《bluecoat操作手册》由会员分享,可在线阅读,更多相关《bluecoat操作手册(86页珍藏版)》请在金锄头文库上搜索。
1、Blue CoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeBlueCoatSGOSBlue CoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOS启动Get Start开始安装BlueCoatProxySG专用设备前,先确定安装设备初始IP地址等信息的设置,并且该IP是可以通过网络可访问的,初始IP地址信息的设置是一个简单的过程,要求配置四个参数:静态静态IP地址地址IP的子网掩码的子网掩码网关网关DNS服务器服务器IP地址地址BlueCoat设备提供了两种配置这些参数
2、的方法:使用串口线通过传统的串口通讯通过SG前面板的LCD3串口方式串口方式串行电缆: DB9-f DB9-f2 - 3 (transmit - receive)3 - 2 (receive - transmit)5 - 5 (ground - ground)三次后出现以下:选择2,如果4个主要参数未配,将直接进人SetupConsole4前面板方式前面板方式在使用前面板时,步骤如下:Enter按钮:模式之间转换和存储变化的配置Menu按钮:从模式返回,并Cancel变化的配置按Enter按钮切换到配置模式,检查LCD中光标形状按Up或Down按钮,来修改LCD上可修改的四个参数按Enter按
3、钮切换到Edit模式,检查LCD中光标的形状按Left或Right箭头按钮,移动数字下的光标到需修改的参数按Up或Down箭头按钮来改变数字重复步骤四和五修改每个参数的数字按Enter按钮存储修改的值,并回到配置模式为每个可配置参数重复以上步骤LCDMenu可以配置:Interface0:IP地址掩码缺省网关DNSconsolepasswordenablepasswordsecureserial(Yes/No)5Blue CoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOSGUI及基本配置GUI:https:/x.x.x.x:8
4、082JAVAGUI界面可以从任何系统方便地进行访问Browser:IE5.0&6.0(SP1orlater),Netscape4.7(4.78orlater)&7.1OS:Windows98,NT4.0(SP6orlater),2000(SP2orlater),XP(SP1a)JRE for Policy Manager:1.4.2或1.5的版本Notes:浏览器可能缓存了Java(如果有问题,点击Refresh或清除浏览器缓存)JAVA是会被代理的,在测试和管理时,浏览器不要设置代理建议在访问该页面时,等状态栏中指示所有Java类下载结束后,再进行后续操作Java界面有可能要求在输入一次用
5、户名和密码7GUI首页首页进入管理界面用户端浏览器配置建议网站链接网站链接产品型号IP地址(Int0)软件版本硬件序列号8General配置配置 设备名定义时钟定义配置备份/恢复可以修改设备名序列号不可修改9时钟设置时钟设置 显示UTC时间显示本地时间选择时区中国:8启动NTP对时对时间隔立即对时暂停时钟对时服务器设置如果要手动修改时钟,必须停止NTP对时,并暂停时钟,然后进行修改10对时服务器设置对时服务器设置 对时服务器增加修改删除上移下移尽量使用本地的对时服务11配置备份及恢复配置备份及恢复 选择配置类型显示配置选择配置安装方式安装配置12选择配置类型选择配置类型PostSetup:当前
6、所有配置,包括从console配置的,和List配置的Brief:所有从console配置的设置,不包括从List配置的Expanded:最完整的配置,包括系统专用的部分,无法放到其它系统ResultsofConfigurationLoad:上次加载配置的结果13选择配置安装方式选择配置安装方式本地文件方式文本编辑方式14Network配置配置 网卡配置路由配置DNS配置高级配置15网卡配置网卡配置 选择网卡选择网卡接口部分网卡有多接口IP地址子网掩码网桥配置网卡接口高级配置16网卡接口高级配置网卡接口高级配置接受Inbound连接拒绝Inbound连接将拒绝用网络发起到该接口的连接,包括管理
7、端口的请求,只有使用多端口时才选用网口自适应手工配置网口参数双工/半双工选择Speed选择MAC地址改变浏览器提示(在首页)17改变浏览器提示改变浏览器提示直接设定ProxyIP使用SG中缺省的PAC文件进行Proxy设置使用加速的PAC文件进行Proxy设置使用URL指定的PAC文件进行代理设置用户端浏览器配置建议18PAC文件文件Default PAC file, URL: https:/x.x.x.x:8082/proxy_pac_filefunctionFindProxyForURL(url,host)if(url.substring(0,5)=http:)returnPROXY192
8、.168.1.95:8080;DIRECT;elseif(url.substring(0,6)=https:)returnPROXY192.168.1.95:8080;DIRECT; elseif(url.substring(0,4)=ftp:)returnPROXY192.168.1.95:8080;DIRECT; elsereturnDIRECT;Accelerated Pac File, URL: https:/x.x.x.x:8082/accelerated_pac_base.pac通过inlineaccelerated-pac命令,可以设置该PAC文件19路由配置路由配置 Gatew
9、ays配置静态路由配置RIP配置20Gateways配置配置已有Gateway生成编辑编辑删除启动IPForwardingGateway编辑界面:由New和Edit生成Gateway的IP地址分组号越小优先级越高,高优先级的Gateway全部失效,才选用低优先级的权重:按权重比例分配负载21静态路由配置静态路由配置选择静态路由设置方式URL本地文件文本编辑安装显示路由表显示源路由设置文件静态路由表是一个文本文件,每行包含:IP地址、子网掩码、网关IP,例如:192.168.1.0255.255.255.0192.168.1.122DNSDNS配置配置 名字添加查询已有DNS服务器设置生成编辑删
10、除上移下移Primary/Alternative选择23查问第一个Primary DNS Server返回结果为IP地址?获得IP地址Yes查问第一个Alternate DNS Server是否定义了Alternate ?Yes无法解析No返回结果为域名不存在?NoYes无出错、无应答?NoYes返回结果为IP地址?YesNo按顺序查问后面的Primary DNS ServerNoSplit DNS的应用需使用Primary和Alternate DNS ServerDNS服务器使用次序服务器使用次序24Attack Detection配置配置为减少DDOS攻击和端口扫描的影响,SG能够限制从同
11、一ClientIP来的并发连接数,也可以限制到超载的服务的并发连接数只能通过命令行配置:enableconftattack-detectionclientservercreateclientip_address or ip_and_length createhostnameedithostnameaddhostnameremovehostnamerequest-limit25Services定义定义 一个Service将为一种协议产生一个侦听的端口和IP地址Service=Protocol+IP(InterfaceIP,VIP,orAll)+Port+Attribute(s)同一端口上的多个S
12、ervice可以生成在不同的IP上Service名代理协议IP地址SOCKSProxy参数Intercept/Bypass26ServicesServices定义修改定义修改属性:Explicit:指定代理Transparent:透明代理Authenticate-401:服务器认证响应Send-Client-IP:用ClientIP到源站点取信息,要求网络配合27策略策略配置配置 PolicyOptions:策略选项PolicyFiles:策略文件,所有策略配置均在系统中对应到一个策略文件,该选项包括对文件方式的配置和备份、恢复等VisualPolicyManager:可视化策略管理器,通过可
13、视化界面配置访问控制策略Exceptions:修改缺省的出错页面28策略选项策略选项策略执行次序(越前面优先级越低)上移下移缺省策略设置跟踪所有策略执行(用于Debugging)29BlueCoat策略结构File1Layer1Rule1Layer2Rule1Rule2Rule3File2Layer1Rule1Rule2File3File4Layer = ACL第一个规则匹配第一个规则匹配 = 进入下一层进入下一层可能有多条规则匹配最后一个规则获胜最后一个规则获胜策略说明策略说明30策略选项策略选项策略执行次序(越前面优先级越低)上移下移缺省策略设置跟踪所有策略执行(用于Debugging)3
14、1跟踪策略执行跟踪策略执行start transactionstart transaction CPL Evaluation Trace: MATCH: authenticate(islandldap) MATCH: ALLOW condition=realstreams condition=GROUP2 MATCH: condition=realstreams condition=GROUP2 max_bitrate(700K) MATCH: trace_request(yes) trace_rules(yes) trace_destination(trace.html)trace_requ
15、est(yes) trace_rules(yes) trace_destination(trace.html) connection: client_address=192.168.0.196 proxy_port=1091 time: 2002-03-29 10:02:45 UTC request: RTSP_PLAY rtsp:/192.168.0.138/rush.rm user: name=user0.internetuser0.internet realm=islandldap Auth-Required realm=proxy_realmislandldap (basic) Set
16、-Max-Bitrate: 700000 end transaction end transaction 32策略文件策略文件VPM文件管理策略文件安装Central文件变化时自动安装Central文件变化时Email通知显示当前策略文件(可以在显示窗口存为文本)安装方式33可视化策略管理器可视化策略管理器VPMVPM该页面将启动JRE,如果没有JRE环境,浏览器将自动从网络下载安装启动34VPM管理界面管理界面安装策略文件改变Layer次序35VPMPolicy菜单菜单AdminAuthenticationLayer:管理员用户认证层,定义更多的管理员用户AdminAccessLayer:管
17、理员访问控制层,控制管理员访问的权限DNSAccessLayer:DNS访问控制层,如果设置该ProxySG为DNS服务器时,可以控制域名解析SOCKS Authentication Layer:用户SOCKS代理访问时的用户认证定义Web Authentication Layer:用户Web代理访问时的用户认证WebAccessLayer:用户Web访问控制层WebContentLayer:Web访问内容控制层,控制ProxySG到源服务器获取内容的方式ForwardingLayer:转发控制层,可以根据条件设定将用户访问请求转发到指定目标的策略。生成策略层36VPMWeb Authenti
18、cation Layer其中:缺省生成一条策略,为从任何源(Source:Any)到任何目标(Destination:Any)不做控制(Action:None)。37VPMSOCKS Authentication Layer其中:缺省生成一条策略,为从任何源(Source:Any)不做控制(Action:None)。38VPMWeb Access Layer每个每个Web访问控制策略由:访问控制策略由:源源、目标目标、服务服务、时间时间和和操作操作五部分组成五部分组成 39VPMWeb Access LayerSource定义定义40VPMWeb Access LayerDestination
19、定义定义41VPMWeb Access LayerService定义定义42VPMWeb Access LayerTime定义定义43VPMWeb Access LayerAction定义定义44出错页面出错页面45Blue CoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOS维护和统计维护维护普通维护OS升级Licensing事件日志设置SNMP设置Heartbeats设置CoreImages设置Service信息采集47普通维护普通维护 选择软件启动选择硬件启动转换系统重启动恢复缺省设置删除DNS缓存删除系统缓存(采用时间标
20、签的方式实现)48Service信息定义信息定义 发送系统信息“快照”“抓包”49发送系统信息发送系统信息ServiceRequestNumber(将故障报到,将获得一个Number,来跟踪整个过程)发送自动发送50“快照快照”51“抓包抓包”开始抓包停止下载显示统计抓包过滤大小抓Bridge的包抓所有包第几次满足条件,开始抓包第几次满足条件,停止抓包52统计统计53TrafficMix报告报告 54TrafficHistory报告报告 55ProtocolDetail报告报告 56System报告报告 57ActiveSessions报告报告 58Authentication报告报告 59A
21、dvanceURLhttps:/x.x.x.x:8082/SYSInfo60定义出错页面BlueCoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOffice出错页面定义出错页面定义ProxySG已经内置多个出错页面可以通过管理界面定义个性化的出错页面通过策略定义,不同的情况选择不同的出错页面出错页面采用HTTP语法进行定义62生成出错页面生成出错页面通过console界面,定义出错页面,命令如下:EnableConftExceptionsCreatemy_denyEditmy_denyInlinehttpformat其中,my_deny为出错页
22、面名,在Policy中引用为出错页面内容63出错页面内容举例出错页面内容举例RedirectorYourrequestwillnowberedirectedtoyourrequestedsite.document.write();以下出错页面将请求转向到可通过前述inline命令定义为my_deny的内容。64通过策略选用定义的出错页面通过策略选用定义的出错页面在VPM的WebAccess策略中,需要使用定义的出错页面进行DENY时在Action栏中,使用鼠标右键,选择Set/New/ReturnExceptions在弹出窗口中,选定User-definedexception:,并选择my_d
23、eny。点击OK完成定义该定义可以通过弹出窗口中定义的Name,被其他策略引用。65Blue CoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOS带宽管理策略带宽限制策略配置带宽限制策略配置定义带宽类定义带宽类建议将工具下载、流媒体等大流量的通讯限制在指定带宽范围类,初始为30Mbps,以后可以根据带宽状况进行调整。定义带宽类:SG的web管理界面configuration/bandwidthmanagement/BWMClasses进入定义页面,定义一个带宽类,名字为limit,最大带宽30Mbps,优先级为3,如下图示:67
24、带宽限制策略配置带宽限制策略配置定义带宽控制策略定义带宽控制策略delete_on_abandonment(yes)url.scheme=httpcondition=Limitlimit_bandwidth.server.inbound(limit)url.domain=denyurl.domain=denyurl.domain=http.server.recv.timeout(80)defineconditionNO_or_LARGE_CONTENT_LENGTHresponse.header.Content-Length=!response.header.Content-Length=!0
25、-91,6$endconditionNO_or_LARGE_CONTENT_LENGTHdefineconditionMEDIA_MIME_TYPESresponse.header.Content-Type=video/response.header.Content-Type=application/streamingmediaresponse.header.Content-Type=application/x-streamingmediaresponse.header.Content-Type=application/vnd.rnresponse.header.Content-Type=ap
26、plication/oggresponse.header.Content-Type=application/x-oggresponse.header.Content-Type=audio/response.header.Content-Type=multipart/x-mixed-replaceendconditionMEDIA_MIME_TYPESdefineconditionByte_rangerequest.header.Range=bytes.*endByte_rangedefineconditionVIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH
27、condition=NO_or_LARGE_CONTENT_LENGTHcondition=MEDIA_MIME_TYPESendconditionVIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTHdefineconditionLimitcondition=VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTHcondition=Byte_rangeendconditionLimit该策略将对下载超过1M大小、下载工具使用的续传、视频及语音信息访问进行带宽限制屏蔽迅雷相关的域名:在原策略中,没有屏蔽68带宽限制策略配置带宽限制
28、策略配置带宽控制策略安装带宽控制策略安装从Web管理界面configuration/Policy/Policyfiles进入,选择Localpolicies的安装方式为TextEditor,如下图示:请将弹出窗口中的原策略备份下来,以便以后启动AV扫描时使用用上一页的策略覆盖窗口中的所有内容然后Install69用户认证介绍BlueCoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOffice用户认证类型用户认证类型BlueCoatSG 安全Console访问物理访问(frontpanel,serialport)BlueCoatSG用户认证在允许
29、访问前确认用户资源认证请求71Blue Coat SG安全安全控制对SG专用设备的访问根据IP地址或地址范围进行限制配置终端的Password保护前面板操作的PIN串口访问的Password保护基于角色的安全控制使用基于认证域的认证细粒化的操作选择72VPMAdmin Authentication Layer认证系统管理员73VPMAdmin Access Layer74用户认证用户认证基于用户和用户分组的策略细粒化的报告管理提示页面75指定代理用户认证指定代理用户认证76常见问题常见问题1:AccessLogTailThecurrenttimeisTueJul22,200809:42:11U
30、TC#Software:SGOS4.2.4.1#Version:1.0#Start-Date:2008-07-2209:42:11#Date:2008-07-0408:25:29#Fields:datetimetime-takenc-ipcs-usernamecs-auth-groupx-exception-idsc-filter-resultcs-categoriescs(Referer)sc-statuss-actioncs-methodrs(Content-Type)cs-uri-schemecs-hostcs-uri-portcs-uri-pathcs-uri-querycs-uri-
31、extensioncs(User-Agent)s-ipsc-bytescs-bytesx-virus-id#Remark:(notavailable)192.168.1.98-BlueCoatSG1102008-07-2209:42:364448192.168.1.140-authentication_failedPROXIEDNews/Media-407TCP_DENIEDGET-80/-Mozilla/4.0(compatible;MSIE7.0;WindowsNT5.1)192.168.1.9810817892008-07-2209:43:001654192.168.1.140test1
32、-PROXIEDSearchEngines/Portalshttp:/ :starttransaction-CPLEvaluationTrace:transactionID=1137MATCH:ALLOWMATCH:authenticate(ad)authenticate.force(no)authenticate.mode(proxy-ip)MATCH:socks.authenticate(ad)socks.authenticate.force(no)MATCH:response.raw_headers.tolerate(continue)connection:client.address=
33、192.168.1.60proxy.port=8080time:2008-07-2305:33:06UTCCONNECTtcp:/61.151.247.212:8601/RDNSlookupwasunrestricteduser:unauthenticatedEXCEPTION(bad_credentials):Requestcouldnotbehandledurl.category:nonestoptransaction-81检查检查PCAP :被Deny时:用户名:test1,密码:test123正常的HTTP访问:用户名:test1,密码:test123正常的HTTP访问:用户名:test2,密码:test123482Workaround:对特定端口不做用户认证对特定端口不做用户认证83Workaround:采用采用Socks代理方式代理方式1、Socks是非Web应用通过代理的常用方式2、“同花顺”可能会跳出很多认证窗口3、“同花顺”会调用IE的模块获取一些控件4、需要设置全部通过Socks代理84Workaround:选择基于选择基于IP的认证方式的认证方式“同花顺”中不能再设置用户名和密码85
