BlueCoat代理服务器配置指南
Bluecoat 代理、缓存解决方案
Blue Coat公司简介
• 成立于1996年,专注于Web加速(Acceleration)
– – 加速Web应用…加速互联网应用 创新的代理缓存专用设备,含并行对象获取、自适应主动更新等专利技术
•
2002年扩展Web安全及策略控制(Policy Control & Security)
– 高性能引擎及丰富的策略架构使Web活动可见,从而控制用户、内容、及应用
• 由于不能理解应用,因此不能预防或发现常用 的钓鱼技术
传统的URL过滤不能防止带宽滥用
• 不足的方面…
– 屏蔽了对业务有用的内容 – 在阻挡P2P、Skype、流媒体视频URL等 方面不够有效 – 不能根据应用进行带宽整形或带宽管理
一句话,解决方案应该是…
“Dynamic”
具备动态特征的体系= 最高程度的覆盖面
剖析网页
•一个网页由多个Object组成
•Object由URL指定
并行获取技术(Pipelining) CacheOS 的对象 Pipelining
TM
2sec
After parsing After parsing
7.25sec
Internet
基于对象的存储——专为缓存而设计
•高负载下快速磁盘访问
1. 企业用户访问URL 2. Blue Coat SG 利用 本地的BCWF 评估 URL,其中的94%能在 不到8ms内完成 3. 前一天夜里分类过的URL可在 70ms内评估完成 Internet
BCWF
4. 98+% 的未分类 不良站点由DRTR 进行分类,一般情况 下不到 <200ms
Local BCWF
Source: Gartner
BluecatDNSUserGuideV1.0.1
BluecatDNSUserGuideV1.0.1 Bluecat DNS User GuideBluecat DNS⽤户配置⼿册Document No: Bluecat-20140620VERSION: 1.0Modify Date: 2014/06/202014-8-12 Bluecat机密,未经许可不得扩散第1页, 共70页⽬录⽬录 (2)1 DNS简介 (5)1.1DNS概述 (5)1.2DNS组⽹ (6)1.2.1 主辅DNS组⽹(Master & Slave) (6)1.2.2 Cache DNS组⽹ (8)1.2.3 DNS Anycast⽅式组⽹ (9)1.2.4 DNS XHA组⽹ (10)1.3Bluecat版本信息 (12)2 硬件安装 (13)2.1认识硬件 (13)2.1.1 Adonis系列前⾯板 (13)2.1.2 Adonis系列后⾯板 (13)2.1.3 Proteus系列前⾯板 (13)2.1.4 Proteus系列后⾯板 (14)接⼝说明 (14)2.22.3BlueCat DDI解决⽅案简介 (15)2.3.1 DDI架构 (15)2.3.2 Proteus 对象结构说明 (15)2.3.3 防⽕墙端⼝设定: (17)3 CLI基础配置 (18)2014-8-12 Bluecat机密,未经许可不得扩散第2页, 共70页CLI概述 (18)3.13.2IP/Network配置 (19)3.3时间配置 (20)3.4设备名称配置 (21)Adonis no-proteus-control设置 (21)3.53.6Proteus管理平台的HTTPS/HTTP配置 (22)3.7开启独⽴⽹管接⼝Eth2 (23)开启Querylog功能 (24)3.83.9其它常⽤CLI配置 (25)4 Proteus常规配置 (28)4.1Proteus 配置过程概述 (28)WEB登录Proteus GUI管理配置接⼝ (28)4.24.3创建配置⽂件 (29)4.4添加Adonis Server (31)4.5开启SNMP监控功能 (32)4.6添加DNS View、Zone、资源记录(RR) (35)4.7创建其他常⽤资源记录 (38)4.8更新资源记录以及快速部署(Quick Deploy) (40)4.9指定DNS Deployment Roles (42)添加DNS Deployment Option (43)4.104.11DNS配置部署 (44)4.12DNS 反向解析 (45)5 DNS组⽹配置 (48)5.1组⽹前的配置 (48)5.2主辅DNS组⽹(Master & Slave)配置 (48)5.3Cache DNS组⽹ (49)5.4DNS Anycast⽅式组⽹ (50)5.4.1 前期配置 (50)2014-8-12 Bluecat机密,未经许可不得扩散第3页, 共70页5.4.2 Adonis Anycast配置 (50)5.4.3 路由器Anycast配置 (52)5.5DNS XHA组⽹ (53)6 Proteus系统⽇常管理 (56)6.1My IPAM (56)Adonis Server运⾏情况 (57)6.26.3⽇志查看 (58)6.3.1 ⽤户会话⽇志 (58)6.3.2 管理操作⽇志 (59)6.3.3 查看DNS query历史记录 (60)6.4配置恢复(Data Restore) (60)6.5数据库管理 (61)6.5.1 数据库备份与恢复 (61)6.5.2 历史信息归档 (63)6.5.3 数据库重排序(Re-Index) (64)7 附件1:DNS Deployment Options (65)2014-8-12 Bluecat机密,未经许可不得扩散第4页, 共70页2014-8-12Bluecat 机密,未经许可不得扩散第5页, 共70页1DNS 简介DNS 概述1.1 DNS 是域名系统 (Domain Name System) 的缩写,它是由解析器和域名服务器组成的。
Blue Coat使用入门
Blue Coat 产品配置及使用入门北京东华合创数码科技股份有限公司李东2007年12月目录一、SG初始化配置 (3)1.1使用console线登录SG (3)1.2配置SG端口属性 (4)1.3console 管理SG (6)二、SG注册 .....................................................错误!未定义书签。
2.1登录webpower ..........................................................错误!未定义书签。
2.2产品注册向导............................................................错误!未定义书签。
2.3通过web浏览器导入license ...................................错误!未定义书签。
三、使用WEB 浏览器管理SG (8)3.1Web browser 登录SG (8)3.2认识SG Configuration (10)3.3认识SG Maintenance (13)3.4认识SG Statistics (13)四、SG REPORTER 使用入门 (15)4.1SG 的配置 (15)4.2认识Reporter (19)4.3使用Reporter (20)4.3.1Access-log来源于本地/远地(FTP)硬盘配置 (20)4.3.2进入创建的模板 (23)4.4配置和SG进行实时Access-log通信 (24)4.4.1点击Create New Data Profile ,创建新的模板: (24)4.4.2进入创建的模板 (26)五、SGCLIENT使用入门 ..................................错误!未定义书签。
5.1配置SG ......................................................................错误!未定义书签。
bluecoat 操作说明
正向代理Bluecoat配置最佳实践For SGOS V4.X第七版Bluecoat公司2009年4 月本文档的目的是通过正确的配置及测试步骤,使Blue Coat SG在正向代理测试中达到最佳的效果。
其中包括企业用显式代理和运营商带宽增益类透明代理的测试中达到最佳效果。
建议凡是碰到以运营商带宽节省为目的的测试,严格按照本文档描述的步骤。
文档修订历史目录一、SG配置关于WEB-CACHE基本配置 (5)1.1关于部署方式 (5)1.2关于操作系统版本 (5)1.3基本配置步骤 (5)二、如何调整SG性能和增益效果 (11)2.1在大流量情况下并发处理的优化 (11)2.2避免带宽负增益的最佳测试步骤 (14)2.3执行Cache充满 (14)2.4视频强制缓存 (15)2.5强制缓存没有缓存标记的流量 (17)2.6强制缓存微软的升级包 (17)2.7禁止所有包含Range: bytes header的请求(可选) (18)2.8关于Blue Coat带宽增益统计数据 (18)2.9DNS配置 (18)2.10强制缓存下载网站 (23)2.11消除Trust Destination IP对缓存影响 (25)2.12消除缓存内容过期 (26)三、查看增益效果 (26)四、如何分析流量进而优化 (29)4.1通过日志分析 (29)4.2通过Policy Trace分析 (31)4.2.1增加额外的策略+Trace (31)4.2.2打开策略Trace页面进行分析 (32)4.3检查DNS Worker (32)五、SG透明缓存环境QQ的运行 (34)六、SG和游戏及特定应用的兼容性问题的解决 (37)6.1透明代理下保证游戏能够通过SG访问 (37)6.1.1Reflect-Client-IP保证游戏服务器的认证和记录不出问题 (37)6.1.2保证联众游戏访问可以通过 (39)6.1.3设置MTU保证游戏访问通过 (39)6.2显式代理下保证MSN能够通过SG访问 (39)七、SG压力过载的保护策略 (40)7.1SG流量过载保护策略 (40)7.2CPU突发过载的保护策略 (43)八、C/S软件通过SG代理 (45)8.1Default policy Allow 和CPL中的Allow的区别 (45)8.2保证典型的C/S应用通过代理服务器能够访问 (48)8.3不支持代理的C/S软件通过SG上网的方式 (51)8.4设定放宽HTTP协议的容忍度 (52)九、飞信通过SG代理用户认证的配置 (52)一、SG配置关于Web-Cache基本配置1.1 关于部署方式Bluecoat 的SG-Web-Cache可以通过如下方式部署在网络当中:1.网桥部署方式2.通过WCCP部署方式3.通过L4的设备部署1.2 关于操作系统版本Bluecoat V4最新推荐版本是SG V4.2.8.6或4.2.9.11.3 基本配置步骤设备的基本配置步骤如下:1. STEP-1(测试前最好配置恢复为出厂配置,避免未知的问题)通过Console进入SG后—enable 进入—恢复出厂配置命令restore-defaults factory-defaults或reinitialize—初始配置设备的基本参数(IP,GW,DNS等)2. STEP-2通过HTTPS://SG-IP:8082进入SG的图形界面,进入maintenance->license->View,确认系统的License是否有效如果Licesne过期需要安装Licesne文件3. STEP-3确认设备的时钟(系统时间),由于是Cache设备,系统对时间的要求很高,需要尽可能调准系统时间,并设置适合的Local Time Zone,也可以通过NTP协议和NTP服务器自动同步。
BlueCoat Proxy SG 硬件指标参数与选型指南
Proxy Edition SG 硬件平台指标参数Model CPU RAM HDD Included OptionCards SWGBWWAN BW ConcurrentConnectionsMax SimultaneousIPsProxy SG210-5Single512M80GB (IDE)2xPT2512K1050 Proxy SG210-10Single1GB250GB IDE SSL, 2xPT6250150 Proxy SG210-25Single1GB250GB IDE SSL, 2xPT62Unlimited UnlimitedProxy SG510-5Single1GB2x80GB SATA none20250200 Proxy SG510-10Single2GB2x350GB SATA SSL, 2xPT3412100500 Proxy SG510-20Single2GB2x350GB SATA SSL, 2xPT34123001200 Proxy SG510-25Single2GB2x350GB SATA SSL, 2xPT3412Unlimited UnlimitedProxy SG810-5Single2GB2x73GB SCSI none45125002500 Proxy SG810-10Dual4GB2x300GB SCSI SSL, 2xPT90307003500 Proxy SG810-20Dual6GB4x300GB SCSI SSL, 2xPT1554510005000 Proxy SG810-25Dual6GB4x300GB SCSI SSL, 2xPT15545Unlimited UnlimitedProxy SG8100-5Single4GB2x300GB SCSI2xGigE9030Unlimited UnlimitedProxy SG8100-10Single6GB4x300GB SCSI SSL, 4xPT15552Unlimited UnlimitedProxy SG8100-20Dual8GB8x300GB SCSI SSL, 4xPT25090Unlimited UnlimitedAVAV510-A1x2.0Ghz P41Gb1x80Gb SATA 2 x 10/100/1000 Base-T1000AV810-A1x2.8Ghz Xeon2Gb2x73Gb SCSI 2 x 10/100/1000 Base-T1000-4000AV810-B2x2.8Ghz Xeon3Gb2x73Gb SCSI 2 x 10/100/1000 Base-T4000-8000RARA510-A1x2.0Ghz P41Gb1x80Gb SATA 2 x 10/100/1000 Base-T1000RA810-A1x2.8Ghz Xeon2Gb2x73Gb SCSI 2 x 10/100/1000 Base-TRA810-B2x2.8Ghz Xeon3Gb2x73Gb SCSI 2 x 10/100/1000 Base-TDIRECTORDIRECTOR-5101x2.0Ghz P41Gb1x80Gb SATA 2 x 10/100/1000 Base-T注意:1、表中的HTTP性能是正向代理性能,如果作为CDN或反向代理使用,通常性能会提升一倍2、建议用户数为作Internet网关(正向代理情况下)单台设备支持的并发用户数3、吞吐量指的是作Internet网关(正向代理情况下)典型的数据输出能力4、如果在Internet网关上增加AV防病毒业务,用户数和吞吐量要按减少大约三分之一算.5、如果在Internet网关上增加内容过滤业务,用户数要按减少大约三分之一算.6、由于AV环境较复杂,建议咨询Bluecoat或者SINOGRID 战略产品部7、Director是内容分发设备和集中网管设备Blue Coat 若有不详之处请与我们联系。
BlueCoat_公司和产品简介
Blue Coat资料目录Blue Coat公司规模、服务、培训等综合实力 (2)Blue Coat公司概况 (2)SWG安全Web网关产品线 (2)24X7“日不落”全球技术服务支持能力 (3)Gartner眼中Blue Coat的综合实力 (3)Blue Coat培训与认证 (4)Blue Coat公司产品研发与技术支持能力 (5)ProxySG代理服务器产品成熟度 (5)产品销售的全球业绩 (5)客户的评价 (6)典型客户列表 (7)业界的评价 (7)全球超过2800名技术合作伙伴 (7)Blue Coat 公司产品技术的先进性 (8)备受业界认可的技术领先实力 (8)13年网络应用层协议的深入分析和网络应用的长期经验积累 (8)15,000位客户案例证明的高性能可扩展代理服务器架构 (8)业内享有声誉的深入探知网络应用的第七层(L7)数据流监控 (9)与外部URL过滤(Websense等)和防病毒扫描对接的成熟接口 (9)强大的专业中文日志统计报表能力 (9)近两年ProxySG产品的获奖情况 (10)Blue Coat公司规模、服务、培训等综合实力Blue Coat公司概况Blue Coat Systems(NASDAQ: BCSI)于1996年成立,1999年成为上市公司,旨在为企业客户提供Web通讯安全防护,并保障和加速企业内部关键业务应用。
作为应用交付网络技术的领导者,Blue Coat 的产品和解决方案(部署于分布式企业的数据中心、分公司、互联网网关出口以及移动办公用户终端)通过整合网络应用可视化,网络应用加速和网络应用安全技术,可以为全球任何地点,使用任何基础网络的企业用户,提供网络应用信息流的优化和安全服务,为分布式企业提供了强有力的竞争优势。
时至今日,Blue Coat全球有1400多名员工。
其中Blue Coat亚太区就有200多名员工,主要负责亚太区的销售服务及客户支持。
BlueCoat代理服务器配置指南
BlueCoat代理服务器配置指南Blue 国CoatSystems2011年1月目录—、安装设备及安装环境 41.1实施设备清单 41.2实施拓朴结构图4二、实施步骤 416 2.1物理连接4 2.2初始IP 地址配置4 2.3 远程治理软件配置 4 2.4 网络配置 52.4.1 Adapter 1地址配置 5 2.4.2 静态路由配置 5 243配置外网DNS 服务器6 2.4.4配置虚拟IP 地址 62.4.5 配置 Fail Over 6 2.5 配置代理服务端口 7 2.6 配置本地时钟 7 2.7配置Radius 认证服务 7 2.8 内容过滤列表定义及下载 8 2.9 定义病毒扫描服务器 9 2.10 带宽治理定义 10 2.11 策略设置 112.11.1配置DDOS 攻击防备 11 2.11.2 设置缺省策略为 DENY11 2.11.3 配置 Blue Coat An ti-Spyware 策略 11 2.11.4 访咨询操纵策略配置 -VPM 11 2.11.5 病毒扫描策略配置 11 2.11.6 用户认证策略设置 12 2.11.7 带宽治理策略定义 132.11.8 Work_Group 用户组访咨询操纵策略定义152.11.9 Ma nageme nt_Grou 用户组访咨询操纵策略定义 2.11.10 High_Level_Group 用户组访咨询操纵策略定义162.11.11 Normal_Group用户组访咨询操纵策略定义172.11.12 Temp_Group用户组访咨询操纵策略定义171619 2.11.13 IE扫瞄器版本检查策略2.11.14 DNS解析策略设置19安装设备及安装环境实施设备清单Bluecoat安全代理专用设备SG600—10 一台,AV510-A —台,BCWF内容过滤,MCAFEE 防病毒,企业版报表模块。
实施拓朴结构图Bluecoat设备SG600-10-3配置于内网,AV510-A与SG600-10之间通过ICAP 协议建立通信。
BlueCoat ProxySG 基本配置及巡检手册
文件编号:LZYQ-2011-Q1-6772-007Blue Coat Proxy SG基本配置及巡检版本:1.2XX网络2011年3月文件说明本程序文件对公司为客户提供的系统集成及相关服务、网络安全服务的实施过程进行了策划和控制。
文件修订记录目录1设备配置 (5)1.1Console初始化 (5)1.2Web基本配置 (10)1.2.1Hostname配置 (10)1.2.2NTP配置 (10)1.2.3Network配置 (13)1.2.4Proxy配置 (16)1.2.5Policy配置 (18)2设备巡检 (21)2.1巡检内容 (21)2.1.1设备信息 (21)2.1.2CPU利用率 (22)2.1.3Memory利用率 (23)2.1.4Disk利用率 (23)2.1.5当前用户数统计 (24)2.1.6缓存内容统计 (24)2.1.7设备健康自检 (25)2.1.8代理流量统计 (26)2.1.9详细协议代理统计 (27)2.1.10会话统计 (27)2.1.11日志查看 (28)2.2巡检命令 (29)1设备配置1.1 Console初始化设备接通电源——加电开机——Console口输出启动信息如下:The default boot system is:1: Version: SGOS 6.1.3.1, Release id: 56222Press the space key to select an alternate system to boot.Seconds remaining until the default system is booted: 0Booting Version: SGOS 6.1.3.1, Release id: 56222Completed major version system upgrade.Press "enter" three times to activate the serial console //连续敲入3次回车键可以激活Console口进行配置Executing image: Version: SGOS 6.1.3.1, Release id: 56222Interface 0:0: MAC address 00:E0:81:77:20:AF, half duplex, 100 megabits/secInterface 1:0: MAC address 00:E0:81:77:20:B0, no linkWelcome to the SG Appliance Serial ConsoleVersion: SGOS 6.1.3.1, Release id: 56222//连续敲入三次回车键,会弹出菜单,如下:------------------------- MENU -----------------------------1) Command Line Interface2) Setup Console------------------------------------------------------------Enter Option:2 //选择2 ,使用Console向导进行设置--------------- CONFIGURATION START ------------------Welcome to the Blue Coat ProxySG 510 configuration wizard.This appliance's serial number: 2107102111---------------------------------------------------------------------You can get field help by entering a question mark ? in the fields.You can move backwards through the steps by pressing the UP arrow.You can exit the wizard without saving your entries by pressing ESC.---------------------------------------------------------------------//注意这里的提示:输入?可以查看每个选项的功能含义解释;输入ESC 可以不保存并退出配置向导。
BlueCoat反向代理方案
BlueCoat反向代理方案一、用户需求分析用户目前的网站站点设计有HTTP Apache服务器,主要服务的内容是大量新闻和图片及一些Flash视频类的节目。
采用Apache服务器带来的主要挑战有三方面,一方面系统运行在通用操作系统上,网站安全性存在风险。
另一方面Apache服务器的性能受限,通常一台服务器只能处理3000-5000个并发HTTP客户连接。
性能上存在瓶颈。
最后还有在后台存储用户使用基于FC SAN的磁盘阵列。
当为了提升网站性能而增加前面的Apache 服务器时,后台存储的共享也成为了一个复杂的技术问题。
为了解决上述的一些实际问题。
用户需要在HTTP Web Server前端增加硬件反向代理服务器,利用其安全和高性能的特性来降低Apache服务器的负载和被黑客攻击的风险。
同时由于主要的负载都被反向代理服务器所承担,源服务器只需要保持一个基本的HA服务器就可以,也无需涉及复杂的FC SAN共享问题。
二、方案设计原则考虑用户的实际情况,在方案设计时需要遵循如下原则:1.标准性现在构建的HTTP反向代理网络应当符合网络业界的主流标准,保证系统和已有的Web Server的兼容性。
2.合理的性能价格比在满足当前的业务需求的同时,还考虑到今后业务发展的需求,确保在未来扩容时能够扩展到更多的性能和容量支持。
同时尽量选择经济的设备,做到最优的性价比。
3.高可靠性在确保系统可靠工作和数据的可靠性的原则基础上,尽可能的做到高起点,选用先进的技术和设备,使构建的反向代理系统有较高的可靠性,以适应今后的发展。
4.可管理性和可维护性反向代理设备可以通过多种技术和方式实现了高可靠性,同时也增加了系统的复杂性,从而容易导致维护和管理的复杂性。
因此在方案设计中在提供高可靠性的同时,也要注重提供反向代理系统的可管理性和可维护性。
整个系统应该能够采用基于Web的界面对存储设备进行配置管理。
系统配置工作应该简单明了,流程清晰。
Bluecoat广域网加速设备 SG Proxy Deployment代理部署说明
带负载均衡的 四层交换机
多台 SG 通过四层交换机 实现HA
用户
用户
用户
用户
用户
用户
Agenda
• 透明代理部署
– 物理串接单机 – 物理串接HA Cluster (一个线路串接2个SG;2个线路串接2个SG) – WCCP 连接一个路由器
• L2 / GRE • Reflect Client IP (全部和部分)
Blue Coat SG 代理专用设备
1
4
VLAN
用户
用户
用户
用户
用户
用户
正向部署:旁路HA
适用:先前已经使用PAC 上网的企业,大中型企业
内网核心交换 机或路由器
WAN
3 2
VIP
14
Blue Coat SG 代理专用设备
Blue Coat SG 代理专用设备
用户
用户
用户
用户
用户
用户
正向部署:Proxy PAC部署
WAN
1:SYN
C-S
SG1
3:SG1通知SG2它已负责这
个C-S联接
5:SG2将封装过的ACK C-S
转发到SG1
SG2
2:SYN ACK
S-C
4:ACK
C-S
用户
用户
用户
用户
用户
用户
Agenda
• 反向代理部署
– GSLB + SLB 全球负载均衡方式 – SLB + SG负载均衡 – DNS负载均衡
WAN
L2或GRE WCCP转发
WCCP流量重定向时有 GRE和L2两种方式, GRE将请求数据包重新 进行GRE封装,然后转 发到SG,这种方式下不 要求SG与路由器/交换
Bluecoat SG Proxy Deployment
用户
用户
用户
用户
用户
用户
设计目的: 1. 如前所述,在传统代理(Explicit Proxy)的各种部署方案中,最简单的是让每个用户
(Client)在浏览器中手工配置代理服务器的地址及端口,管理员需要让每个用户都知道 代理服务器的地址。为了使用户不需要知道代理服务器的具体地址,可以采用PAC文件 自动配置代理的方式,但PAC文件方式虽然使用户无需知道代理服务器在网络中的位置, 且脚本灵活,能根据用户所在网段、访问的URL等信息自动配置浏览器使用不同的代理 服务器,但这种方式仍然要求用户知道PAC文件所在位置(URL或Windows共享路径)。 WPAD自动发现代理的部署,使用户无需知道PAC文件或代理服务器所在位置,仅需在 IE的代理设置对话框中,Enable“自动检测配置”即可实现浏览器完全自动化配置代理服 务器。 2. 解决大型企业的用户出差到其它的分支机构而不清楚当地代理服务器详细地址的问题
Agenda
• 正向代理部署
– 旁路单机 – 旁路 HA Cluster – Proxy PAC 部署 – WPAD自动部署 – 四层交换HA
正向部署:旁路单机
适用:先前已经使用 Explicit Proxy上网的企业, 安全要求很高的企业以及
中小型企业。
WAN
3 2
VLAN
内网核心交换 机或路由器
2. 仅浏览器支持通过PAC文件自动配置代理服务器,其它客户端,如媒体播放器、多线程下载软件、P2P 下载软件等需用户手工设置代理地址(SG真实地址或Failover Group的VIP)
正向部署:WPAD自动部署
适用:网络代理服务器变动 较频繁的大中型企业
WAN
内网核心交换 机或路由器
bluecoat操作手册
选择配置安装方式
本地文件方式 文本编辑方式
Network配置
网卡配置
路由配置
DNS配置
高级配置
网卡配置
选择网卡
选择网卡接口 部分网卡有多接口
IP地址 子网掩码
网桥配置
网卡接口高级配置
网卡接口高级配置
接受Inbound连接 拒绝Inbound连接 将拒绝用网络发起到 该接口的连接,包括管 理端口的请求,只有使 用多端口时才选用 网口自适应 手工配置网口参数 双工/半双工选择 Speed选择 改变浏览器提示 (在首页) MAC地址
GUI首页
进入管理界面
用户端浏览器配 置建议
网站链接
网站链接
产品型号
IP地址(Int0)
软件版本
硬件序列号
General配置
设备名定义 时钟定义 配置备份/恢复
可以修改设备名
序列号不可修改
时钟设置
对时服务器设置 显示UTC时间 显示本地时间 选择时区
中国:+8
如果要手动修改时钟, 必须停止NTP对时,并 暂停时钟,然后进行修 改 启动NTP对时 对时间隔 立即对时 暂停时钟
•Accelerated Pac File, URL: https://x.x.x.x:8082/accelerated_pac_base.pac
通过inline accelerated-pac命令,可以设置该PAC文件
路由配置
Gateways配置
静态路由配置
RIP配置
Gateways配置
已有Gateway 生成 编辑 编辑删除 启动IP Forwarding
改变浏览器提示
直接设定Proxy IP 使用SG中缺省的PAC文 件进行Proxy设置 使用加速的PAC文件进 行Proxy设置 使用URL指定的PAC文 件进行代理设置
蓝墨 ProxySG 300 系列应用程序快速启动指南说明书
SG300Figure 3Power LEDSystem LEDLED IndicatorsFigure 2ProxySG Deployed In-PathWAN (Router)Power adapter Null modemserial cable ProxySG 300 Series ApplianceLAN (Switch)Power supplyretaining clip Power switchMain Site LAN Router Figure 1ProxySG 300 Series Appliance Switch ProxySG Deployed In-Path InternetTasks1. Unpacking the Appliance2. Connecting the Cables3. Verifying the LEDs4.Performing Initial ConfigurationUnpack the shipment and verify the contents of the box.The Blue Coat ProxySG 300 series appliance ships with the following components:• Blue Coat SG300 appliance• Software License Agreement • External AC power supply adapter with AC power cord and retaining clip • Quick Start Guide (this document) •Null-modem serial cable•Safety and Regulatory Compliance Guide3Unpacking the ApplianceBlue Coat recommends connecting the cables and verifying the LED display to ensure properfunctionality before deploying the appliance.Figure 1 shows a typical Blue Coat ProxySG network deployment:The following installation assumes the network deployment shown in Figure 1 is present. For other deployment options, see the ADN Deployment Guide and the WCCP Reference Guide, available for viewing at:https:///documentation/pubs/view/SGOS 5.5.xBefore connecting the ProxySG into your network, disconnect the existing LAN switch network cable from the WAN router. This cable will be reused during installation.3Connecting the CablesTo verify that the appliance has booted and is operational, check the following:The following illustration shows the location of the LED indicators on the ProxySG 300 series:Verifying the LEDsIf the Power LED light:• Is amber , the appliance is on, but the OS has not loaded. • Blinks amber to green , the OS has loaded but is not configured.•Is green , the OS has loaded and is properly configured. If the System LED light:• Is green , the appliance is functioning properly.• Is amber , the appliance has encountered a warning.• Is flashing amber , the appliance has encountered a critical problem.•Is OFF , the appliance has not determined the system status.5. Logging on and Licensing6. Next Steps7. Troubleshooting 1 2 3 To attach the cables (Figure 2):1. Connect the network cable from the LAN switch and plug it into the 1:1 port networkinterface on the ProxySG. 2. Connect a network cable from the WAN router to the 1:0 port network interface on theProxySG. The interface auto-negotiates 10/100/1000 Base-T speed and duplex settings.3. Connect a null-modem serial cable from the ProxySG to a PC (or serial terminal). Thisconnection is used to perform initial configuration via a direct serial connection. 4. Connect the power adapter to the ProxySG DC power supply inlet, and then connect theAC plug into a power source. Activate the power switch to turn on the appliance. 5. The included power supply cord retaining clip can be used to eliminate cord slippage.Install by squeezing the sides of the clip and inserting the ends into the mounting loops located above the DC power supply inlet. Once the retaining clip is attached, swing over the plug body to secure onto place (see figure 2).Note: The SG300 can be used within a desktop location or in an equipment rack using a rack-mount shelf (not included).Americas:Blue Coat Systems Inc. 410 North Mary Ave Sunnyvale, CA 94085-4121Rest of the World:Blue Coat Systems International SARL 3a Route des Arsenaux1700 Fribourg, SwitzerlandAfter your ProxySG is configured for network access, complete the installation by verifying network connectivity and registering and licensing the appliance.Important: New customers must create a BTO account at Blue Coat’s Customer Care page before they can activate their license. Blue Coat’s Customer Care page can be found at: https:///support/customercareTo complete the ProxySG installation:1. Verify that you can log into the appliance via the Web browser. To log into the appliance:a. Enter the ProxySG IP address into your web browser's Address or Location box usingthe following format: https://proxy_ipaddress:8082.b. Enter the user name and password specified during configuration to access themanagement interface. The management interface loads within your browser window.2. After login, register and activate your license. If you have a Full Proxy Edition license, goto step a; if you have an Acceleration Edition license, go to step b.a. To activate a license from the Advanced Management Console, navigate to theLicense page: Maintenance > Licensing > Install and click Retrieve. The requestLicense Key dialog displays. Go to step c to finish licensing the appliance.b. To activate a license from the Sky Management Console, navigate to the Licensepage: Configure > Device > Licensing.c. Enter your existing BlueTouch Online credentials and click Request license (for theAdvanced Management Console) or Submit credentials and install license (for theSky Management Console).Note: The ProxySG ships with a 60-day trial license. The appliance can be registered and licensed any time during that period.3Logging on and Licensing the ApplianceThis section lists additional resources for using the ProxySG appliance.3Next StepsContext-sensitive information about the ProxySG Online Help. To access, click the Help button in the Sky Management Console or Management Console.Reference Documentation Configuration and Management Guide (CMG), acollection of volumes documenting ProxySG features.To access, click the documentation link in the SkyManagement Console or Management Consoleinterfaces, or visit:https:///documentation/pubs/view/SGOS 5.5.xAnswers to frequently asked questions Blue Coat Knowledge Base, available at: https://Blue Coat User community Blue Coat Support Forums, available at:https:///Classroom and web-based training Blue Coat Training, available at:https:///support/training Deployment planning andconsultationBlue Coat Professional services, available at:https:///support/professionalservicesTechnical Support Blue Coat Support, available online at:https:///support/overviewContact Blue Coat by telephone in North America at(866) 982-2628 or +1(408) 220-2299.This section describes how to troubleshoot several hardware problems.Problem: The system does not power up.Solution: Check the power cords and verify that the outlet is receiving power.Problem: The System and Power LEDs are green, but there is no network connectivity.Solution: Check the network connections to verify that they are not loose. Otherwise,the problem might be a bad network cable or an issue with the router/switch.Problem: I am unable to access the ProxySG’s management console using my browser.Solution: Check all network configuration information, the subnet mask and default-routerconfigurations, and that no other devices on the network are attempting to use thesame IP address.Problem: I receive an invalid certificate warning when attempting to access the managementconsole using my browser.Solution: This is normal. The ProxySG generates a self-signed certificate upon initialconfiguration. You can safely ignore the warning or import the ProxySG’s certificateinto your browser to avoid future warnings.Additional troubleshooting resources:• Blue Coat Knowledgebase: https:///• Blue Coat User Community: 3TroubleshootingHow to Contact Support — For the current list of regional customer support phone numbers,go to: /support/contactsupport/When contacting Blue Coat Systems for technical phone support or to set up an RMA, beprepared to provide your serial number to verify entitlement. If you do not have your serialnumber, supply Blue Coat with your Support Contract Number, which can be found on yourSupport Contract Certificate.If you have purchased a Support Contract but have not received a Support ContractCertificate, go to /support/customercare/BlueTouch Online — BlueTouch Online https:// allows you to create newtechnical support cases, review and comment on open cases at any time. You also haveaccess to exclusive Blue Coat support materials, installation notes, and updates. To obtain aBlueTouch Online login, go to https:///requestloginBlue Coat Support Offerings — For a list, see /support/overview3Service InformationRECYCLE YOUR OLD BLUE COAT APPLIANCE! — Blue Coat offers an easy andsustainable way to recycle your decommissioned Blue Coat appliances. Simply use your newshipping box to send us your old appliance, absolutely free of charge. For details and shippinginformation, please visit: /company/environment/productrecyclingWHY RECYCLE? — According to the Silicon Valley Toxics Coalition, nearly 80% of U.S. e-waste is discarded in toxic waste dumps around the world. Without proper recycling,hazardous chemicals and other materials pose serious environmental and health risks. Byoffering a free and easy-to-use take-back program, Blue Coat enables businesses to efficientlyand responsibly dispose of used technology. Find out how!1. FAST AND EASY TO USEUse your new appliance carton to ship us your old technology2. PROTECTS PEOPLE AND THE PLANETResponsible technology recycling is good for business and the environment3. ABSOLUTELY FREEWe cover all the costs, including Shipping4. COMPLETE DETAILS/company/environment/productrecyclingRecycling Information231-03091 REV A.0Copyright© 1999-2010 Blue Coat Systems, Inc. All rights reserved worldwide. No part of this document may be repro-duced by any means nor modified, decompiled, disassembled, published or distributed, in whole or in part, or translatedto any electronic medium or other means without the written consent of Blue Coat Systems, Inc. All right, title and inter-est in and to the Software and documentation are and shall remain the exclusive property of Blue Coat Systems, Inc. andits licensors. BluePlanet™, BlueTouch™, Control Is Yours™, DRTR™, ProxyAV™, ProxyRA Connector™,ProxyRA Manager™, SGOS™ and Webpulse™ and the Blue Coat logo are trademarks of Blue Coat Systems, Inc. andBlue Coat®, BlueSource®, K9®, IntelligenceCenter®, PacketShaper®, ProxyClient®, ProxySG®, Permeo®, and the Per-meo logo are registered trademarks of Blue Coat Systems, Inc. All other trademarks contained in this document and inthe Software are the property of their respective owners.BLUE COAT SYSTEMS, INC. DISCLAIMS ALL WARRANTIES, CONDITIONS OR OTHER TERMS, EXPRESS OR IM-PLIED, STATUTORY OR OTHERWISE, ON SOFTWARE AND DOCUMENTATION FURNISHED HEREUNDER IN-CLUDING WITHOUT LIMITATION THE WARRANTIES OF DESIGN, MERCHANTABILITY OR FITNESS FOR APARTICULAR PURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL BLUE COAT SYSTEMS, INC., ITS SUP-PLIERS OR ITS LICENSORS BE LIABLE FOR ANY DAMAGES, WHETHER ARISING IN TORT, CONTRACT OR ANYOTHER LEGAL THEORY EVEN IF BLUE COAT SYSTEMS, INC. HAS BEEN ADVISED OF THE POSSIBILITY OFSUCH DAMAGES.567。
Bluecoat_proxySG方案
江苏移动Bluecoat ProxySG 网络改造目录前言 (4)一、BLUE COAT SYSTEMS公司简介 (6)二、互联网出口安全控制改造方案 (8)2.1当前网络情况 (8)2.2B LUE C OAT P ROXY SG改造建议方案 (9)2.2.1 策略修改 (9)2.3方案描述 (9)2.3.1用户认证域控制 (9)2.3.2 NTLM用户认证域定义 (11)2.3.3 NTLM服务器定义 (11)2.3.4 IWA通用信息配置 (12)2.3.5 LDAP用户认证域定义 (14)2.3.6 LDAP服务器定义 (16)2.3.7 LDAP DN定义 (16)2.3.8 LDAP Base DN举例 (17)2.3.9 LDAP检索用户定义 (18)2.3.10 LDAP对象类定义 (20)2.3.11 LDAP通用信息配置 (21)2.3.12 本地用户列表定义 (22)2.3.13 VPM配置 (24)2.4测试与回退 (25)2.5方案特点 (25)三、主要技术及产品描述 (26)3.1B LUE C OAT互联网代理技术――用户认证、授权和统计 (26)3.1.1 内容安全控制 (27)3.1.2 灵活的策略控制 (29)总结 (32)前言Web浏览器作为应用访问和互联网通讯的手段,已经完全渗透到桌面环境中;越来越多的企业和机构正在实现基于浏览器的应用,作为它们业务操作的几乎所有应用的解决方案;同时,浏览器已经成为员工从互联网获取和传递信息的主要手段。
因此,建立一个高效、快速、安全的互联网访问环境,成为企业及机构网络建设的一个主要任务。
建设快速高效的企业互联网环境,所面对的主要问题在于带宽和互联网连接所造成的互联网访问响应速度问题,因此,互联网高速缓存得到广泛应用,而网络安全主要由防火墙提供保护;然而,由于支持各种Web协议的浏览器功能多样,而病毒、黑客、“木马”类“间谍”软件能够通过各种途径,在用户进行互联网访问时,在不知不觉中侵入到企业网络中来,通常我们把这一类威胁定义为“应用级威胁”,其破坏力与广为人知的网络安全漏洞一样严重。
Blue+Coat代理服务器配置说明v1.3
Blue+Coat代理服务器配置说明v1.3目录1.配置说明 (3)1.1、设备型号 (3)1.2、版本信息 (3)1.3、网络拓扑图 (3)1.4、密码管理 (3)1.5、网络配置 (4)1.6、DNS (4)1.7、URL过滤 (4)1.8、带宽管理 (7)1.9、关键字过滤 (7)1.10、IM过滤 (8)1.11、P2P管理 (8)1.12、按用户组进行策略管理 (9)1.13、访问日志 (10)1.14、T RACK(W EB排错、CLI排错) (10)1.15、代理配置备份与恢复 (10)2.测试 (11)1.配置说明1.1、设备型号Blue Coat SG200 Series1.2、版本信息Version:SGOS 4.2.9.1Release id:363441.3、网络拓扑图1.4、密码管理ProxySG 200现配置的用户名为:admin,密码:admin。
1.5、网络配置Bluecoat通过0:1以太网口连接到交换机,IP地址配置为:192.168.171.234/24,默认网关为:192.168.171.30另外添加了一条静态路由:192.168.171.301.6、DNSDNS设置了2个,分别为:202.106.0.20202.106.46.151登录方式提供两种登录方式:Web页面、telnet。
在Web页面中输入https://192.168.171.234:8082可登录并管理该设备。
1.7、URL过滤在Policy下拉菜单中,选择Visual Policy Manager,点击“launch”,创建一个Web Authentication Layer,在规则里的action中指定必须通过ACS认证才能上网。
然后点击“add rule”,添加策略:在“Destination”列,右键选择“Edit”,并添加需要阻止网站的URL:在“Action”列,右键选择“deny”、“allow”或其他更多选项:1.8、带宽管理在Bandwidth Mgmt下拉菜单中选择“BWM Classes”,添加带宽管理策略,可设置最大、最小带宽以及优先值等:1.9、关键字过滤在VPM里创建一个WEB Access Layer,在规则里的destination 里选择Request URL设置关键字过滤。
Bluecoat SG功能介绍及其配置V3
BlueCoat SG 功能介绍及其配置目录一、应用功能介绍 (3)1.1命令行配置SG (3)1.2代理服务设置 (8)1.3用户上网行为策略 (8)1.3.1用户上网行为控制策略介绍 (8)1.3.2基本策略设置 (10)1.3.3授权访问指定网站设置 (10)1.3.4指定访问互联网时间设置 (18)1.3.5下载权限设置 (22)1.3.6自定义反馈页面 (27)1.3.7 用户认证设置 (33)1.3.8 BCWF(WEB 页面分类) (38)1.3.9 服务类型设定 (40)二、设备管理功能 (40)2.1设备管理功能介绍 (40)2.2上传日志设置 (41)2.3双机冗余设置 (43)2.4修改设备名称 (43)2.5修改登陆SG的用户名、密码 (44)2.6单机备份、还原 (44)2.7热启动 (45)2.8恢复初始化设置 (46)2.9创建SG登录用户并设置权限 (48)2.10 设备抓包 (62)2.11 升级OS (62)三、设备状态查看功能 (63)3.1设备状态查看功能介绍 (63)3.2查看设备基本属性 (64)3.3查看磁盘和系统属性 (64)3.4查看license状态 (65)3.5查看用户实时访问记录 (65)3.6查看缓存对象大小分布率 (66)3.7查看实时设备资源状况 (67)3.8查看设备事件日志 (69)3.9查看设备健康度 (69)3.10查看缓存效果 (70)四、Reporter的配置及使用 (71)4.1、REPORTER介绍 (71)4.2、安装REPORTER (72)4.3、访问REPORTER (76)4.4、激活REPORTER (77)4.5创建模板 (78)4.6、创建REPORTER用户,设置用户权限 (81)4.7、DASHBOARD的使用 (85)4.8、REPORTER FILTER的使用 (87)4.9、REPORT的使用 (89)4.9.1一周每天的流量 (89)4.9.2一周其中一天的流量 (89)4.9.3一天每个时间段的流量 (90)4.9.4一个月的流量 (91)4.9.5访问量最高的前11个网站 (91)4.9.6某网段访问最多的前11个网站 (92)4.9.7每天流量最多的IP排名。
BlueCoat代理服务器配置指南
BlueCoat代理服务器配置指南2011年1月目录一、安装设备及安装环境 (4)1.1实施设备清单 (4)1.2实施拓朴结构图 (4)二、实施步骤 (4)2.1物理连接 (4)2.2初始IP地址配置 (4)2.3远程管理软件配置 (5)2.4网络配置 (5)2.4.1 Adapter 1地址配置 (6)2.4.2 静态路由配置 (6)2.4.3 配置外网DNS服务器 (8)2.4.4 配置虚拟IP地址 (8)2.4.5 配置Fail Over (9)2.5配置代理服务端口 (11)2.6配置本地时钟 (12)2.7配置R ADIUS认证服务 (12)2.8内容过滤列表定义及下载 (15)2.9定义病毒扫描服务器 (17)2.10带宽管理定义 (21)2.11策略设置 (22)2.11.1 配置DDOS攻击防御 (22)2.11.2 设置缺省策略为DENY (22)2.11.3 配置Blue Coat Anti-Spyware策略 (23)2.11.4 访问控制策略配置-VPM (24)2.11.5 病毒扫描策略配置 (24)2.11.6 用户认证策略设置 (26)2.11.7 带宽管理策略定义 (28)2.11.8 Work_Group用户组访问控制策略定义 (33)2.11.9 Management_Group用户组访问控制策略定义 (35)2.11.10 High_Level_Group用户组访问控制策略定义 (35)2.11.11 Normal_Group用户组访问控制策略定义 (36)2.11.12 Temp_Group用户组访问控制策略定义 (36)2.11.13 IE浏览器版本检查策略 (40)2.11.14 DNS解析策略设置 (41)一、安装设备及安装环境1.1 实施设备清单Bluecoat安全代理专用设备SG600-10一台,AV510-A一台,BCWF内容过滤,MCAFEE防病毒,企业版报表模块。
Get清风BluecoatproxySG方案
Bluecoat-proxySG方案江苏移动Bluecoat ProxySG 网络改造目录前言 (5)一、BLUE COAT SYSTEMS公司简介 (7)二、互联网出口平安控制改造方案 (9)当前网络情况 (9)2.2B LUE C OAT P ROXY SG改造建议方案 (9)2.2.1 策略修改 (9)2.3方案描述 (10)用户认证域控制 (10)2.3.2 NTLM用户认证域定义 (11)2.3.3 NTLM效劳器定义 (11)2.3.4 IWA通用信息配置 (12)2.3.5 LDAP用户认证域定义 (14)2.3.6 LDAP效劳器定义 (16)2.3.7 LDAP DN定义 (16)2.3.8 LDAP Base DN举例 (17)2.3.9 LDAP检索用户定义 (18)2.3.10 LDAP对象类定义 (20)2.3.11 LDAP通用信息配置 (21)2.3.12 本地用户列表定义 (22)2.3.13 VPM配置 (24)测试与回退 (24)方案特点 (25)三、主要技术及产品描述 (25)3.1B LUE C OAT互联网代理技术――用户认证、授权和统计 (26)3.1.1 内容平安控制 (27)3.1.2 灵活的策略控制 (29)总结 (31)前言Web浏览器作为应用访问和互联网通讯的手段,已经完全渗透到桌面环境中;越来越多的企业和机构正在实现基于浏览器的应用,作为它们业务操作的几乎所有应用的解决方案;同时,浏览器已经成为员工从互联网获取和传递信息的主要手段。
因此,建立一个高效、快速、平安的互联网访问环境,成为企业及机构网络建设的一个主要任务。
建设快速高效的企业互联网环境,所面对的主要问题在于带宽和互联网连接所造成的互联网访问响应速度问题,因此,互联网高速缓存得到广泛应用,而网络平安主要由防火墙提供保护;然而,由于支持各种Web协议的浏览器功能多样,而病毒、黑客、“木马〞类“间谍〞软件能够通过各种途径,在用户进行互联网访问时,在不知不觉中侵入到企业网络中来,通常我们把这一类威胁定义为“应用级威胁〞,其破坏力与广为人知的网络平安漏洞一样严重。
Bluecoat SG 配置手册
Bluecoat SGOS系统操作说明Blue Coat ProxySG 专用设备通过IE浏览器和Telnet命令进行管理,浏览器管理端口为8082,管理用的PC机需安装了Java运行环境。
管理用的PC机需安装了Java运行环境。
Web管理访问的URL为:https://SG-IP:8082 ,访问该URL将要求输入管理员用户名和密码。
注:(1)建议在访问该页面时,等状态栏中指示所有Java类下载结束后,在进行后续操作。
(2)Java界面有可能要求在输入一次用户名和密码。
该页面中,•Management Console选项进入管理配置•Browser Configuration包含对用户端(非管理员)浏览器的配置建议•Documentation包含详细的配置手册一、GENERAL配置在Web管理的首页选择Management Console,进入配置管理界面,如下图示:General配置页面中包括:•Identification:设备名定义•Clock:时钟定义•Archive:配置备份/恢复其中,Identification中,Name项可定义该设备名,任意字符串;Serial Number不可修改,已固化在设备中,应与设备后部的Serial Number一致。
任何配置修改在点击最下方的Apply后生效。
1.1 时钟设置(General/Clock)选择General下的Clock,进入时钟设置,如下图示:UTC为国际标准时,Local为本地时钟,在TimeZone中选择+8区,Local时钟将变为本地时间;其中Enable NTP选项将启动网络对时,NTP为网络对时协议;保持时钟同步,对ProxySG的缓存极为重要。
1.2 配置备份及恢复选择General/Archive进入配置备份及恢复页面,如下图示:其中,View File将显示配置,其中Configuration-expanded为全配置,View后选择Save As,可将其保存为本地文件。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
BlueCoat代理服务器配置指南2011年1月目录一、安装设备及安装环境 (4)1.1实施设备清单 (4)1.2实施拓朴结构图 (4)二、实施步骤 (4)2.1物理连接 (4)2.2初始IP地址配置 (4)2.3远程管理软件配置 (5)2.4网络配置 (5)2.4.1 Adapter 1地址配置 (6)2.4.2 静态路由配置 (6)2.4.3 配置外网DNS服务器 (8)2.4.4 配置虚拟IP地址 (8)2.4.5 配置Fail Over (9)2.5配置代理服务端口 (11)2.6配置本地时钟 (12)2.7配置R ADIUS认证服务 (12)2.8内容过滤列表定义及下载 (15)2.9定义病毒扫描服务器 (17)2.10带宽管理定义 (21)2.11策略设置 (22)2.11.1 配置DDOS攻击防御 (22)2.11.2 设置缺省策略为DENY (22)2.11.3 配置Blue Coat Anti-Spyware策略 (23)2.11.4 访问控制策略配置-VPM (24)2.11.5 病毒扫描策略配置 (24)2.11.6 用户认证策略设置 (26)2.11.7 带宽管理策略定义 (28)2.11.8 Work_Group用户组访问控制策略定义 (33)2.11.9 Management_Group用户组访问控制策略定义 (35)2.11.10 High_Level_Group用户组访问控制策略定义 (35)2.11.11 Normal_Group用户组访问控制策略定义 (36)2.11.12 Temp_Group用户组访问控制策略定义 (36)2.11.13 IE浏览器版本检查策略 (40)2.11.14 DNS解析策略设置 (41)一、安装设备及安装环境1.1 实施设备清单Bluecoat安全代理专用设备SG600-10一台,AV510-A一台,BCWF内容过滤,MCAFEE防病毒,企业版报表模块。
1.2 实施拓朴结构图Bluecoat设备SG600-10-3配置于内网,AV510-A与SG600-10之间通过ICAP 协议建立通信。
连接方法有以下几种,网络示意结构如下图:旁路模式:二、实施步骤2.1 物理连接两台Bluecoat SG800-2的Adapter0_Interface 0和Adapter1_Interface0通过以太网双绞线连接于两台Radware CID交换机。
2.2 初始IP地址配置通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为:第一台SG800-2:191.32.1.9(IP)255.255.255.224(Mask)191.32.1.1(Default Gateway)第二台SG800-2:191.32.1.11(IP)255.255.255.224(Mask)191.32.1.1(Default Gateway)2.3 远程管理软件配置Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理,浏览器管理端口为8082,管理用的PC机需安装了Java运行环境。
管理界面的URL为:https://191.32.1.9:8082和https://191.32.1.11:80822.4 网络配置在xxxxx网络环境中,(1)ProxySG800-2两个端口均需配置IP地址;(2)除缺省路由指向防火墙,还需一条静态路由,作为内网通讯的路由,(3)配置外网DNS,以便ProxySG到互联网的访问,(4) 每台另外需要一个虚拟IP地址,作为内部员工的DNS解析服务器IP地址;(5)对虚拟IP地址配置Fail Over,当一台ProxySG停止工作,其虚拟IP将切换到另外一台。
2.4.1 Adapter 1地址配置从Web管理界面Management Console/Configuration/Network/Adapter进入,在Adapters下拉框中选择Adapter1,并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码,如下图示:第一台ProxySG800-2的IP地址为:191.32.1.10,掩码:255.255.255.224第二台ProxySG800-2的IP地址为:191.32.1.12,掩码:255.255.255.224 点击Apply使配置生效。
2.4.2 静态路由配置从Web管理界面Management Console/Configuration/Network/Routing进入,在窗口上部选项中选择Routing,并在Install Routing table from下拉框中选择Text Editor,如下图示:点击Install,并在弹出窗口中输入静态路由:191.0.0.0 255.0.0.0 191.32.1.5如下图示:点击Install使配置生效。
2.4.3 配置外网DNS服务器从Web管理界面Management Console/Configuration/Network/DNS进入,如下图示:点击New增加外网DNS服务器IP地址,并点击Apply使配置生效。
2.4.4 配置虚拟IP地址从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择VIPs,如下图示:点击New配置虚拟IP地址,并点击Apply使配置生效。
第一台ProxySG800-2的虚拟IP地址为:191.32.1.13第二台ProxySG800-2的虚拟IP地址为:191.32.1.142.4.5 配置Fail Over从Web管理界面Management Console/Configuration/Network/Advanced进入,在窗口上部选项中选择Failover,如下图示:点击New配置Failover组,如下图示:在弹出窗口中,选择Existing IP,并在下拉框中选择已定义的虚拟IP地址:191.32.1.13(第一台ProxySG800),191.32.1.14(第二台ProxySG800),在Group Setting中,选择Enable,并在Relative Priority中选中Master,点击OK完成配置。
并点击Apply使配置生效。
点击New配置另一个Failover组,如下图示:在弹出窗口中,选择New IP,指定虚拟IP地址:191.32.1.14(第一台ProxySG800),191.32.1.13(第二台ProxySG800),在Group Setting中,选择Enable,点击OK完成配置。
并点击Apply使配置生效。
2.5 配置代理服务端口在xxxxx网络中ProxySG将提供HTTP(80端口)、SOCKS(1080端口)、DNS(53端口)的代理服务,其它通讯如:MSN、流媒体等均通过HTTP或SOCKS 代理实现。
从Web管理界面Management Console/Configuration/Services/Service Ports进入,如下图示:其中,SSH-Console(22)、Telnet-Console(23)、HTTP-Console(8081)是为系统管理提供服务的端口,可以根据网络管理要求选择是否开放;DNS-Proxy (53)、HTTP(80)和SOCKS(1080)必须Enable(Yes),并且包括Explicit 属性,HTTP(80)需要包括Transparent属性。
并点击Apply使配置生效。
2.6 配置本地时钟从Web管理界面Management Console/Configuration/General/Clock进入,如下图示:选择本地时钟定义为+8区,并点击Apply使配置生效。
2.7 配置Radius认证服务互联网访问用户将采用Radius进行用户认证,用户分组通过Radius的属性进行定义,分组与属性对应关系如下:工作组Login(1)管理组Framed(2)高级组Call Back login(3)普通组Call Back Framed(4)临时组Outbound(5)从Web管理界面Management Console/Configuration/Authentication/RADIUS进入,如下图示:点击New生成RADIUS配置,在弹出窗口中定义Radius服务器地址,如下图示:其中,Real Name定义为RADIUS,Primary server host中定义RADIUS服务器IP地址:191.32.1.22(暂定),Port为1812,Secret为RADIUS中定义的通讯密码;点击OK完成定义。
并点击Apply使配置生效。
注:Port和Secret的定义必须与RADIUS服务器中定义保持一致。
如需定义备份的RADIUS服务器,在上部选项中选择RADIUS Servers,如下图示:在Alternate Server定义中,定义备用的RADIUS服务器IP地址,及通讯密码。
从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入,如下图示:其中,Method选定IP,在IP TTL中定义240分钟(4个小时),用户认证一次将保持4小时;并点击Apply使配置生效。
2.8 内容过滤列表定义及下载在ProxySG中加载Blue Coat分类列表作为互联网访问控制及Anti-Spyware策略的基础。
从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat 进入,如下图示:输入用户名/密码,选择Force Full Update,并点击Apply使配置生效,然后点击Download Now开始下载分类列表库。
分类列表下载结束后(第一次下载超过80Mbypes数据,所需时间与网络和带宽有关),定义自动下载更新,在上部选项中选择Automatic Download,如下图示:其中:选择每天UTC时间下午4:00(本地时间晚上12:00)自动下载更新,并点击Apply使配置生效。
启动动态分类模式,在上部菜单选择Dynamic Categorization,如下图示:选择Enable Dynamic Categorization和Categorize dynamically in the background,并点击Apply使配置生效。