BlueCoat代理服务器配置说明_template.doc

互联网代理安全网关功能需求文档互联网代理安全网关功能需求文档 2011 年 1 月 目目 录录 一 一 安装设备及安装环境安装设备及安装环境 4 1 1 实施设备清单 4 1 2 实施拓朴结构图 4 二 二 实施步骤实施步骤 5 2 1 物理连接 5 2 2 初始 IP 地址配置 5 2 3 远程管理软件配置 5 2 4 网络配置 6 2 4 1 Adapter 1地址配置 6 2 4 2 静态路由配置 7 2 4 3 配置外网DNS服务器 9 2 4 4 配置虚拟IP地址 9 2 4 5 配置Fail Over 10 2 5 配置代理服务端口 12 2 6 配置本地时钟 13 2 7 配置 RADIUS认证服务 13 2 8 内容过滤列表定义及下载 16 2 9 定义病毒扫描服务器 18 2 10 带宽管理定义 22 2 11 策略设置 23 2 11 1 配置DDOS攻击防御 23 2 11 2 设置缺省策略为DENY 23 2 11 3 配置Blue Coat Anti Spyware策略 24 2 11 4 访问控制策略配置 VPM 25 2 11 5 病毒扫描策略配置 25 2 11 6 用户认证策略设置 27 2 11 7 带宽管理策略定义 29 2 11 8 Work Group用户组访问控制策略定义 34 2 11 9 Management Group用户组访问控制策略定义 36 2 11 10 High Level Group用户组访问控制策略定义 36 2 11 11 Normal Group用户组访问控制策略定义 37 2 11 12 Temp Group用户组访问控制策略定义 37 2 11 13 IE浏览器版本检查策略 39 2 11 14 DNS解析策略设置 41 一 一 安装设备及安装环境安装设备及安装环境 1 1 实施实施设备清单设备清单 Bluecoat 安全代理专用设备 SG600 10 一台 AV510 A 一台 BCWF 内容过 滤 MCAFEE 防病毒 企业版报表模块 1 2 实施实施拓朴结构图拓朴结构图 Bluecoat 设备 SG600 10 3 配置于内网 AV510 A 与 SG600 10 之间通过 ICAP 协议建立通信 连接方法有以下几种 网络示意结构如下图 旁路模式 二 二 实施步骤实施步骤 2 1 物理连接物理连接 两台 Bluecoat SG800 2 的 Adapter0 Interface 0 和 Adapter1 Interface0 通过以 太网双绞线连接于两台 Radware CID 交换机 2 2 初始初始 IP 地址配置地址配置 通过设备前控制面板可以设置 ProxySG800 2 的 Adapter0 Interface0 的地址为 第一台 SG800 2 191 32 1 9 IP 255 255 255 224 Mask 191 32 1 1 Default Gateway 第二台 SG800 2 191 32 1 11 IP 255 255 255 224 Mask 191 32 1 1 Default Gateway 2 3 远程管理软件配置远程管理软件配置 Bluecoat 安全代理专用设备通过 IE 浏览器和 SSH 命令进行管理 浏览器管理 端口为 8082 管理用的 PC 机需安装了 Java 运行环境 管理界面的 URL 为 https 191 32 1 9 8082 和 https 191 32 1 11 8082 2 4 网络配置网络配置 在 xxxxx 网络环境中 1 ProxySG800 2 两个端口均需配置 IP 地址 2 除缺省 路由指向防火墙 还需一条静态路由 作为内网通讯的路由 3 配置外网 DNS 以便 ProxySG 到互联网的访问 4 每台另外需要一个虚拟 IP 地址 作为内部员工 的 DNS 解析服务器 IP 地址 5 对虚拟 IP 地址配置 Fail Over 当一台 ProxySG 停 止工作 其虚拟 IP 将切换到另外一台 2 4 1 Adapter 1 地址配置地址配置 从 Web 管理界面 Management Console Configuration Network Adapter 进入 在 Adapters 下拉框中选择 Adapter1 并在 IP address for Interface 0 和 Subnet mask for Interface 0 中配置 IP 地址和子网掩码 如下图示 第一台 ProxySG800 2 的 IP 地址为 191 32 1 10 掩码 255 255 255 224 第二台 ProxySG800 2 的 IP 地址为 191 32 1 12 掩码 255 255 255 224 点击 Apply 使配置生效 2 4 2 静态路由配置静态路由配置 从 Web 管理界面 Management Console Configuration Network Routing 进入 在 窗口上部选项中选择 Routing 并在 Install Routing table from 下拉框中选择 Text Editor 如下图示 点击 Install 并在弹出窗口中输入静态路由 191 0 0 0 255 0 0 0 191 32 1 5 如下图示 点击 Install 使配置生效 2 4 3 配置外网配置外网 DNS 服务器服务器 从 Web 管理界面 Management Console Configuration Network DNS 进入 如下 图示 点击 New 增加外网 DNS 服务器 IP 地址 并点击 Apply 使配置生效 2 4 4 配置虚拟配置虚拟 IP 地址地址 从 Web 管理界面 Management Console Configuration Network Advanced 进入 在窗口上部选项中选择 VIPs 如下图示 点击 New 配置虚拟 IP 地址 并点击 Apply 使配置生效 第一台 ProxySG800 2 的虚拟 IP 地址为 191 32 1 13 第二台 ProxySG800 2 的虚拟 IP 地址为 191 32 1 14 2 4 5 配置配置 Fail Over 从 Web 管理界面 Management Console Configuration Network Advanced 进入 在窗口上部选项中选择 Failover 如下图示 点击 New 配置 Failover 组 如下图示 在弹出窗口中 选择 Existing IP 并在下拉框中选择已定义的虚拟 IP 地址 191 32 1 13 第一台 ProxySG800 191 32 1 14 第二台 ProxySG800 在 Group Setting 中 选择 Enable 并在 Relative Priority 中选中 Master 点击 OK 完 成配置 并点击 Apply 使配置生效 点击 New 配置另一个 Failover 组 如下图示 在弹出窗口中 选择 New IP 指定虚拟 IP 地址 191 32 1 14 第一台 ProxySG800 191 32 1 13 第二台 ProxySG800 在 Group Setting 中 选择 Enable 点击 OK 完成配置 并点击 Apply 使配置生效 2 5 配置配置代理服务端口代理服务端口 在 xxxxx 网络中 ProxySG 将提供 HTTP 80 端口 SOCKS 1080 端口 DNS 53 端口 的代理服务 其它通讯如 MSN 流媒体等均通过 HTTP 或 SOCKS 代理实现 从 Web 管理界面 Management Console Configuration Services Service Ports 进入 如下图示 其中 SSH Console 22 Telnet Console 23 HTTP Console 8081 是 为系统管理提供服务的端口 可以根据网络管理要求选择是否开放 DNS Proxy 53 HTTP 80 和 SOCKS 1080 必须 Enable Yes 并且包括 Explicit 属性 HTTP 80 需要包括 Transparent 属性 并点击 Apply 使配置生效 2 6 配置本地时钟配置本地时钟 从 Web 管理界面 Management Console Configuration General Clock 进入 如下 图示 选择本地时钟定义为 8 区 并点击 Apply 使配置生效 2 7 配置配置 Radius 认证服务认证服务 互联网访问用户将采用 Radius 进行用户认证 用户分组通过 Radius 的属性进 行定义 分组与属性对应关系如下 工作组Login 1 管理组Framed 2 高级组Call Back login 3 普通组Call Back Framed 4 临时组Outbound 5 从 Web 管理界面 Management Console Configuration Authentication RADIUS 进 入 如下图示 点击 New 生成 RADIUS 配置 在弹出窗口中定义 Radius 服务器地址 如下图 示 其中 Real Name 定义为 RADIUS Primary server host 中定义 RADIUS 服务器 IP 地址 191 32 1 22 暂定 Port 为 1812 Secret 为 RADIUS 中定义的通讯密 码 点击 OK 完成定义 并点击 Apply 使配置生效 注 Port 和 Secret 的定义必须与 RADIUS 服务器中定义保持一致 如需定义备份的 RADIUS 服务器 在上部选项中选择 RADIUS Servers 如下 图示 在 Alternate Server 定义中 定义备用的 RADIUS 服务器 IP 地址 及通讯密码 从 Web 管理界面 Management Console Configuration Authentication Transparent Proxy 进入 如下图示 其中 Method 选定 IP 在 IP TTL 中定义 240 分钟 4 个小时 用户认证一 次将保持 4 小时 并点击 Apply 使配置生效 2 8 内容过滤列表定义及下载内容过滤列表定义及下载 在 ProxySG 中加载 Blue Coat 分类列表作为互联网访问控制及 Anti Spyware 策 略的基础 从 Web 管理界面 Management Console Configuration Content Filtering Bluecoat 进入 如下图示 输入用户名 密码 选择 Force Full Update 并点击 Apply 使配置生效 然后点 击 Download Now 开始下载分类列表库 分类列表下载结束后 第一次下载超过 80Mbypes 数据 所需时间与网络和带 宽有关 定义自动下载更新 在上部选项中选择 Automatic Download 如下图示 其中 选择每天 UTC 时间下午 4 00 本地时间晚上 12 00 自动下载更新 并 点击 Apply 使配置生效 启动动态分类模式 在上部菜单选择 Dynamic Categorization 如下图示 选择 Enable Dynamic Categorization 和 Categorize dynamically in the background 并点击 Apply 使配置生效 选定使 Blue Coat 分类列表生效 从 Web 管理界面 Management Console Configuration Content Filtering General 进入 如下图示 选定 Use Blue Coat Web Filter 并点击 Apply 使配置生效 2 9 定义病毒扫描服务器定义病毒扫描服务器 对所有通过 ProxySG 的 HTTP FTP 通讯进行病毒扫描 病毒扫描服务器采用 McAfee ProxySG 通过 ICAP 协议实现与 McAfee 病毒扫描服务器通讯 从 Web 管理界面 Management Console Configuration External Services ICAP 进 入 点击 New 生成 ICAP 服务配置 如下图示 Service 名为 McAfee 1 和 McAfee 2 选择服务名 McAfee 1 并点击 Edit 进 入服务配置窗口 如下图示 在 Service URL 中 定义 icap 10 32 0 15 并点击 Sense settings 从 McAfee 获 取病毒扫描参数配置 点击 Register 定义进行健康检查 点击 OK 完成定义 并点 击 Apply 使配置生效 选择服务名 McAfee 2 并点击 Edit 重复以上过程 并在 Service URL 中定义 icap 10 32 0 16 从 Web 管理界面 Management Console Configuration External Services Serice Group 进入 将两台 McAfee 服务器定义为一个 Group 点击 New 生成 Service Group 配置如下图示 Service Group 名定义为 McAfee Group 点击 Edit 进行服务器组定义 如下图 示 通过点击 New 将 McAfee 1 和 McAfee 2 加入 McAfee Group 中 点击 Edit 可 以改变 Group 成员的权重 选择 OK 完成配置 并点击 Apply 使配置生效 2 10 带宽管理定义带宽管理定义 根据带宽管理策略要求 定义七个带宽类 其中 Work Group Bandwidth Management Group Bandwidth High Level Group Band width Normal Group Bandwidth Temp Group Bandwidth 分别对应工作组 管理 组 高级组 普通组 临时组的带宽管理要求 Limit App Bandwidth 对应高带宽 消耗应用的带宽管理策略 Key App Bandwidth 对应关键应用网站的带宽管理策 略 从 Web 管理界面 Management Console Configuration Bandwidth Mgmt BWM Classes 进入 点击 New 定义带宽类 如下图示 其中 需选中 Enable Bandwidth Management 定义带宽类 并点击 Apply 使配 置生效 2 11 策略设置策略设置 2 11 1 配置配置 DDOS 攻击防御攻击防御 通过 Telnet SSH 或 Console 进入 ProxySG 的命令行管理界面 进入 enable 状 态 通过命令 conf t 进入配置状态 通过以下命令启动 DDOS 防御 attack detection client enable limits 2 11 2 设置缺省策略为设置缺省策略为 DENY 从 Web 管理界面 Management Console configuration Policy Policy Options 进入 缺省策略设置 如下图示 其中 选择 DENY 并点击 Apply 使配置生效 2 11 3 配置配置 Blue Coat Anti Spyware 策略策略 从 Web 管理界面 Management Console configuration Policy Policy Files 进入缺省 策略设置 如下图示 在 Install Local File From 的下拉框中选择 Local File 点击 Install 如下图示 在弹出的窗口中 点击浏览 并选定 Blue Coat 发布的 Anti Spyware 策略 选 择 Install 将策略加载到 ProxySG 中 2 11 4 访问控制访问控制策略配置策略配置 VPM 访问控制策略通过 Blue Coat 图视化界面 VPM 进行配置 从 Web 管理界面 Management Console configuration Policy Visual Policy Manager 进入 并点击 Launch 即可启动 VPM 界面 如下图示 2 11 5 病毒扫描策略配置病毒扫描策略配置 定义对所有通过 ProxySG 的流量进行病毒扫描 使用病毒扫描服务器组 McAfee Group 从 VPM 的 Policy 菜单选择 Add Web Content Layer 生成 Web 内容控制策略 层 名字定义为 Web AV 并在第一条规则中 Action 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 Set ICAP Response Service 弹出窗口如下图示 在 Use ICAP response service 的下拉框中选择 McAfee Group 并选定 Continure without further ICAP response 点击 OK 退到上一层 在窗口中选择 ICAPResponseService1 并点击 OK 完成规则设置 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 6 用户认证策略设置用户认证策略设置 从 VPM 的 Policy 菜单选择 Add Web Authentication Layer 生成 Web 访问用户 认证层 名字定义为 Web Radius Auth 并在第一条规则中 Action 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 Authenticate 弹出窗口如下图示 在弹出的窗口中 Realm 栏选定 radius RADIUS Mode 中选定 Proxy IP 点 击 OK 退到上一层 在窗口中选择 Authenticate1 并点击 OK 完成规则设置 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 从 VPM 的 Policy 菜单选择 Add SOCKS Authentication Layer 生成 SOCKS 访 问用户认证层 名字定义为 SOCKS Radius Auth 并在第一条规则中 Action 栏 用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 SOCKS Authenticate 弹 出窗口如下图示 其中 Realm 中选定 radius RADIUS 点击 OK 退到上一层 在窗口中选择 SOCKSAuthenticate1 并点击 OK 完成规则设置 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 7 带宽管理策略定义带宽管理策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Bandwidth Management 并在第一条规则中 Source 栏用鼠标右键 选 择 Set 在弹出的窗口中选择 New 选定 Attribute 弹出窗口如下图示 其中 定义 Name 为 Work Group Authentication Realm 选定 RADIUS RADIUS RADIUS Attribute 选定 Login 1 选择 OK 完成属性定义 重复以上过程分别定义 Name 为 Management Group High Level Group Normal Group Temp1 Group Temp0 Group Temp2 Group 分别对应 RADIUS Attribute 为 Framed 2 Call Back login 3 Call Back Framed 4 Outbound 5 NAS Prompt 7 Administrative 6 在第一条规则的 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 Client Protocol 弹出窗口如下图示 其中 选定 P2P 和 All P2P 并选择 OK 完成定义 在第一条规则的 Destination 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 URL 弹出窗口如下图示 在 Simple Match 中指定关键业务的域名 选择 Add 增加定义 选择 Close 结束 定义 在第一条规则的 Action 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 Manage Bandwidth 弹出窗口如下图示 其中 Name 定义为 Key App Bandwidth Limit Bandwidth on 中选定 Server Side 和 Inbound 在 Bandwidth Class 中选定 Key App Bandwidth 选择 OK 完成定 义 重复以上过程 定义名 Name 为 Limit App Bandwidth in 属性为 Server Side Inbound Bandwidth Class 为 Limit App Bandwidth 定义名 Name 为 Limit App Bandwidth out 属性为 Server Side Outbound Bandwidth Class 为 Limit App Bandwidth 定义名 Name 为 Work Group Bandwidth 属性为 Server Side Inbound Bandwidth Class 为 Work Group Bandwidth 定义名 Name 为 Management Group Bandwidth 属性为 Server Side Inbound Bandwidth Class 为 Management Group Bandwidth 定义名 Name 为 High Level Group Bandwidth 属性为 Server Side Inbound Bandwidth Class 为 High Level Group Bandwidth 定义名 Name 为 Normal Group Bandwidth 属性为 Server Side Inbound Bandwidth Class 为 Normal Group Bandwidth 定义名 Name 为 Temp Group Bandwidth 属性为 Server Side Inbound Bandwidth Class 为 Temp Group Bandwidth 在 VPM 界面点击 Add Rule 增加七条规则 总共八条规则 第一条规则定义 在 Destination 栏用鼠标右键 选择 Set 在弹出窗口中选择 以上定义的关键业务 URL 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 Key App Bandwidth 第二条规则定义 在 Service 栏用鼠标右键 选择 Set 在弹出窗口中选择 All P2P 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 Limit App Bandwidth in 第三条规则定义 在 Service 栏用鼠标右键 选择 Set 在弹出窗口中选择 All P2P 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 Limit App Bandwidth out 第四条规则定义 在 Source 栏用鼠标右键 选择 Set 在弹出窗口中选择 Work Group 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 Work Group Bandwidth 第五条规则定义 在 Source 栏用鼠标右键 选择 Set 在弹出窗口中选择 Management Group 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 Management Group Bandwidth 第六条规则定义 在 Source 栏用鼠标右键 选择 Set 在弹出窗口中选择 High Level Group 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 High Level Group Bandwidth 第七条规则定义 在 Source 栏用鼠标右键 选择 Set 在弹出窗口中选择 Normal Group 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 Normal Group Bandwidth 第八条规则定义 在 Source 栏用鼠标右键 选择 Set 在弹出窗口中选择 Temp Group 在 Action 栏用鼠标右键 选择 Set 在弹出窗口中选择 Temp Group Bandwidth 完成定义如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 8 Work Group 用户组访问控制策略定义用户组访问控制策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Work Group Policy 通过 Add Rule 增加两条规则 在第一条规则的 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 Client Protocol 弹出窗口如下图示 其中 选定 SOCKS 和 All SOCKS 并选择 OK 完成定义 再选择 New 选定 Client Protocol 在弹出窗口中选定 Streaming 和 All Streaming 在 VPM 菜单选择 Add Rule 增加两条规则 共三条规则 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Work Group 在 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选定 All SOCKS 在 Action 栏用鼠标右键 选择 Deny 在第二条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Work Group 在 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选定 All Streaming 在 Action 栏用鼠标右键 选择 Deny 在第三条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Work Group 在 Action 栏用鼠标右键 选择 Allow 完成规则定义 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 9 Management Group 用户组访问控制策略定义用户组访问控制策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Management Group Policy 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Management Group 在 Action 栏用鼠标右键 选择 Allow 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 10 High Level Group 用户组访问控制策略定义用户组访问控制策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 High Level Group Policy 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 High Level Group 在 Action 栏用鼠标右键 选择 Allow 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 11 Normal Group 用户组访问控制策略定义用户组访问控制策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Normal Group Policy 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Normal Group 在 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选定 All Streaming 在 Action 栏用鼠标右键 选择 Deny 在第二条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Normal Group 在 Action 栏用鼠标右键 选择 Allow 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 12 Temp1 Group 用户组访问控制策略定义用户组访问控制策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Temp1 Group Policy 在第一条规则的 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选定 Client Protocol 弹出窗口如下图示 其中 选定 FTP 和 All FTP 并选择 OK 完成定义 在 VPM 菜单选择 Add Rule 增加四条规则 共五条规则 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp1 Group 在 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选定 All SOCKS 在 Action 栏用鼠标右键 选择 Deny 在第二条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp1 Group 在 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选定 All Streaming 在 Action 栏用鼠标右键 选择 Deny 在第三条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp1 Group 在 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选定 All FTP 在 Action 栏用鼠标右键 选择 Deny 在第四条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp1 Group 在 Destination 栏用鼠标右键 选择 Set 在弹出的窗口中选定 New 选择 URL 定义 Simple Match 中域名为 在 Action 栏用鼠标 右键 选择 Deny 在第五条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp1 Group 在 Action 栏用鼠标右键 选择 Allow 完成规则定义 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 13 Temp0 Group 用户组访问控制策略定义用户组访问控制策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Temp0 Group Policy 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp0 Group 在 Action 栏用鼠标右键 选择 Allow 完成规则定义 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 14 Temp2 Group 用户组访问控制策略定义用户组访问控制策略定义 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Temp2 Group Policy 在 VPM 菜单选择 Add Rule 增加二条规则 共三条规则 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp2 Group 在 Services 栏用鼠标右键 选择 Set 在弹出的窗口中选定 All SOCKS 在 Action 栏用鼠标右键 选择 Deny 在第二条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp2 Group 在 Destination 栏用鼠标右键 选择 Set 在弹出的窗口中选定 New 选择 URL 定义 Simple Match 中域名为 在 Action 栏用鼠标 右键 选择 Deny 在第三条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 Temp2 Group 在 Action 栏用鼠标右键 选择 Allow 完成规则定义 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 15 IE 浏览器版本检查策略浏览器版本检查策略 从 VPM 的 Policy 菜单选择 Add Web Access Layer 生成 Web 访问控制层 名 字定义为 Browser Version Check 通过 Add Rule 增加一条规则 共两条规则 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 选择 Request Header 弹出窗口如下图示 其中 Name 定义为 RequestHeader IE6 在 Header Name 下拉框中选择 User Agent 在 Header Regex 中输入 MSIE6 点击 OK 完成定义 在第一条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 RequestHeader IE6 在 Destination 栏用鼠标右键 选择 Set 在弹出的窗口中点击 New 选择 URL 定义 在 Action 栏用鼠标右键 选择 Allow 在第二条规则中 Source 栏用鼠标右键 选择 Set 在弹出的窗口中选择 RequestHeader IE6 在 Action 栏用鼠标右键 选择 Set 在弹出的窗口中选择 New 并选择 Deny 弹出窗口如下图示 选定 Force Deny Details 提示为 Please upgrade your Browser to IE6 x 点击 OK 完成定义 并在返回的窗口中选定 Deny1 点击 OK 完成定义 如下图示 在 VPM 菜单中点击 Install Policy 将策略加载到 ProxySG 中 2 11 16 DNS 解析策略设置解析策略设置 ProxySG 将为用户提供 DNS 解析服务 将对解析请求应答 ProxySG 的 IP 地址 配置过程如下 从 VPM 的 Policy 菜单选择 Add DNS A