Bluecoat 代理、缓存解决方案

合集下载

bluecoat操作手册

策略选项
策略执行次序
（越前面优先级越低）
上移下移
缺省策略设置
跟踪所有策略执行（用于Debugging）
跟踪策略执行
start transaction
CPL Evaluation Trace: <Proxy>
MATCH:
MATCH:
authenticate(islandldap)
ALLOW condition=realstreams condition=GROUP2
分组号越小优先级越高，高优先级的Gateway全部失效，才选用低优先级的
Gateway编辑界面：由New和Edit生成
Gateway的IP地址
权重：按权重比例分配负载
静态路由配置
选择静态路由设置方式
URL 本地文件文本编辑安装显示路由表显示源路由设置文件
静态路由表是一个文本文件，每行包含：IP地址、子网掩码、网关IP，例如：192.168.1.0 255.255.255.0 192.168.1.1
改变浏览器提示
直接设定Proxy IP 使用SG中缺省的PAC文件进行Proxy设置使用加速的PAC文件进行Proxy设置使用URL指定的PAC文件进行代理设置
用户端浏览器配置建议
PAC文件
•Default PAC file, URL: https://x.x.x.x:8082/proxy_pac_file
Policy Files：策略文件，所有策略配置均在系统中对应到一个策略文件，该选项包括对文件方式的配置和备份、恢复等 Visual Policy Manager：可视化策略管理器，通过可视化界面配置访问控制策略

BLUECOAT 安全WEB网关产品及解决方案

12
高效的加速 ——基于对象的CACHE
高负载下快速磁盘访问
– – – – URL Hash表一次磁盘I/O实现对象的存取连续存储无碎片无需硬盘交换
Logo.gif
Arc.gif
访问频率记忆
– 90%左右从内存直接提供
Watch.gif
Logo.gif Watch.gif Arc.gif Text.gif
非标准协议的应用均能够通过HTTP、Socks或TCP Tunnel （透明方式下）实现代理上网
Blue Coat Confidential – Internal Use Only Copyright © 2013 Blue Coat Systems Inc. All Rights Reserved. 10
ICAP ICAP+ S-ICAP
ProxyClient
Internet
ProxySG
BlueCoat URL 过滤
安全方面的认证
ICAP S-ICAP
统一报表
• Blue Coat • SurfControl • Websense • Smartfilter • Envision
FIPS 140-2 EAL2 NIST
领先的企业客户声誉
15,000 个客户占据安全 Web 网关领域内 44% 的市场份额* 在 Fortune® 全球 500 强企业以及一级服务提供商及电信公司中，86% 都是长期的老客户
差异化的资产和经验
开放、基于策略的结构，同类最佳的解决方案
全球超过 2,000 个渠道合作伙伴
通过ICSA安全认证的代理专用设备，意味着Blue Coat SG不需防火墙来保护

蓝色光（Blue Coat）产品指南：模型号9000，代理SG9000系列FIPS合规指南说明书

ProxySG 9000 SeriesFIPS Compliance Guide:Tamper Evident Panel and Label InstallationFor Compliance Model Number 9000DisclaimerTHIS DOCUMENT IS PROVIDED “AS IS” WITHOUT ANY EXPRESS OR IMPLIED WARRANTY OF ANY KIND, INCLUDING WARRANTIES OF MERCHANTABIL-ITY, NONINFRINGEMENT OF INTELLECTUAL PROPERTY, OR FITNESS FOR ANY PARTICULAR PURPOSE. IN NO EVENT SHALL BLUE COAT OR ITS SUPPLIERS BE LIABLE FOR ANY DAMAGES WHATSOEVER (INCLUDING, WITHOUT LIMITATION, DAMAGES FOR LOSS OF PROFITS, BUSINESS INTERRUPTION, OR LOSS OF INFORMATION) ARISING OUT OF THE USE OF OR INABILITY TO USE THIS DOCUMENT, OR THE PRODUCTS DESCRIBED HEREIN, EVEN IF BLUE COAT HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. BECAUSE SOME JURISDICTIONS PROHIBIT THE EXCLUSION OR LIMITATION OF LIA-BILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES, THE ABOVE LIMITATION MAY NOT APPLY TO YOU. Blue Coat and its suppliers further do not warrant the accuracy or completeness of the information, text, graphics, links or other items contained within this document, or assume liability for any incidental, indirect, special or consequential damages in connection with the furnishing, performance, or use of this document. Blue Coat may make changes to this document, or to the products described herein, at any time without notice. Blue Coat makes no commitment to update this document.Copyright/Trademarks/PatentsCopyright© 1999-2012 Blue Coat Systems, Inc. All rights reserved worldwide. No part of this document may bereproduced by any means nor modified, decompiled, disassembled, published or distributed, in whole or in part, ortranslated to any electronic medium or other means without the written consent of Blue Coat Systems, Inc. All right, title and interest in and to the Software and documentation are and shall remain the exclusive property of Blue Coat Systems, Inc. and its licensors. ProxyAV™, ProxyOne™, CacheOS™, SGOS™, SG™, Spyware Interceptor™,Scope™, ProxyRA Connector™, ProxyRA Manager™, Remote Access™ and MACH5™ are trademarks of BlueCoat Systems, Inc. and CacheFlow®, Blue Coat®, Accelerating The Internet®, ProxySG®, WinProxy®,PacketShaper®, PacketShaper Xpress®, PolicyCenter®, PacketWise®, AccessNow®, Ositis®, Powering InternetManagement®, The Ultimate Internet Sharing Solution®, Cerberian®, Permeo®, Permeo Technologies, Inc.®, andthe Cerberian and Permeo logos are registered trademarks of Blue Coat Systems, Inc. All other trademarkscontained in this document and in the Software are the property of their respective owners.BLUE COAT SYSTEMS, INC. AND BLUE COAT SYSTEMS INTERNATIONAL SARL (COLLECTIVELY “BLUECOAT”) DISCLAIM ALL WARRANTIES, CONDITIONS OR OTHER TERMS, EXPRESS OR IMPLIED, STATUTORY OR OTHERWISE, ON SOFTWARE AND DOCUMENTATION FURNISHED HEREUNDER INCLUDING WITHOUT LIMITATION THE WARRANTIES OF DESIGN, MERCHANTABILITY OR FITNESS FOR A PARTICULARPURPOSE AND NONINFRINGEMENT. IN NO EVENT SHALL BLUE COAT, ITS SUPPLIERS OR ITS LICENSORS BE LIABLE FOR ANY DAMAGES, WHETHER ARISING IN TORT, CONTRACT OR ANY OTHER LEGAL THEORY EVEN IF BLUE COAT SYSTEMS, INC. HAS BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. Americas:Rest of the World:Blue Coat Systems, Inc.Blue Coat Systems International SARL420 N. Mary Ave.3a Route des ArsenauxSunnyvale, CA 940851700 Fribourg, SwitzerlandRevision HistoryDec. 2009Rev A.0Sep. 2010Rev A.1Dec. 2011Rev B.0SG9000 Tamper Evident Panel and Label Installation3About This DocumentThis document describes how to install louvered shutters and apply serialized labels over various apertures and joints. These shutters and labels secure and tamper-proof the Blue Coat® SG9000 series appliances. Applying these materials is one of the tasks involved to make your network environment Federal Information ProcessingStandards (FIPS) compliant.Kit ContentsThis kit contains the following materials:NamePart (4) Long Labels Note:Two (2) long labels are required to secure the appliance.Additional labels are included for reapplication purposes.(14) Short LabelsNote:Seven(7) short labels are required to secure the appliance.Additional labels are included for reapplication purposes.(1) Large LouveredShutter(1) Small LouveredShutter(6) Flat-HeadScrewsSG9000 Tamper Evident Panel and Label Installation4Additional Materials Required for Applying Tamper Evident LabelsEnsure that you have the following materials before installing the FIPS kit:❐Alcohol swabs - For cleaning surfaces before label application.❐#2 Phillips head screwdriver.Blue Coat does not provide the following optional materials, but they are highlyrecommended for label installation:❐(Optional) Skin Moisturizer - Applying a skin moisturizer to the tips of the fingers that come in contact with the label adhesive minimizes activation of the labels.❐(Optional) Rubber Finger Tips - Wearing rubber finger tips can help ease label-backing removal.❐(Optional) Cotton Rounds - For removing grime and contaminants from a surface.Optional StepsThe supplied labels are serialized. Manually recording label serial numbers as you apply labels to Blue Coat appliances is optional. If you are asked to perform this task, Blue Coat recommends creating a matrix that associates Blue Coat appliances with a physical location, then record each serial number as you add labels.Label Precautions and Application TipsAdhere to the following when applying the tamper evident labels:❐The minimum temperature of the environment must be 35-degrees Farenheit. After application, the labels acceptable temperature in the operation environment is -50-degrees to 200-degrees Farenheit.❐Do not touch the adhesive side of the label. This disrupts the integrity of the adhesive. If a label is removed from a surface, the label is destroyed and leavestamper-evident text as evidence. If you accidently touch the adhesive side, discard that label and apply another one.❐Tips to avoid label applications:•Apply skin moisturizer on your fingers before handling.•Use a rubber finger tip to partially remove the label from its backing.Note:For more detailed label information presented by the vendor, see/pages/prd_security_labels_non_residue_red.htmlSG9000 Tamper Evident Panel and Label InstallationLabel ReplacementIf you incorrectly apply a label onto the appliance or need to replace an existing label,you must thoroughly clean the label surface to remove all traces of the adhesive beforeattempting to reapply a label. If the adhesive is not completely removed, the new labelwill not correctly adhere to the surface.To clean the adhesive residue and other contaminants after a label is removed:Step 1: Remove traces of the silicone adhesive evidence by throughly cleaning thesurface using an alcohol swab.Step 2: Remove any remaining surface contaminants using a cotton round.Step 3: Repeat if necessary.Before You BeginIf the Blue Coat appliance is already rack-mounted and operating, Blue Coatrecommends powering it down, removing the system from the rack, and creating aworkplace with ample room to maneuver around the unit.5SG9000 Tamper Evident Panel and Label Installation6Procedure: Installing the Louvered ShuttersThe FIPS compliance louvered shutters are designed to prevent unauthorized access to key system components by shielding the rear ventilation outlets. The kit includes one large shutter, which covers the primary ventilation outlet and a smaller shutter, which covers the secondary outlet. Both shutters are installed using the included flat-head screws.The image below shows the louvered shutters and security labels installed on aSG9000:To install the louvered shutters on an SG9000 series appliance:Step 1: Align the large louvered shutter mounting points against the screw locationsshown below and secure with three flat-head screws.Step 1 Flat-Head Screw x3SG9000 Tamper Evident Panel and Label Installation7Step 2: Align the small louvered shutters against the mounting points shown belowand secure with two flat-head screws.Step 2Flat-Head Screwx2SG9000 Tamper Evident Panel and Label Installation8Procedure: Applying the High-Security LabelsThe FIPS compliant labels are applied over key areas of the chassis to provide tamper-evident security. If the labels are removed after being affixed to a surface, the image self-destructs and leaves tamper-evident text on the label. The image below illustratesthe tamper-evident features of the label:To secure the SG9000 series appliance using the high-security labels:Step 1:Use alcohol swabs to clean the label location surface ; this ensures complete adhesion. Verify that all surfaces are dry before applying the labels.Step 2:Apply one long label over each power supply unit, as illustrated below. When applying the labels, make sure there is enough material on both ends to properly secure the power supply.!Unique Serial Number Destroyed Imprinted Image Step 2 x2Long LabelSG9000 Tamper Evident Panel and Label Installation9Step 3: Apply one short label across the large louvered shutter and over the chassis. Besure that the label covers both parts in equal amounts.Step 3Short LabelSG9000 Tamper Evident Panel and Label Installation10Step 4: Apply one short label across and over the small louvered shutter mounting tab.Make sure it covers the entire mounting tab and extends over the right edge of the appliance.Step 5: Apply one short label across the center of the small louvered shutter. Make sure it covers both the small louvered shutter and extends over the right edge of theappliance.Step 6:Apply one short label vertically over the large louvered shutter and over the top edge of the appliance. Make sure the label contacts all edges of the surfaceswithout any gaps.Step 4-5Short LabelStep 4Step 5x2Step 6Short Label x1SG9000 Tamper Evident Panel and Label Installation11Step 7: Apply one short label across the edge of the middle panel as to secure the panel tothe chassis. The label should be placed approximately three-quarters of an inchbeyond the release tab.Step 8: Rack mount the appliance. Refer to the SG9000 Quick Start Guide for instructionsand safety information on rack-mounting the appliance.Step 9: Reinstall the power cables.Step 10: Reinstall the network cables.Step 11:Power-on the system.Step 7Short Label x1SG9000 Tamper Evident Panel and Label Installation12Step 12: Close the bezel.Step 13: Apply two short labels across the chassis and bezel to prevent unauthorized access to the front panel and hard disk carriers. Each label should be placed on theopposite ends of the appliance, as shown below.Note:The chassis-bezel labels are destroyed each time the bezel is opened. Besure to re-secure the bezel after servicing the appliance!x2Step 13Short LabelSG9000 Tamper Evident Panel and Label Installation13 231-03063 REV B.0。

BlueCoat_公司和产品简介

Blue Coat资料目录Blue Coat公司规模、服务、培训等综合实力 (2)Blue Coat公司概况 (2)SWG安全Web网关产品线 (2)24X7“日不落”全球技术服务支持能力 (3)Gartner眼中Blue Coat的综合实力 (3)Blue Coat培训与认证 (4)Blue Coat公司产品研发与技术支持能力 (5)ProxySG代理服务器产品成熟度 (5)产品销售的全球业绩 (5)客户的评价 (6)典型客户列表 (7)业界的评价 (7)全球超过2800名技术合作伙伴 (7)Blue Coat 公司产品技术的先进性 (8)备受业界认可的技术领先实力 (8)13年网络应用层协议的深入分析和网络应用的长期经验积累 (8)15,000位客户案例证明的高性能可扩展代理服务器架构 (8)业内享有声誉的深入探知网络应用的第七层（L7）数据流监控 (9)与外部URL过滤（Websense等）和防病毒扫描对接的成熟接口 (9)强大的专业中文日志统计报表能力 (9)近两年ProxySG产品的获奖情况 (10)Blue Coat公司规模、服务、培训等综合实力Blue Coat公司概况Blue Coat Systems（NASDAQ: BCSI）于1996年成立，1999年成为上市公司，旨在为企业客户提供Web通讯安全防护，并保障和加速企业内部关键业务应用。

作为应用交付网络技术的领导者，Blue Coat 的产品和解决方案（部署于分布式企业的数据中心、分公司、互联网网关出口以及移动办公用户终端）通过整合网络应用可视化，网络应用加速和网络应用安全技术，可以为全球任何地点，使用任何基础网络的企业用户，提供网络应用信息流的优化和安全服务，为分布式企业提供了强有力的竞争优势。

时至今日，Blue Coat全球有1400多名员工。

其中Blue Coat亚太区就有200多名员工，主要负责亚太区的销售服务及客户支持。

网康、深信服、网络督察、Bluecoat的功能对比-2.0

可控制允许外发邮件附件的大小范围；
可以控制用户发送邮件；
不支持邮箱账号、收信方邮箱域名，以及附件名称过滤邮件外发行为；
可以控制用户禁止发送主题或正文包含某关键字的邮件；
可以控制用户发送邮件；可以控制用户禁止发送主题或正文包含某关键字的邮件；
不支持
IM即时通讯过滤
可基于聊天账号、传输文件名称和类型过滤IM即时通讯内容。
对于违反策略的网页访问，支持弹出警示页面，警示页面内容支持自定义；
支持网站黑、白名单设置；
支持基于预分类的URL类别进行过滤控制；支持用户自定义网站类别过滤；
支持过滤HTTPS加密的网站；
支持基于URL关键字进行过滤控制；
对于违反策略的网页访问，支持弹出警示页面；
支持网站黑、白名单设置；
支持基于预分类的URL类别进行过滤控制；支持用户自定义网站类别过滤；
以树状架构对用户进行管理；不支持用户导入，但可以手工批量生成用户；
支持IP/MAC跨三层绑定；
以树状架构对用户进行管理；支持用户导入；
支持IP/MAC跨三层绑定；但需安装插件；
以树状架构对用户进行管理；支持用户导入；
用户识别
可基于IP进行用户的身份识别；
可基于MAC地址进行身份识别；
支持无客户端的AD域用户识别；
(3)产品在网关模式下，支持DNAT内网IP/端口映射，便于外部用户访问内网主机。
(4)支持通过集中管理平台对分布部署的设备进行统一策略制定与管理。
(5)支持外置日志中心，可以实现离线日志查询。
支持网关、单/双路串接、镜像旁路等部署方式
支持网关、单路串接、镜像旁路等部署方式
支持串接、旁路部署方式
代理服务器功能
系统冗余容错

BlueCoat代理服务器配置指南

BlueCoat代理服务器配置指南Blue 国CoatSystems2011年1月目录—、安装设备及安装环境 41.1实施设备清单 41.2实施拓朴结构图4二、实施步骤 416 2.1物理连接4 2.2初始IP 地址配置4 2.3 远程治理软件配置 4 2.4 网络配置 52.4.1 Adapter 1地址配置 5 2.4.2 静态路由配置 5 243配置外网DNS 服务器6 2.4.4配置虚拟IP 地址 62.4.5 配置 Fail Over 6 2.5 配置代理服务端口 7 2.6 配置本地时钟 7 2.7配置Radius 认证服务 7 2.8 内容过滤列表定义及下载 8 2.9 定义病毒扫描服务器 9 2.10 带宽治理定义 10 2.11 策略设置 112.11.1配置DDOS 攻击防备 11 2.11.2 设置缺省策略为 DENY11 2.11.3 配置 Blue Coat An ti-Spyware 策略 11 2.11.4 访咨询操纵策略配置 -VPM 11 2.11.5 病毒扫描策略配置 11 2.11.6 用户认证策略设置 12 2.11.7 带宽治理策略定义 132.11.8 Work_Group 用户组访咨询操纵策略定义152.11.9 Ma nageme nt_Grou 用户组访咨询操纵策略定义 2.11.10 High_Level_Group 用户组访咨询操纵策略定义162.11.11 Normal_Group用户组访咨询操纵策略定义172.11.12 Temp_Group用户组访咨询操纵策略定义171619 2.11.13 IE扫瞄器版本检查策略2.11.14 DNS解析策略设置19安装设备及安装环境实施设备清单Bluecoat安全代理专用设备SG600—10 一台，AV510-A —台，BCWF内容过滤，MCAFEE 防病毒,企业版报表模块。

实施拓朴结构图Bluecoat设备SG600-10-3配置于内网，AV510-A与SG600-10之间通过ICAP 协议建立通信。

bluecoat web_av

高性能的、实时的Web通讯病毒扫描ProxySG Web病毒扫描使企业能够：通过扫描基于HTTP协议的病毒和恶意代码，提高企业安全使用ICAP协议与ProxyAV、Symantec、Trend Micro的病毒扫描服务器协调工作，实现病毒扫描解决方案在高性能Web病毒扫描服务之上，提供完整的基于策略的控制进行定期的、自动的健康检查以确定病毒扫描服务器是否可用，易于排错。

定义ICAP服务器集群，并在其间负载均衡，以优化性能提供内容扫描、内容过滤、基于互联网的恶意代码修补服务。

动态扫描和更改Web内容集成另外的解决方案诸如内容过滤、IM控制、Web代理等随着技术的进步，技术带来的威胁也越来越明显。

当今业务联系所使用的Email和Web访问、关键的应用，在企业网络上打开了一系列新的大门。

在互联网访问点上进行病毒扫描在网络安全上起着很重要的作用，它在有害内容进入并感染网络之前，即在网络的安全防护线上将其消除。

正象在企业的电子邮件系统中部署病毒扫描系统使基于SMTP的服务变得安全一样，有必要部署Web病毒扫描解决方案来保护网络免受基于Web的应用及使用HTTP协议所带来的威胁。

Web病毒和恶意代码正在防火墙上允许进入内部网络的每种协议中，寻找它们进入企业网络的途径。

病毒的开发者们把目标瞄向诸如HTTP之类的协议，因为他们懂得在大多数企业的网络中，这是一种最基本的允许进入内部网络的协议。

而且，由于防火墙是工作在数据包这个层次上的，它不适合处理这些隐藏某种Web对象或内容类型中，但在多个数据包中进行传输的新形式的攻击。

为什么使用ProxySG对Web对象进行病毒扫描？企业级的设备－ProxySG是经过优化的专用设备，易于安装和管理。

ProxySG运行专用的、安全的操作系统，是为病毒扫描操作所需要的、具有优秀的容错性、良好的伸展能力及性能要求而专门设计的。

利用内置的缓存功能，ProxySG提供“一次扫描、多次服务”的工作模式以提升HTTP病毒扫描的性能。

bluecoat 操作说明

正向代理Bluecoat配置最佳实践For SGOS V4.X第七版Bluecoat公司2009年4 月本文档的目的是通过正确的配置及测试步骤，使Blue Coat SG在正向代理测试中达到最佳的效果。

其中包括企业用显式代理和运营商带宽增益类透明代理的测试中达到最佳效果。

建议凡是碰到以运营商带宽节省为目的的测试，严格按照本文档描述的步骤。

文档修订历史目录一、SG配置关于WEB-CACHE基本配置 (5)1.1关于部署方式 (5)1.2关于操作系统版本 (5)1.3基本配置步骤 (5)二、如何调整SG性能和增益效果 (11)2.1在大流量情况下并发处理的优化 (11)2.2避免带宽负增益的最佳测试步骤 (14)2.3执行Cache充满 (14)2.4视频强制缓存 (15)2.5强制缓存没有缓存标记的流量 (17)2.6强制缓存微软的升级包 (17)2.7禁止所有包含Range: bytes header的请求（可选） (18)2.8关于Blue Coat带宽增益统计数据 (18)2.9DNS配置 (18)2.10强制缓存下载网站 (23)2.11消除Trust Destination IP对缓存影响 (25)2.12消除缓存内容过期 (26)三、查看增益效果 (26)四、如何分析流量进而优化 (29)4.1通过日志分析 (29)4.2通过Policy Trace分析 (31)4.2.1增加额外的策略+Trace (31)4.2.2打开策略Trace页面进行分析 (32)4.3检查DNS Worker (32)五、SG透明缓存环境QQ的运行 (34)六、SG和游戏及特定应用的兼容性问题的解决 (37)6.1透明代理下保证游戏能够通过SG访问 (37)6.1.1Reflect-Client-IP保证游戏服务器的认证和记录不出问题 (37)6.1.2保证联众游戏访问可以通过 (39)6.1.3设置MTU保证游戏访问通过 (39)6.2显式代理下保证MSN能够通过SG访问 (39)七、SG压力过载的保护策略 (40)7.1SG流量过载保护策略 (40)7.2CPU突发过载的保护策略 (43)八、C/S软件通过SG代理 (45)8.1Default policy Allow 和CPL中的Allow的区别 (45)8.2保证典型的C/S应用通过代理服务器能够访问 (48)8.3不支持代理的C/S软件通过SG上网的方式 (51)8.4设定放宽HTTP协议的容忍度 (52)九、飞信通过SG代理用户认证的配置 (52)一、SG配置关于Web-Cache基本配置1.1 关于部署方式Bluecoat 的SG-Web-Cache可以通过如下方式部署在网络当中：1．网桥部署方式2．通过WCCP部署方式3．通过L4的设备部署1.2 关于操作系统版本Bluecoat V4最新推荐版本是SG V4.2.8.6或4.2.9.11.3 基本配置步骤设备的基本配置步骤如下：1. STEP-1（测试前最好配置恢复为出厂配置，避免未知的问题）通过Console进入SG后—enable 进入—恢复出厂配置命令restore-defaults factory-defaults或reinitialize—初始配置设备的基本参数（IP,GW,DNS等）2. STEP-2通过HTTPS://SG-IP:8082进入SG的图形界面，进入maintenance->license->View，确认系统的License是否有效如果Licesne过期需要安装Licesne文件3. STEP-3确认设备的时钟（系统时间），由于是Cache设备，系统对时间的要求很高，需要尽可能调准系统时间，并设置适合的Local Time Zone，也可以通过NTP协议和NTP服务器自动同步。

BlueCoat反向代理方案

BlueCoat反向代理方案一、用户需求分析用户目前的网站站点设计有HTTP Apache服务器，主要服务的内容是大量新闻和图片及一些Flash视频类的节目。

采用Apache服务器带来的主要挑战有三方面，一方面系统运行在通用操作系统上，网站安全性存在风险。

另一方面Apache服务器的性能受限，通常一台服务器只能处理3000-5000个并发HTTP客户连接。

性能上存在瓶颈。

最后还有在后台存储用户使用基于FC SAN的磁盘阵列。

当为了提升网站性能而增加前面的Apache 服务器时，后台存储的共享也成为了一个复杂的技术问题。

为了解决上述的一些实际问题。

用户需要在HTTP Web Server前端增加硬件反向代理服务器，利用其安全和高性能的特性来降低Apache服务器的负载和被黑客攻击的风险。

同时由于主要的负载都被反向代理服务器所承担，源服务器只需要保持一个基本的HA服务器就可以，也无需涉及复杂的FC SAN共享问题。

二、方案设计原则考虑用户的实际情况，在方案设计时需要遵循如下原则：1．标准性现在构建的HTTP反向代理网络应当符合网络业界的主流标准，保证系统和已有的Web Server的兼容性。

2．合理的性能价格比在满足当前的业务需求的同时，还考虑到今后业务发展的需求，确保在未来扩容时能够扩展到更多的性能和容量支持。

同时尽量选择经济的设备，做到最优的性价比。

3．高可靠性在确保系统可靠工作和数据的可靠性的原则基础上，尽可能的做到高起点，选用先进的技术和设备，使构建的反向代理系统有较高的可靠性，以适应今后的发展。

4．可管理性和可维护性反向代理设备可以通过多种技术和方式实现了高可靠性，同时也增加了系统的复杂性，从而容易导致维护和管理的复杂性。

因此在方案设计中在提供高可靠性的同时，也要注重提供反向代理系统的可管理性和可维护性。

整个系统应该能够采用基于Web的界面对存储设备进行配置管理。

系统配置工作应该简单明了，流程清晰。

Bluecoat广域网加速设备 SG Proxy Deployment代理部署说明

带负载均衡的四层交换机
多台 SG 通过四层交换机实现HA
用户
用户
用户
用户
用户
用户
Agenda
• 透明代理部署
– 物理串接单机 – 物理串接HA Cluster （一个线路串接2个SG；2个线路串接2个SG） – WCCP 连接一个路由器
• L2 / GRE • Reflect Client IP (全部和部分)
Blue Coat SG 代理专用设备
1
4
VLAN
用户
用户
用户
用户
用户
用户
正向部署：旁路HA
适用：先前已经使用PAC 上网的企业，大中型企业
内网核心交换机或路由器
WAN
3 2
VIP
14
Blue Coat SG 代理专用设备
Blue Coat SG 代理专用设备
用户
用户
用户
用户
用户
用户
正向部署：Proxy PAC部署
WAN
1：SYN
C-S
SG1
3：SG1通知SG2它已负责这
个C-S联接
5：SG2将封装过的ACK C-S
转发到SG1
SG2
2：SYN ACK
S-C
4：ACK
C-S
用户
用户
用户
用户
用户
用户
Agenda
• 反向代理部署
– GSLB + SLB 全球负载均衡方式 – SLB + SG负载均衡 – DNS负载均衡
WAN
L2或GRE WCCP转发
WCCP流量重定向时有 GRE和L2两种方式， GRE将请求数据包重新进行GRE封装，然后转发到SG，这种方式下不要求SG与路由器/交换

Bluecoat SG Proxy Deployment

用户
用户
用户
用户
用户
用户
设计目的： 1. 如前所述，在传统代理（Explicit Proxy)的各种部署方案中，最简单的是让每个用户
（Client)在浏览器中手工配置代理服务器的地址及端口，管理员需要让每个用户都知道代理服务器的地址。为了使用户不需要知道代理服务器的具体地址，可以采用PAC文件自动配置代理的方式，但PAC文件方式虽然使用户无需知道代理服务器在网络中的位置，且脚本灵活，能根据用户所在网段、访问的URL等信息自动配置浏览器使用不同的代理服务器，但这种方式仍然要求用户知道PAC文件所在位置（URL或Windows共享路径）。 WPAD自动发现代理的部署，使用户无需知道PAC文件或代理服务器所在位置，仅需在 IE的代理设置对话框中，Enable“自动检测配置”即可实现浏览器完全自动化配置代理服务器。 2. 解决大型企业的用户出差到其它的分支机构而不清楚当地代理服务器详细地址的问题
Agenda
• 正向代理部署
– 旁路单机 – 旁路 HA Cluster – Proxy PAC 部署 – WPAD自动部署 – 四层交换HA
正向部署：旁路单机
适用：先前已经使用 Explicit Proxy上网的企业，安全要求很高的企业以及
中小型企业。
WAN
3 2
VLAN
内网核心交换机或路由器
2. 仅浏览器支持通过PAC文件自动配置代理服务器，其它客户端，如媒体播放器、多线程下载软件、P2P 下载软件等需用户手工设置代理地址（SG真实地址或Failover Group的VIP）
正向部署：WPAD自动部署
适用：网络代理服务器变动较频繁的大中型企业
WAN
内网核心交换机或路由器

Blue Coat产品介绍

2
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
Blue Coat 历史
Content filtering NetCache acquired
On 11/19/99 CacheFlow Inc. had the 3rd most successful IPO in the history of Silicon Valley Fun fact: This is also Brian NeSmith’s birthday
Government
5
© Blue Coat Systems, Inc. 2009. All Rights Reserved.
亚太区PacketShaper产品主要用户
Financial Health & Pharmaceuticals Energy, Oil & Gas
Manufacturing/Industrial
Incorporated in Delaware on 3/16/96 as CacheFlow 12/18/00, Entera acquisition 11/14/03, Ositis Software, Inc. acquisition 3/6/06, Permeo Technologies acquisition 6/9/08, Packeteer acquisition
Web 2.0 Internet WAN/Intr anet Blue Coat ProxySG
移动用户安全
Network + Web 应用层安全是最好的防护
16
Blue Coat ProxyClient 移动用户
© Blue Coat Systems, Inc. 2009. All Rights Reserved.

Bluecoat_proxySG方案

江苏移动Bluecoat ProxySG 网络改造目录前言 (4)一、BLUE COAT SYSTEMS公司简介 (6)二、互联网出口安全控制改造方案 (8)2.1当前网络情况 (8)2.2B LUE C OAT P ROXY SG改造建议方案 (9)2.2.1 策略修改 (9)2.3方案描述 (9)2.3.1用户认证域控制 (9)2.3.2 NTLM用户认证域定义 (11)2.3.3 NTLM服务器定义 (11)2.3.4 IWA通用信息配置 (12)2.3.5 LDAP用户认证域定义 (14)2.3.6 LDAP服务器定义 (16)2.3.7 LDAP DN定义 (16)2.3.8 LDAP Base DN举例 (17)2.3.9 LDAP检索用户定义 (18)2.3.10 LDAP对象类定义 (20)2.3.11 LDAP通用信息配置 (21)2.3.12 本地用户列表定义 (22)2.3.13 VPM配置 (24)2.4测试与回退 (25)2.5方案特点 (25)三、主要技术及产品描述 (26)3.1B LUE C OAT互联网代理技术――用户认证、授权和统计 (26)3.1.1 内容安全控制 (27)3.1.2 灵活的策略控制 (29)总结 (32)前言Web浏览器作为应用访问和互联网通讯的手段，已经完全渗透到桌面环境中；越来越多的企业和机构正在实现基于浏览器的应用，作为它们业务操作的几乎所有应用的解决方案；同时，浏览器已经成为员工从互联网获取和传递信息的主要手段。

因此，建立一个高效、快速、安全的互联网访问环境，成为企业及机构网络建设的一个主要任务。

建设快速高效的企业互联网环境，所面对的主要问题在于带宽和互联网连接所造成的互联网访问响应速度问题，因此，互联网高速缓存得到广泛应用，而网络安全主要由防火墙提供保护；然而，由于支持各种Web协议的浏览器功能多样，而病毒、黑客、“木马”类“间谍”软件能够通过各种途径，在用户进行互联网访问时，在不知不觉中侵入到企业网络中来，通常我们把这一类威胁定义为“应用级威胁”，其破坏力与广为人知的网络安全漏洞一样严重。

Bluecoat SG功能介绍及其配置V3

BlueCoat SG 功能介绍及其配置目录一、应用功能介绍 (3)1.1命令行配置SG (3)1.2代理服务设置 (8)1.3用户上网行为策略 (8)1.3.1用户上网行为控制策略介绍 (8)1.3.2基本策略设置 (10)1.3.3授权访问指定网站设置 (10)1.3.4指定访问互联网时间设置 (18)1.3.5下载权限设置 (22)1.3.6自定义反馈页面 (27)1.3.7 用户认证设置 (33)1.3.8 BCWF（WEB 页面分类） (38)1.3.9 服务类型设定 (40)二、设备管理功能 (40)2.1设备管理功能介绍 (40)2.2上传日志设置 (41)2.3双机冗余设置 (43)2.4修改设备名称 (43)2.5修改登陆SG的用户名、密码 (44)2.6单机备份、还原 (44)2.7热启动 (45)2.8恢复初始化设置 (46)2.9创建SG登录用户并设置权限 (48)2.10 设备抓包 (62)2.11 升级OS (62)三、设备状态查看功能 (63)3.1设备状态查看功能介绍 (63)3.2查看设备基本属性 (64)3.3查看磁盘和系统属性 (64)3.4查看license状态 (65)3.5查看用户实时访问记录 (65)3.6查看缓存对象大小分布率 (66)3.7查看实时设备资源状况 (67)3.8查看设备事件日志 (69)3.9查看设备健康度 (69)3.10查看缓存效果 (70)四、Reporter的配置及使用 (71)4.1、REPORTER介绍 (71)4.2、安装REPORTER (72)4.3、访问REPORTER (76)4.4、激活REPORTER (77)4.5创建模板 (78)4.6、创建REPORTER用户，设置用户权限 (81)4.7、DASHBOARD的使用 (85)4.8、REPORTER FILTER的使用 (87)4.9、REPORT的使用 (89)4.9.1一周每天的流量 (89)4.9.2一周其中一天的流量 (89)4.9.3一天每个时间段的流量 (90)4.9.4一个月的流量 (91)4.9.5访问量最高的前11个网站 (91)4.9.6某网段访问最多的前11个网站 (92)4.9.7每天流量最多的IP排名。

proxybuilder的dexcache方法 -回复

proxybuilder的dexcache方法-回复ProxyBuilder是一个用于构建代理对象的开源库，它提供了一种简洁而灵活的方式来生成代理类。

其中一个核心方法是dexCache，它用于将代理类的字节码缓存在内部存储器（dex文件）中，以便在后续的运行时中直接使用。

本文将一步一步回答关于ProxyBuilder的dexCache方法的问题，并探讨其在Android应用开发中的实际应用。

一、ProxyBuilder的作用和背景在软件开发中，经常会遇到需要为现有的类添加额外功能的需求，但直接修改原始类可能会引入不必要的复杂性和风险。

这时候，代理模式就是一个很好的解决方案。

代理模式通过生成一个中间人对象（代理对象），对原始类进行包装，从而实现在不修改原始类的情况下为其添加额外功能的目的。

在Android开发中，代理模式经常用于实现AOP（面向切面编程）的相关功能，如日志记录、性能监测和权限控制等。

ProxyBuilder是一个针对Android平台的代理生成库，它通过动态生成代理类的字节码，使得我们能够在运行时为目标对象生成代理对象。

二、ProxyBuilder的dexCache方法解析ProxyBuilder类中的dexCache方法是用来缓存生成的代理类字节码的，下面我们一步一步来解析它的具体实现和用法。

1. 确定dexCache方法的声明和参数首先，我们需要查看dexCache方法的声明和参数，以了解该方法的基本信息。

根据ProxyBuilder类的源码，我们可以得到dexCache方法的声明如下：public Builder<T> dexCache(File dexCache)其中，dexCache参数是指定将生成的代理类字节码缓存到一个文件中。

这个文件通常是一个.dex文件，用于存储编译后的Java字节码。

2. 探索dexCache方法的实现为了更加深入地理解dexCache方法的实现，我们需要分析它在源码中的具体实现细节。

深信服产品销售手册

厦门市四美达科技发展有限公司厦门市政府采购定点供应商中央政府采购定点供应商系统集成二级资质*楼宇智能化：综合布线、视频监控、防盗、一卡通、智能会议、背景音乐、LED大屏代理品牌：TCL布线、HYUNDAI监控、POLYCOM视频会议*机房工程：机房装修、电气、精密空调、环境监控、防雷、防静电、UPS、安防代理品牌：艾默生机房整体解决方案*基础网络：交换、路由、网络安全及审计、无线网络、上网行为管理、VPN、网络优化代理品牌：深信服、H3C、CISCO、网御神州、伟思、网康*数据中心：小型机、刀片服务器、存储备份、远程容灾、虚拟化、数据防泄密代理品牌：IBM、HP、赛门铁克、VMware、联想*终端设备：台式机、笔记本电脑、外设、数码选件、耗材代理品牌：IBM、HP、联想、三星、明基、罗技、爱普生、DELL>四美达企业营销事业部周统邦>手机：直线：>传真：EMAL:>公司网址：地址：厦门市思明区前埔软件园二期观日路24号四美达科技大厦目录上网行为管理AC......................................................................... 上网优化网关SG .. (7)流量管理BM (11)IPSEC VPN (15)SSL VPN (19)广域网加速WOC (24)应用交付AD (28)上网行为管理AC2005深信服科技于业界首次提出“上网行为管理”理念，2006年正式推出SANGFOR AC上网行为管理网关，现在深信服上网行为管理产品在国内市场占有率第一。

需求背景普及的互联网给缺乏管理的组织机构带来了诸多挑战，出现在了上网带宽被滥用、工作效率低下、外发信息泄密、滥用互联网而招致法律风险、缺乏上网行为记录而导致事后无据可查、内网网络不安全等问题。

需求分析在各个行业，从网络安全、信息安全、经济效益、法律安全等方面深信服上网行为管理AC都有它的市场。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

Blue Coat公司简介
• 成立于1996年，专注于Web加速(Acceleration)
– – 加速Web应用…加速互联网应用创新的代理缓存专用设备，含并行对象获取、自适应主动更新等专利技术
•
2002年扩展Web安全及策略控制(Policy Control & Security)
– 高性能引擎及丰富的策略架构使Web活动可见，从而控制用户、内容、及应用
• 由于不能理解应用，因此不能预防或发现常用的钓鱼技术
传统的URL过滤不能防止带宽滥用
• 不足的方面…
– 屏蔽了对业务有用的内容 – 在阻挡P2P、Skype、流媒体视频URL等方面不够有效 – 不能根据应用进行带宽整形或带宽管理
一句话，解决方案应该是…
“Dynamic”
具备动态特征的体系= 最高程度的覆盖面
剖析网页
•一个网页由多个Object组成
•Object由URL指定
并行获取技术(Pipelining) CacheOS 的对象 Pipelining
TM
2sec
After parsing After parsing
7.25sec
Internet
基于对象的存储——专为缓存而设计
•高负载下快速磁盘访问
1. 企业用户访问URL 2. Blue Coat SG 利用本地的BCWF 评估 URL，其中的94%能在不到8ms内完成 3. 前一天夜里分类过的URL可在 70ms内评估完成 Internet
BCWF
4. 98+% 的未分类不良站点由DRTR 进行分类,一般情况下不到 <200ms
Local BCWF
Source: Gartner
世界上主要的机构信赖Blue Coat
金融
医疗 & 制药
能源、石油、天然气
制造业、工业
消费业 & 零售
政府
中国主要的机构信赖Blue Coat
Financial Health & Pharmaceuticals
Transportation telecommunication Energy, Oil & Gas Mfg/Industrial
如何… Blue Coat AV 最佳保护?
• 性能通过两个缓存优化
Internet
– 内容缓存可达 24-32% 性能提高 – “扫描一次，服务多次” – 对动态对象，指纹Hash 避免重复扫描
• 智能的 AV-Cache 集成
ICAP+
Blue Coat SG Proxy/Cache Blue Coat AV
• /2004/08/10/phishing_vs_vir uses/
• 钓鱼网站平均只存在5.5天
• */reports/200603_NCL_Phishing_Report.pdf
– 大部分情况下，它们还来不及被加入到分类库中 – 而在此后，即使加入分类库中也无益 – 在SSL通讯方面先天不足 (通过SSL通讯钓鱼)
McAfee
Webshield e1000 12 Mbps 106 reqs/sec 1750 msec
兼备加速和安全的综合解决方案
Blue Coat 是安全 Web 网关的领导者
Magic Quadrant for Secure Web Gateway, 2007
“Blue Coat is one of the
few vendors in this market that has proved its scalability and performance” - Gartner
用户
安全访问
过滤 URL
应用
Web 内容
阻止信息泄漏用户认证
内部的或外部的
WAN/ Internet
屏蔽间谍软件
限制某些应用
病毒防护
内部的或外部的
Conቤተ መጻሕፍቲ ባይዱrolPoint™ 灵活的策略
性能
安全
Blue Coat 使您无需在这两方面折衷
制定策略对所有的用户-应用通讯
控制谁、什么时间、从哪里、访问什么应用、怎样访问
Blue Coat Proxy 体系架构
企业策略管理
技术合作
Blue Coat AV
终端设备远程访问 & Web 保护
正向代理反向代理
服务
策略代理
HTTP(S), File, Exchange, Streaming, ‘Byte’
带宽管理 DiffServ
IM, Skype & P2P 控制
• 安全的、面向对象的专用操作系统
– 基于对象的存储(比文件系统快三倍以上，高流量时性能平稳) – 自适应的主动更新算法(保持缓存内容最新) – 对象并行获取技术(解决浏览器会话数限制) – 高速策略处理引擎，集成安全功能
• 业界唯一通过ICSA安全认证的代理专用设备，意味着Blue Coat SG不需防火墙来保护
• 非“先进先出”算法
• 70%左右对象命中率，50～60%字节命中率
• 90%左右内容从内存直接提供，硬盘交换少
• 网页对象在磁盘连续存储，碎片少
• 毫秒级访问延迟
• 高流量情况下性能平稳
• 第一次访问的网页比源站快
Blue Coat Web内容过滤
传统的URL 过滤存在漏洞
• 网站分类数据库不全导致安全保护方面的漏洞 • 新的恶意软件能在分类库更新前实现攻击 • 一个网站只能分在一个分类中，导致分类不够精确，不能实现有效的安全 • 不明智的做法：因为个别恶意软件而屏蔽整个网站
• 建议、指导和强制等细致策略能够控制到单个用户级别
– – – – 生成过滤数据库以外的自定义分类定义allow/deny列表、跨越和例外自定义的splash, disclaimer, exception和 warning页面在各种环境中提供对User ID的透明认证
Blue Coat Web病毒防护
Source: Comparing URL Filtering Databases, May 2005
测试证明BCWF具有最佳的准确性
“We recommend Blue Coat’s WebFilter as the URL filter database mostly likely to capture and accurately categorise the broadest range of URLs.”
Blue Coat 实现广域网优化和Web网关安全
Blue Coat SG 系列
内网互联网
应用加速用户行为控制 Blue Coat AV 系列 URL过滤完全终止协议联接 Web病毒扫描 (HTTP, SSL, IM, Streaming, P2P, SOCKS, FTP, Telnet, DNS,CIFS,MAPI etc.) IM及P2P控制流媒体直播/缓存/控制/CDN 全面的、灵活的控制策略根据用户统计分析阻止间谍软件带宽管理及压缩
Blue Coat 支持的URL过滤库
• Blue Coat WebFilter • Websense Enterprise • Secure Computing SmartFilter • SurfControl Web Filter • Cyberguard Webwasher • ISS Proventia Web Filter • ALSI Intersafe • Digital Arts Japan iFilter • Optenet Web Filter • Internet Watch Foundation • 自定义列表
= 全部的可见性和交互过程理解
预防信息泄露
Blue Coat ControlPointTM体系
ControlPoint™ 体系结构
公网Web服务器 Director Reporter
网关代理反向代理
数据中心
互联网
客户
分支办公室
分支办公室代理
中心汇聚代理
WAN
分支办公室代理
远程用户
分支办公室
SSL Proxy
策略处理引擎认证、授权、日志 SGOS™ 对象缓存、字节缓存、基于对象的OS
定制的 OS
应用传输体系的基础
Blue Coat Web 缓存加速
SGOS™ 和平台
• 真正的专用设备 • SGOS不是出自 Windows或Unix通用系统
– 无需加固，无需补丁 – 没有安全方面的隐患 – 冷启动<60秒，热启动<10秒
传统的URL过滤不能防止钓鱼，因为…
• 每分钟有几百人因为钓鱼Email而上当 – “Within the first five hours of its appearance,
MessageLabs had already intercepted over 125,000 phishing emails containing URLs to a replica of the bank's website.”
Bluecoat 代理/缓存解决方案
议程
• Blue Coat公司简介 • ControlPointTM体系结构 • Blue Coat 唯一提供全面的Web安全解决方案：
– – – – – – Web缓存加速网址过滤 Web病毒防护 SSL正向代理集中管理方案 Reporter统计分析
• 甄别Bluecoat代理设备产品的销售机会
• • 可见性: 谁、在什么时间、去了哪里、做了什么、如何做的? 控制: 加速、禁止、限制、扫描、剥除、转换…
• • •