BlueCoat代理服务器配置指南

1、BlueCoat代理服务器配置指南2011年1月目 录TOC o 1-3 h z HYPERLINK l _Toc129063755 一、 安装设备及安装环境 PAGEREF _Toc129063755 h 4 HYPERLINK l _Toc129063756 1.1 实施设备清单 PAGEREF _Toc129063756 h 4 HYPERLINK l _Toc129063757 1.2 实施拓朴结构图 PAGEREF _Toc129063757 h 4 HYPERLINK l _Toc129063758 二、 实施步骤 PAGEREF _Toc129063758 h 5 HYPERLI

2、NK l _Toc129063759 2.1 物理连接 PAGEREF _Toc129063759 h 5 HYPERLINK l _Toc129063760 2.2 初始IP地址配置 PAGEREF _Toc129063760 h 5 HYPERLINK l _Toc129063761 2.3 远程管理软件配置 PAGEREF _Toc129063761 h 5 HYPERLINK l _Toc129063762 2.4 网络配置 PAGEREF _Toc129063762 h 6 HYPERLINK l _Toc129063763 2.4.1 Adapter 1地址配置 PAGEREF _

3、Toc129063763 h 6 HYPERLINK l _Toc129063764 2.4.2 静态路由配置 PAGEREF _Toc129063764 h 7 HYPERLINK l _Toc129063765 2.4.3 配置外网DNS服务器 PAGEREF _Toc129063765 h 9 HYPERLINK l _Toc129063766 2.4.4 配置虚拟IP地址 PAGEREF _Toc129063766 h 9 HYPERLINK l _Toc129063767 2.4.5 配置Fail Over PAGEREF _Toc129063767 h 10 HYPERLINK l

4、 _Toc129063768 2.5 配置代理服务端口 PAGEREF _Toc129063768 h 12 HYPERLINK l _Toc129063769 2.6 配置本地时钟 PAGEREF _Toc129063769 h 13 HYPERLINK l _Toc129063770 2.7 配置Radius认证服务 PAGEREF _Toc129063770 h 13 HYPERLINK l _Toc129063771 2.8 内容过滤列表定义及下载 PAGEREF _Toc129063771 h 16 HYPERLINK l _Toc129063772 2.9 定义病毒扫描服务器 PA

5、GEREF _Toc129063772 h 18 HYPERLINK l _Toc129063773 2.10 带宽管理定义 PAGEREF _Toc129063773 h 22 HYPERLINK l _Toc129063774 2.11 策略设置 PAGEREF _Toc129063774 h 23 HYPERLINK l _Toc129063775 2.11.1 配置DDOS攻击防御 PAGEREF _Toc129063775 h 23 HYPERLINK l _Toc129063776 2.11.2 设置缺省策略为DENY PAGEREF _Toc129063776 h 23 HYPE

6、RLINK l _Toc129063777 2.11.3 配置Blue Coat Anti-Spyware策略 PAGEREF _Toc129063777 h 24 HYPERLINK l _Toc129063778 2.11.4 访问控制策略配置-VPM PAGEREF _Toc129063778 h 25 HYPERLINK l _Toc129063779 2.11.5 病毒扫描策略配置 PAGEREF _Toc129063779 h 25 HYPERLINK l _Toc129063780 2.11.6 用户认证策略设置 PAGEREF _Toc129063780 h 27 HYPERL

7、INK l _Toc129063781 2.11.7 带宽管理策略定义 PAGEREF _Toc129063781 h 29 HYPERLINK l _Toc129063782 2.11.8 Work_Group用户组访问控制策略定义 PAGEREF _Toc129063782 h 34 HYPERLINK l _Toc129063783 2.11.9 Management_Group用户组访问控制策略定义 PAGEREF _Toc129063783 h 36 HYPERLINK l _Toc129063784 2.11.10 High_Level_Group用户组访问控制策略定义 PAGER

8、EF _Toc129063784 h 36 HYPERLINK l _Toc129063785 2.11.11 Normal_Group用户组访问控制策略定义 PAGEREF _Toc129063785 h 37 HYPERLINK l _Toc129063786 2.11.12 Temp_Group用户组访问控制策略定义 PAGEREF _Toc129063786 h 37 HYPERLINK l _Toc129063787 2.11.13 IE浏览器版本检查策略 PAGEREF _Toc129063787 h 39 HYPERLINK l _Toc129063788 2.11.14 DNS

9、解析策略设置 PAGEREF _Toc129063788 h 41安装设备及安装环境实施设备清单Bluecoat安全代理专用设备SG60010一台，AV510-A一台，BCWF内容过滤，MCAFEE防病毒,企业版报表模块。实施拓朴结构图Bluecoat设备SG600-103配置于内网，AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种，网络示意结构如下图：旁路模式：实施步骤物理连接两台Bluecoat SG8002的Adapter0_Interface 0和Adapter1_Interface0通过以太网双绞线连接于两台Radware CID交换机。初始IP地址配

10、置通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为：第一台SG8002：(IP) 24(Mask) (Default Gateway)第二台SG8002：1(IP) 24(Mask) (Default Gateway)远程管理软件配置Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理，浏览器管理端口为8082，管理用的PC机需安装了Java运行环境。管理界面的URL为： HYPERLINK :8082和1:8082 :8082和1:8082网络配置在xxxxx网络环境中，(1)ProxySG800-2两个端口均需配置IP地址；(

11、2)除缺省路由指向防火墙，还需一条静态路由，作为内网通讯的路由，(3)配置外网DNS，以便ProxySG到互联网的访问，(4) 每台另外需要一个虚拟IP地址，作为内部员工的DNS解析服务器IP地址；(5)对虚拟IP地址配置Fail Over，当一台ProxySG停止工作，其虚拟IP将切换到另外一台。Adapter 1地址配置从Web管理界面Management Console/Configuration/Network/Adapter进入，在Adapters下拉框中选择Adapter1，并在IP address for Interface 0和 Subnet mask for Interfac

12、e 0中配置IP地址和子网掩码，如下图示：第一台ProxySG800-2的IP地址为：0，掩码：24第二台ProxySG800-2的IP地址为：2，掩码：24点击Apply使配置生效。静态路由配置从Web管理界面Management Console/Configuration/Network/Routing进入，在窗口上部选项中选择Routing，并在Install Routing table from下拉框中选择Text Editor，如下图示：点击Install，并在弹出窗口中输入静态路由： 如下图示：点击Install使配置生效。配置外网DNS服务器从Web管理界面Management

13、Console/Configuration/Network/DNS进入，如下图示：点击New增加外网DNS服务器IP地址，并点击Apply使配置生效。配置虚拟IP地址从Web管理界面Management Console/Configuration/Network/Advanced进入，在窗口上部选项中选择VIPs，如下图示：点击New配置虚拟IP地址，并点击Apply使配置生效。第一台ProxySG800-2的虚拟IP地址为：3第二台ProxySG800-2的虚拟IP地址为：4配置Fail Over从Web管理界面Management Console/Configuration/Network

14、/Advanced进入，在窗口上部选项中选择Failover，如下图示：点击New配置Failover组，如下图示：在弹出窗口中，选择Existing IP，并在下拉框中选择已定义的虚拟IP地址：3（第一台ProxySG800），4（第二台ProxySG800），在Group Setting中，选择Enable，并在Relative Priority中选中Master，点击OK完成配置。并点击Apply使配置生效。点击New配置另一个Failover组，如下图示：在弹出窗口中，选择New IP，指定虚拟IP地址：4（第一台ProxySG800），3（第二台ProxySG800），在Group

15、Setting中，选择Enable，点击OK完成配置。并点击Apply使配置生效。配置代理服务端口在xxxxx网络中ProxySG将提供HTTP（80端口）、SOCKS（1080端口）、DNS(53端口)的代理服务，其它通讯如：MSN、流媒体等均通过HTTP或SOCKS代理实现。从Web管理界面Management Console/Configuration/Services/Service Ports进入，如下图示：其中，SSH-Console（22）、Telnet-Console（23）、HTTP-Console（8081）是为系统管理提供服务的端口，可以根据网络管理要求选择是否开放；DN

16、S-Proxy（53）、HTTP（80）和SOCKS（1080）必须Enable（Yes），并且包括Explicit属性，HTTP（80）需要包括Transparent属性。并点击Apply使配置生效。配置本地时钟从Web管理界面Management Console/Configuration/General/Clock进入，如下图示：选择本地时钟定义为8区，并点击Apply使配置生效。配置Radius认证服务互联网访问用户将采用Radius进行用户认证，用户分组通过Radius的属性进行定义，分组与属性对应关系如下：工作组Login(1)管理组Framed(2)高级组Call Back lo

17、gin(3)普通组Call Back Framed(4)临时组Outbound(5)从Web管理界面Management Console/Configuration/Authentication/RADIUS进入，如下图示：点击New生成RADIUS配置，在弹出窗口中定义Radius服务器地址，如下图示：其中，Real Name定义为RADIUS，Primary server host中定义RADIUS服务器IP地址：2（暂定），Port为1812，Secret为RADIUS中定义的通讯密码；点击OK完成定义。并点击Apply使配置生效。注：Port和Secret的定义必须与RADIUS服务器

18、中定义保持一致。如需定义备份的RADIUS服务器，在上部选项中选择RADIUS Servers，如下图示：在Alternate Server定义中，定义备用的RADIUS服务器IP地址，及通讯密码。从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入，如下图示：其中，Method选定IP，在IP TTL中定义240分钟（4个小时），用户认证一次将保持4小时；并点击Apply使配置生效。内容过滤列表定义及下载在ProxySG中加载Blue Coat分类列表作为互联网访问控制及Anti-Spyware

19、策略的基础。从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat进入，如下图示：输入用户名/密码，选择Force Full Update，并点击Apply使配置生效，然后点击Download Now开始下载分类列表库。分类列表下载结束后（第一次下载超过80Mbypes数据，所需时间与网络和带宽有关），定义自动下载更新，在上部选项中选择Automatic Download，如下图示：其中：选择每天UTC时间下午4:00（本地时间晚上12:00）自动下载更新，并点击Apply使配置生效。启动动态分类模式，在上部菜单选

20、择Dynamic Categorization，如下图示：选择Enable Dynamic Categorization和Categorize dynamically in the background，并点击Apply使配置生效。选定使Blue Coat分类列表生效，从Web管理界面Management Console/Configuration/Content Filtering/General进入，如下图示：选定Use Blue Coat Web Filter，并点击Apply使配置生效。定义病毒扫描服务器对所有通过ProxySG的HTTP、FTP通讯进行病毒扫描，病毒扫描服务器采用Mc

21、Afee，ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。从Web管理界面Management Console/Configuration/External Services/ICAP进入，点击New生成ICAP服务配置，如下图示：Service名为McAfee_1和McAfee_2，选择服务名McAfee_1，并点击Edit，进入服务配置窗口，如下图示：在Service URL中，定义icap:/5，并点击Sense settings从McAfee获取病毒扫描参数配置，点击Register定义进行健康检查，点击OK完成定义，并点击Apply使配置生效。选择服务名McAfe

22、e_2，并点击Edit，重复以上过程，并在Service URL中定义icap:/6。从Web管理界面Management Console/Configuration/External Services/Serice-Group进入，将两台McAfee服务器定义为一个Group，点击New生成Service Group配置如下图示：Service Group名定义为McAfee_Group，点击Edit进行服务器组定义，如下图示：通过点击New将McAfee_1和McAfee_2加入McAfee_Group中，点击Edit可以改变Group成员的权重，选择OK完成配置，并点击Apply使配置生

23、效。带宽管理定义根据带宽管理策略要求，定义七个带宽类，其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、Normal_Group_Bandwidth、Temp_Group_Bandwidth分别对应工作组、管理组、高级组、普通组、临时组的带宽管理要求，Limit_App_Bandwidth对应高带宽消耗应用的带宽管理策略，Key_App_Bandwidth对应关键应用网站的带宽管理策略。从Web管理界面Management Console/Configuration/Bandwidth Mg

24、mt./BWM Classes进入，点击New定义带宽类，如下图示：其中，需选中Enable Bandwidth Management，定义带宽类，并点击Apply使配置生效。策略设置配置DDOS攻击防御通过Telnet、SSH或Console进入ProxySG的命令行管理界面，进入enable状态，通过命令conf t进入配置状态，通过以下命令启动DDOS防御：attack-detectionclientenable-limits设置缺省策略为DENY从Web管理界面Management Console/configuration/Policy/Policy Options进入缺省策略设置，

25、如下图示：其中，选择DENY，并点击Apply使配置生效。配置Blue Coat Anti-Spyware策略从Web管理界面Management Console/configuration/Policy/Policy Files进入缺省策略设置，如下图示：在Install Local File From的下拉框中选择Local File，点击Install，如下图示：在弹出的窗口中，点击浏览，并选定Blue Coat发布的Anti-Spyware策略，选择Install将策略加载到ProxySG中。访问控制策略配置-VPM访问控制策略通过Blue Coat图视化界面VPM进行配置，从Web管

26、理界面Management Console/configuration/Policy/ Visual Policy Manager进入，并点击Launch，即可启动VPM界面，如下图示：病毒扫描策略配置定义对所有通过ProxySG的流量进行病毒扫描，使用病毒扫描服务器组McAfee_Group。从VPM的Policy菜单选择Add Web Content Layer，生成Web内容控制策略层，名字定义为Web AV，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Set ICAP Response Service，弹出窗口如下图示：在Use ICAP re

27、sponse service的下拉框中选择McAfee_Group，并选定Continure without further ICAP response，点击OK，退到上一层，在窗口中选择ICAPResponseService1，并点击OK，完成规则设置；如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。用户认证策略设置从VPM的Policy菜单选择Add Web Authentication Layer，生成Web访问用户认证层，名字定义为Web_Radius_Auth，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定

28、Authenticate，弹出窗口如下图示：在弹出的窗口中，Realm栏选定radius(RADIUS)，Mode中选定Proxy IP，点击OK，退到上一层，在窗口中选择Authenticate1，并点击OK，完成规则设置；如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。从VPM的Policy菜单选择Add SOCKS Authentication Layer，生成SOCKS访问用户认证层，名字定义为SOCKS_Radius_Auth，并在第一条规则中，Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定SOCKS Authenticat

29、e，弹出窗口如下图示：其中，Realm中选定radius(RADIUS)，点击OK，退到上一层，在窗口中选择SOCKSAuthenticate1，并点击OK，完成规则设置；如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。带宽管理策略定义从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Bandwidth_Management，并在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Attribute，弹出窗口如下图示：其中，定义Name为Work_Group，Authent

30、ication Realm选定RADIUS(RADIUS)，RADIUS Attribute选定Login(1)，选择OK，完成属性定义。重复以上过程分别定义Name为Management_Group、High_Level_Group、Normal_Group、Temp1_Group，Temp0_Group，Temp2_Group分别对应RADIUS Attribute为Framed(2)、Call Back login(3)、Call Back Framed(4)、Outbound(5)、NAS Prompt(7)、Administrative(6)。在第一条规则的Services栏用鼠标右

31、键，选择Set，在弹出的窗口中选择New，选定Client Protocol，弹出窗口如下图示：其中，选定P2P和All P2P，并选择OK，完成定义。在第一条规则的Destination栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定URL，弹出窗口如下图示：在Simple Match中指定关键业务的域名，选择Add增加定义，选择Close结束定义。在第一条规则的Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Manage Bandwidth，弹出窗口如下图示：其中，Name定义为Key_App_Bandwidth，Limit Bandwidth on中选定Ser

32、ver Side和Inbound，在Bandwidth Class中选定Key_App_Bandwidth，选择OK完成定义；重复以上过程，定义名Name为Limit_App_Bandwidth_in，属性为Server Side Inbound，Bandwidth Class为Limit_App_Bandwidth；定义名Name为Limit_App_Bandwidth_out，属性为Server Side Outbound，Bandwidth Class为Limit_App_Bandwidth；定义名Name为Work_Group_Bandwidth，属性为Server Side Inbo

33、und，Bandwidth Class为Work_Group_Bandwidth；定义名Name为Management_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为Management_Group_Bandwidth；定义名Name为High_Level_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为High_Level_Group_Bandwidth；定义名Name为Normal_Group_Bandwidth，属性为Server Side Inbound，Ban

34、dwidth Class为Normal_Group_Bandwidth；定义名Name为Temp_Group_Bandwidth，属性为Server Side Inbound，Bandwidth Class为Temp_Group_Bandwidth。在VPM界面点击Add Rule增加七条规则，总共八条规则，第一条规则定义：在Destination栏用鼠标右键，选择Set，在弹出窗口中选择以上定义的关键业务URL，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Key_App_Bandwidth；第二条规则定义：在Service栏用鼠标右键，选择Set，在弹出窗口中选择All P2P，

35、在Action栏用鼠标右键，选择Set，在弹出窗口中选择Limit_App_Bandwidth_in；第三条规则定义：在Service栏用鼠标右键，选择Set，在弹出窗口中选择All P2P，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Limit_App_Bandwidth_out；第四条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Work_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Work_Group_Bandwidth；第五条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Management_Group，在Ac

36、tion栏用鼠标右键，选择Set，在弹出窗口中选择Management_Group_Bandwidth；第六条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择High_Level_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择High_Level_Group_Bandwidth；第七条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Normal_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Normal_Group_Bandwidth；第八条规则定义：在Source栏用鼠标右键，选择Set，在弹出窗口中选择Temp

37、_Group，在Action栏用鼠标右键，选择Set，在弹出窗口中选择Temp_Group_Bandwidth。完成定义如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。Work_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Work_Group_Policy，通过Add Rule增加两条规则。在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Client Protocol，弹出窗口如下图示：其中，选定SOCKS和All SOCKS，

38、并选择OK，完成定义。再选择New，选定Client Protocol，在弹出窗口中选定Streaming和All Streaming。在VPM菜单选择Add Rule增加两条规则，共三条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All SOCKS，在Action栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All Streaming，在A

39、ction栏用鼠标右键，选择Deny。在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Work_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。Management_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Management_Group_Policy。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Management_Group，在Actio

40、n栏用鼠标右键，选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。High_Level_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为High_Level_Group_Policy。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择High_Level_Group，在Action栏用鼠标右键，选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。Normal_Group用户组访问控制策略定义从VPM的Po

41、licy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Normal_Group_Policy。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Normal_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All Streaming，在Action栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Normal_Group，在Action栏用鼠标右键，选择Allow。在VPM菜单中点击Install Policy将策略加载到ProxySG中。Temp1_Group

42、用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Temp1_Group_Policy。在第一条规则的Services栏用鼠标右键，选择Set，在弹出的窗口中选择New，选定Client Protocol，弹出窗口如下图示：其中，选定FTP和All FTP，并选择OK，完成定义。在VPM菜单选择Add Rule增加四条规则，共五条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All SOCKS，在Act

43、ion栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All Streaming，在Action栏用鼠标右键，选择Deny。在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Services栏用鼠标右键，选择Set，在弹出的窗口中选定All FTP，在Action栏用鼠标右键，选择Deny。在第四条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Destination栏

44、用鼠标右键，选择Set，在弹出的窗口中选定New，选择URL，定义Simple Match中域名为，在Action栏用鼠标右键，选择Deny。在第五条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp1_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。Temp0_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Temp0_Group_Policy。在第一条规则中，Source栏用

45、鼠标右键，选择Set，在弹出的窗口中选择Temp0_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。Temp2_Group用户组访问控制策略定义从VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Temp2_Group_Policy。在VPM菜单选择Add Rule增加二条规则，共三条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Services栏用鼠标右键，选择Set，在弹出的

46、窗口中选定All SOCKS，在Action栏用鼠标右键，选择Deny。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Destination栏用鼠标右键，选择Set，在弹出的窗口中选定New，选择URL，定义Simple Match中域名为，在Action栏用鼠标右键，选择Deny。在第三条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择Temp2_Group，在Action栏用鼠标右键，选择Allow。完成规则定义，如下图示：在VPM菜单中点击Install Policy将策略加载到ProxySG中。IE浏览器版本检查策略从

47、VPM的Policy菜单选择Add Web Access Layer，生成Web访问控制层，名字定义为Browser_Version_Check，通过Add Rule增加一条规则，共两条规则。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择New，选择Request Header，弹出窗口如下图示：其中，Name定义为RequestHeader_IE6，在Header Name下拉框中选择User-Agent，在Header Regex中输入.*MSIE6.*，点击OK完成定义。在第一条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择RequestHeader_IE6，在Destination栏用鼠标右键，选择Set，在弹出的窗口中点击New，选择URL，定义，在Action栏用鼠标右键，选择Allow。在第二条规则中，Source栏用鼠标右键，选择Set，在弹出的窗口中选择RequestHeader_IE6，在Action栏用鼠标右键，选择Set，在弹出的窗口中选择New，并选择Deny，弹出窗口如下图示：选定Force Deny，Details提示为：Please upgrade your Browser to I