收藏
下载资源

BlueCoat互联网代理安全网关功能需求文档

上传人:s9****2 文档编号:432465595 上传时间:2023-11-11 格式:DOC 页数:48 大小:1.92MB
返回 下载 相关 举报
BlueCoat互联网代理安全网关功能需求文档_第1页
第1页 / 共48页
BlueCoat互联网代理安全网关功能需求文档_第2页
第2页 / 共48页
BlueCoat互联网代理安全网关功能需求文档_第3页
第3页 / 共48页
BlueCoat互联网代理安全网关功能需求文档_第4页
第4页 / 共48页
BlueCoat互联网代理安全网关功能需求文档_第5页
第5页 / 共48页
点击查看更多>>
资源描述

《BlueCoat互联网代理安全网关功能需求文档》由会员分享,可在线阅读,更多相关《BlueCoat互联网代理安全网关功能需求文档(48页珍藏版)》请在金锄头文库上搜索。

1、互联网代理安全网关功能需求文档2011年1月目 录一、 安装设备及安装环境41.1 实施设备清单41.2 实施拓朴结构图4二、 实施步骤52.1 物理连接52.2 初始IP地址配置52.3 远程管理软件配置52.4 网络配置62.4.1 Adapter 1地址配置62.4.2 静态路由配置72.4.3 配置外网DNS服务器92.4.4 配置虚拟IP地址92.4.5 配置Fail Over102.5 配置代理服务端口122.6 配置本地时钟132.7 配置Radius认证服务132.8 内容过滤列表定义及下载162.9 定义病毒扫描服务器182.10 带宽管理定义222.11 策略设置232.1

2、1.1 配置DDOS攻击防御232.11.2 设置缺省策略为DENY232.11.3 配置Blue Coat Anti-Spyware策略242.11.4 访问控制策略配置-VPM252.11.5 病毒扫描策略配置252.11.6 用户认证策略设置272.11.7 带宽管理策略定义292.11.8 Work_Group用户组访问控制策略定义342.11.9 Management_Group用户组访问控制策略定义362.11.10 High_Level_Group用户组访问控制策略定义362.11.11 Normal_Group用户组访问控制策略定义372.11.12 Temp_Group用户组

3、访问控制策略定义372.11.13 IE浏览器版本检查策略392.11.14 DNS解析策略设置41一、 安装设备及安装环境1.1 实施设备清单Bluecoat安全代理专用设备SG60010一台,AV510-A一台,BCWF内容过滤,MCAFEE防病毒,企业版报表模块。1.2 实施拓朴结构图Bluecoat设备SG600-103配置于内网,AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种,网络示意结构如下图:旁路模式:二、 实施步骤2.1 物理连接两台Bluecoat SG8002的Adapter0_Interface 0和Adapter1_Interface0

4、通过以太网双绞线连接于两台Radware CID交换机。2.2 初始IP地址配置通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为:第一台SG8002:191.32.1.9(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)第二台SG8002:191.32.1.11(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)2.3 远程管理软件配置Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理,浏览器管理端口为8082,管理

5、用的PC机需安装了Java运行环境。管理界面的URL为:https:/191.32.1.9:8082和https:/191.32.1.11:80822.4 网络配置在xxxxx网络环境中,(1)ProxySG800-2两个端口均需配置IP地址;(2)除缺省路由指向防火墙,还需一条静态路由,作为内网通讯的路由,(3)配置外网DNS,以便ProxySG到互联网的访问,(4) 每台另外需要一个虚拟IP地址,作为内部员工的DNS解析服务器IP地址;(5)对虚拟IP地址配置Fail Over,当一台ProxySG停止工作,其虚拟IP将切换到另外一台。2.4.1 Adapter 1地址配置从Web管理界面

6、Management Console/Configuration/Network/Adapter进入,在Adapters下拉框中选择Adapter1,并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码,如下图示:第一台ProxySG800-2的IP地址为:191.32.1.10,掩码:255.255.255.224第二台ProxySG800-2的IP地址为:191.32.1.12,掩码:255.255.255.224点击Apply使配置生效。2.4.2 静态路由配置从Web管理界面Management Co

7、nsole/Configuration/Network/Routing进入,在窗口上部选项中选择Routing,并在Install Routing table from下拉框中选择Text Editor,如下图示:点击Install,并在弹出窗口中输入静态路由:191.0.0.0 255.0.0.0 191.32.1.5 如下图示:点击Install使配置生效。2.4.3 配置外网DNS服务器从Web管理界面Management Console/Configuration/Network/DNS进入,如下图示:点击New增加外网DNS服务器IP地址,并点击Apply使配置生效。2.4.4 配置

8、虚拟IP地址从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择VIPs,如下图示:点击New配置虚拟IP地址,并点击Apply使配置生效。第一台ProxySG800-2的虚拟IP地址为:191.32.1.13第二台ProxySG800-2的虚拟IP地址为:191.32.1.142.4.5 配置Fail Over从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择Failover,如下图示:点击New配置Failover

9、组,如下图示:在弹出窗口中,选择Existing IP,并在下拉框中选择已定义的虚拟IP地址:191.32.1.13(第一台ProxySG800),191.32.1.14(第二台ProxySG800),在Group Setting中,选择Enable,并在Relative Priority中选中Master,点击OK完成配置。并点击Apply使配置生效。点击New配置另一个Failover组,如下图示:在弹出窗口中,选择New IP,指定虚拟IP地址:191.32.1.14(第一台ProxySG800),191.32.1.13(第二台ProxySG800),在Group Setting中,选择

10、Enable,点击OK完成配置。并点击Apply使配置生效。2.5 配置代理服务端口在xxxxx网络中ProxySG将提供HTTP(80端口)、SOCKS(1080端口)、DNS(53端口)的代理服务,其它通讯如:MSN、流媒体等均通过HTTP或SOCKS代理实现。从Web管理界面Management Console/Configuration/Services/Service Ports进入,如下图示:其中,SSH-Console(22)、Telnet-Console(23)、HTTP-Console(8081)是为系统管理提供服务的端口,可以根据网络管理要求选择是否开放;DNS-Proxy

11、(53)、HTTP(80)和SOCKS(1080)必须Enable(Yes),并且包括Explicit属性,HTTP(80)需要包括Transparent属性。并点击Apply使配置生效。2.6 配置本地时钟从Web管理界面Management Console/Configuration/General/Clock进入,如下图示:选择本地时钟定义为8区,并点击Apply使配置生效。2.7 配置Radius认证服务互联网访问用户将采用Radius进行用户认证,用户分组通过Radius的属性进行定义,分组与属性对应关系如下:工作组Login(1)管理组Framed(2)高级组Call Back l

12、ogin(3)普通组Call Back Framed(4)临时组Outbound(5)从Web管理界面Management Console/Configuration/Authentication/RADIUS进入,如下图示:点击New生成RADIUS配置,在弹出窗口中定义Radius服务器地址,如下图示:其中,Real Name定义为RADIUS,Primary server host中定义RADIUS服务器IP地址:191.32.1.22(暂定),Port为1812,Secret为RADIUS中定义的通讯密码;点击OK完成定义。并点击Apply使配置生效。注:Port和Secret的定义必

13、须与RADIUS服务器中定义保持一致。如需定义备份的RADIUS服务器,在上部选项中选择RADIUS Servers,如下图示:在Alternate Server定义中,定义备用的RADIUS服务器IP地址,及通讯密码。从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入,如下图示:其中,Method选定IP,在IP TTL中定义240分钟(4个小时),用户认证一次将保持4小时;并点击Apply使配置生效。2.8 内容过滤列表定义及下载在ProxySG中加载Blue Coat分类列表作为互联网访问

14、控制及Anti-Spyware策略的基础。从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat进入,如下图示:输入用户名/密码,选择Force Full Update,并点击Apply使配置生效,然后点击Download Now开始下载分类列表库。分类列表下载结束后(第一次下载超过80Mbypes数据,所需时间与网络和带宽有关),定义自动下载更新,在上部选项中选择Automatic Download,如下图示:其中:选择每天UTC时间下午4:00(本地时间晚上12:00)自动下载更新,并点击Apply使配置生效。

15、启动动态分类模式,在上部菜单选择Dynamic Categorization,如下图示:选择Enable Dynamic Categorization和Categorize dynamically in the background,并点击Apply使配置生效。选定使Blue Coat分类列表生效,从Web管理界面Management Console/Configuration/Content Filtering/General进入,如下图示:选定Use Blue Coat Web Filter,并点击Apply使配置生效。2.9 定义病毒扫描服务器对所有通过ProxySG的HTTP、FTP通讯进行病毒扫描,病毒扫描服务器采用McAfee,ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。从Web管理界面Manag

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号