https://static.bingdoc.com/images/bang_tan.gif)