bluecoat操作手册.ppt

BlueCoatTraining Du FengSystemEngineerBlueCoatShangHaiOffice BlueCoatSGOS BlueCoatTraining Du FengSystemEngineerBlueCoatShangHaiOffice SGOS启动 GetStart 开始安装BlueCoatProxySG专用设备前 先确定安装设备初始IP地址等信息的设置 并且该IP是可以通过网络可访问的 初始IP地址信息的设置是一个简单的过程 要求配置四个参数 静态IP地址 IP的子网掩码 网关 DNS服务器IP地址BlueCoat设备提供了两种配置这些参数的方法 使用串口线通过传统的串口通讯通过SG前面板的LCD 串口方式 串行电缆 DB9 fDB9 f2 3 transmit receive 3 2 receive transmit 5 5 ground ground 三次后出现以下 选择2 如果4个主要参数未配 将直接进人SetupConsole 前面板方式 在使用前面板时 步骤如下 Enter按钮 模式之间转换和存储变化的配置Menu按钮 从模式返回 并Cancel变化的配置按Enter按钮切换到配置模式 检查LCD中光标形状按Up或Down按钮 来修改LCD上可修改的四个参数按Enter按钮切换到Edit模式 检查LCD中光标的形状按Left或Right箭头按钮 移动数字下的光标到需修改的参数按Up或Down箭头按钮来改变数字重复步骤四和五修改每个参数的数字按Enter按钮存储修改的值 并回到配置模式为每个可配置参数重复以上步骤 LCDMenu 可以配置 Interface0 IP地址掩码缺省网关DNSconsolepasswordenablepasswordsecureserial Yes No BlueCoatTraining Du FengSystemEngineerBlueCoatShangHaiOffice SGOSGUI及基本配置 GUI https x x x x 8082 JAVAGUI界面可以从任何系统方便地进行访问Browser IE5 0 6 0 SP1orlater Netscape4 7 4 78orlater 7 1OS Windows98 NT4 0 SP6orlater 2000 SP2orlater XP SP1a JREforPolicyManager 1 4 2或1 5的版本Notes 浏览器可能缓存了Java 如果有问题 点击Refresh或清除浏览器缓存 JAVA是会被代理的 在测试和管理时 浏览器不要设置代理建议在访问该页面时 等状态栏中指示所有Java类下载结束后 再进行后续操作Java界面有可能要求在输入一次用户名和密码 GUI首页 进入管理界面 用户端浏览器配置建议 网站链接 网站链接 产品型号 IP地址 Int0 软件版本 硬件序列号 General配置 设备名定义 时钟定义 配置备份 恢复 可以修改设备名 序列号不可修改 时钟设置 显示UTC时间 显示本地时间 选择时区中国 8 启动NTP对时 对时间隔 立即对时 暂停时钟 对时服务器设置 如果要手动修改时钟 必须停止NTP对时 并暂停时钟 然后进行修改 对时服务器设置 对时服务器 增加 修改 删除 上移 下移 尽量使用本地的对时服务 配置备份及恢复 选择配置类型 显示配置 选择配置安装方式 安装配置 选择配置类型 PostSetup 当前所有配置 包括从console配置的 和List配置的Brief 所有从console配置的设置 不包括从List配置的Expanded 最完整的配置 包括系统专用的部分 无法放到其它系统ResultsofConfigurationLoad 上次加载配置的结果 选择配置安装方式 本地文件方式文本编辑方式 Network配置 网卡配置路由配置DNS配置高级配置 网卡配置 选择网卡 选择网卡接口部分网卡有多接口 IP地址 子网掩码 网桥配置 网卡接口高级配置 网卡接口高级配置 接受Inbound连接 拒绝Inbound连接将拒绝用网络发起到该接口的连接 包括管理端口的请求 只有使用多端口时才选用 网口自适应 手工配置网口参数 双工 半双工选择 Speed选择 MAC地址 改变浏览器提示 在首页 改变浏览器提示 直接设定ProxyIP使用SG中缺省的PAC文件进行Proxy设置使用加速的PAC文件进行Proxy设置使用URL指定的PAC文件进行代理设置 用户端浏览器配置建议 PAC文件 DefaultPACfile URL https x x x x 8082 proxy pac file functionFindProxyForURL url host if url substring 0 5 http return PROXY192 168 1 95 8080 DIRECT elseif url substring 0 6 https return PROXY192 168 1 95 8080 DIRECT elseif url substring 0 4 ftp return PROXY192 168 1 95 8080 DIRECT else return DIRECT AcceleratedPacFile URL https x x x x 8082 accelerated pac base pac 通过inlineaccelerated pac命令 可以设置该PAC文件 路由配置 Gateways配置静态路由配置RIP配置 Gateways配置 已有Gateway生成编辑编辑删除启动IPForwarding Gateway编辑界面 由New和Edit生成 Gateway的IP地址 分组号越小优先级越高 高优先级的Gateway全部失效 才选用低优先级的 权重 按权重比例分配负载 静态路由配置 选择静态路由设置方式URL本地文件文本编辑安装显示路由表显示源路由设置文件 静态路由表是一个文本文件 每行包含 IP地址 子网掩码 网关IP 例如 192 168 1 0255 255 255 0192 168 1 1 DNS配置 名字添加查询已有DNS服务器设置生成编辑删除上移下移Primary Alternative选择 查问第一个PrimaryDNSServer 返回结果为IP地址 获得IP地址 Yes 查问第一个AlternateDNSServer 是否定义了Alternate Yes 无法解析 No 返回结果为域名不存在 No Yes 无出错 无应答 No Yes 返回结果为IP地址 Yes No 按顺序查问后面的PrimaryDNSServer No SplitDNS的应用需使用Primary和AlternateDNSServer DNS服务器使用次序 AttackDetection配置 为减少DDOS攻击和端口扫描的影响 SG能够限制从同一ClientIP来的并发连接数 也可以限制到超载的服务的并发连接数只能通过命令行配置 enableconftattack detectionclientservercreateclientip addressorip and lengthcreatehostnameedithostnameaddhostnameremovehostnamerequest limit Services定义 一个Service将为一种协议产生一个侦听的端口和IP地址Service Protocol IP InterfaceIP VIP orAll Port Attribute s 同一端口上的多个Service可以生成在不同的IP上 Service名代理协议IP地址SOCKSProxy参数Intercept Bypass Services定义修改 属性 Explicit 指定代理Transparent 透明代理Authenticate 401 服务器认证响应Send Client IP 用ClientIP到源站点取信息 要求网络配合 策略配置 PolicyOptions 策略选项 PolicyFiles 策略文件 所有策略配置均在系统中对应到一个策略文件 该选项包括对文件方式的配置和备份 恢复等 VisualPolicyManager 可视化策略管理器 通过可视化界面配置访问控制策略Exceptions 修改缺省的出错页面 策略选项 策略执行次序 越前面优先级越低 上移下移缺省策略设置跟踪所有策略执行 用于Debugging BlueCoat策略结构File1Layer1Rule1Layer2Rule1Rule2Rule3File2Layer1Rule1Rule2File3File4Layer ACL第一个规则匹配 进入下一层可能有多条规则匹配最后一个规则获胜 策略说明 策略选项 策略执行次序 越前面优先级越低 上移下移缺省策略设置跟踪所有策略执行 用于Debugging 跟踪策略执行 starttransactionCPLEvaluationTrace MATCH authenticate islandldap MATCH ALLOWcondition realstreamscondition GROUP2MATCH condition realstreamscondition GROUP2max bitrate 700K MATCH trace request yes trace rules yes trace destination trace html connection client address 192 168 0 196proxy port 1091time 2002 03 2910 02 45UTCrequest RTSP PLAYrtsp 192 168 0 138 rush rmuser name user0 internetrealm islandldapAuth Requiredrealm proxy realm islandldap basic Set Max Bitrate 700000endtransaction 策略文件 VPM文件管理策略文件安装Central文件变化时自动安装Central文件变化时Email通知显示当前策略文件 可以在显示窗口存为文本 安装方式 可视化策略管理器 VPM 该页面将启动JRE 如果没有JRE环境 浏览器将自动从网络下载安装 启动 VPM管理界面 安装策略文件 改变Layer次序 VPM Policy菜单 AdminAuthenticationLayer 管理员用户认证层 定义更多的管理员用户AdminAccessLayer 管理员访问控制层 控制管理员访问的权限DNSAccessLayer DNS访问控制层 如果设置该ProxySG为DNS服务器时 可以控制域名解析SOCKSAuthenticationLayer 用户SOCKS代理访问时的用户认证定义WebAuthenticationLayer 用户Web代理访问时的用户认证WebAccessLayer 用户Web访问控制层WebContentLayer Web访问内容控制层 控制ProxySG到源服务器获取内容的方式ForwardingLayer 转发控制层 可以根据条件设定将用户访问请求转发到指定目标的策略 生成策略层 VPM WebAuthenticationLayer 其中 缺省生成一条策略 为从任何源 Source Any 到任何目标 Destination Any 不做控制 Action None VPM SOCKSAuthenticationLayer 其中 缺省生成一条策略 为从任何源 Source Any 不做控制 Action None VPM WebAccessLayer 每个Web访问控制策略由 源 目标 服务 时间和操作五部分组成 VPM WebAccessLayer Source定义 VPM WebAccessLayer Destination定义 VPM WebAccessLayer Service定义 VPM WebAccessLayer Time定义 VPM WebAccessLayer Action定义 出错页面 BlueCoatTraining Du FengSystemEngineerBlueCoatShangHaiOffice SGOS维护和统计 维护 普通维护OS升级Licensing事件日志设置SNMP设置Heartbeats设置CoreImages设置Service信息采集 普通维护 选择软件启动选择硬件启动转换系统重启动恢复缺省设置删除DNS缓存删除系统缓存 采用时间标签的方式实现 Service信息定义 发送系统信息 快照 抓包 发送系统信息 ServiceRequestNumber 将故障报到 将获得一个Number 来跟踪整个过程 发送自动发送 快照 抓包 开始抓包停止下载显示统计抓包过滤大小抓Bridge的包抓所有包第几次满足条件 开始抓包第几次满足条件 停止抓包 统计 TrafficMix报告 TrafficHistory报告 ProtocolDetail报告 System报告 ActiveSessions报告 Authentication报告 AdvanceURL https x x x x 8082 SYSInfo 定义出错页面 BlueCoatTraining Du FengSystemEngineerBlueCoatShangHaiOffice 出错页面定义 ProxySG已经内置多个出错页面可以通过管理界面定义个性化的出错页面通过策略定义 不同的情况选择不同的出错页面出错页面采用HTTP语法进行定义 生成出错页面 通过console界面 定义出错页面 命令如下 EnableConftExceptionsCreatemy denyEditmy denyInlinehttpformat 其中 my deny为出错页面名 在Policy中引用 为出错页面内容 出错页面内容举例 RedirectorYourrequestwillnowberedirectedtoyourrequestedsite document write 以下出错页面将请求转向到可通过前述inline命令定义为my deny的内容 通过策略选用定义的出错页面 在VPM的WebAccess策略中 需要使用定义的出错页面进行DENY时在Action栏中 使用鼠标右键 选择Set New ReturnExceptions在弹出窗口中 选定User definedexception 并选择my deny 点击OK完成定义该定义可以通过弹出窗口中定义的Name 被其他策略引用 BlueCoatTraining Du FengSystemEngineerBlueCoatShangHaiOffice SGOS带宽管理策略 带宽限制策略配置 定义带宽类 建议将工具下载 流媒体等大流量的通讯限制在指定带宽范围类 初始为30Mbps 以后可以根据带宽状况进行调整 定义带宽类 SG的web管理界面configuration bandwidthmanagement BWMClasses进入定义页面 定义一个带宽类 名字为limit 最大带宽30Mbps 优先级为3 如下图示 带宽限制策略配置 定义带宽控制策略 delete on abandonment yes url scheme httpcondition Limitlimit bandwidth server inbound limit url domain denyurl domain denyurl domain http server recv timeout 80 defineconditionNO or LARGE CONTENT LENGTHresponse header Content Length response header Content Length 0 9 1 6 endconditionNO or LARGE CONTENT LENGTHdefineconditionMEDIA MIME TYPESresponse header Content Type video response header Content Type application streamingmedia response header Content Type application x streamingmedia response header Content Type application vnd rn response header Content Type application ogg response header Content Type application x ogg response header Content Type audio response header Content Type multipart x mixed replace endconditionMEDIA MIME TYPESdefineconditionByte rangerequest header Range bytes endByte rangedefineconditionVIDEO AUDIO with NO or LARGE CONTENT LENGTHcondition NO or LARGE CONTENT LENGTHcondition MEDIA MIME TYPESendconditionVIDEO AUDIO with NO or LARGE CONTENT LENGTHdefineconditionLimitcondition VIDEO AUDIO with NO or LARGE CONTENT LENGTHcondition Byte rangeendconditionLimit 该策略将对下载超过1M大小 下载工具使用的续传 视频及语音信息访问进行带宽限制屏蔽迅雷相关的域名 在原策略中 没有屏蔽 带宽限制策略配置 带宽控制策略安装 从Web管理界面configuration Policy Policyfiles进入 选择Localpolicies的安装方式为TextEditor 如下图示 请将弹出窗口中的原策略备份下来 以便以后启动AV扫描时使用用上一页的策略覆盖窗口中的所有内容然后Install 用户认证介绍 BlueCoatTraining Du FengSystemEngineerBlueCoatShangHaiOffice 用户认证类型 BlueCoatSG安全Console访问物理访问 frontpanel serialport BlueCoatSG用户认证在允许访问前确认用户资源认证请求 BlueCoatSG安全 控制对SG专用设备的访问根据IP地址或地址范围进行限制配置终端的Password保护前面板操作的PIN串口访问的Password保护基于角色的安全控制使用基于认证域的认证细粒化的操作选择 VPM AdminAuthenticationLayer 认证系统管理员 VPM AdminAccessLayer 用户认证 基于用户和用户分组的策略细粒化的报告管理提示页面 指定代理用户认证 常见问题1 AccessLogTailThecurrenttimeisTueJul22 200809 42 11UTC Software SGOS4 2 4 1 Version 1 0 Start Date 2008 07 2209 42 11 Date 2008 07 0408 25 29 Fields datetimetime takenc ipcs usernamecs auth groupx exception idsc filter resultcs categoriescs Referer sc statuss actioncs methodrs Content Type cs uri schemecs hostcs uri portcs uri pathcs uri querycs uri extensioncs User Agent s ipsc bytescs bytesx virus id Remark notavailable 192 168 1 98 BlueCoatSG110 2008 07 2209 42 364448192 168 1 140 authentication failedPROXIED News Media 407TCP DENIEDGET 80 Mozilla 4 0 compatible MSIE7 0 WindowsNT5 1 192 168 1 981081789 2008 07 2209 43 001654192 168 1 140test1 PROXIED SearchEngines Portals 在Reporter的报告中 用户 排第一 常见问题2 1 该软件是否支持代理的用户认证 2 不做用户认证时 是否能通过 3 检查访问日志 PolicyTrace PCAP4 Walkaround配置对特定端口不做用户认证采用Socks代理方式选择基于IP的认证方式 某些软件无法通过SG的用户认证 案例分析 同花顺 1 支持代理用户认证2 无用户认证时 通过SG的HTTP代理没问题3 现象 有的用户可以上 有的不行 检查访问日志 2008 07 2305 32 592192 168 1 60407TCP DENIED1084428GET80 docookie php uname dufeng cf 20charset gb2312 CookieSession PROXIED none 192 168 1 972008 07 2305 33 095192 168 1 60400TCP DENIED177111CONNE