Bluecoat SG Proxy Deployment

正向部署：四层交换HA
适用：大中型企业
WAN
带负载均衡的 四层交换机
多台 SG 通过四层交换机 实现HA 实现
用户
用户
用户
用户
用户
用户
设计目的： 设计目的： 高可用性、负载均衡、扩展容易 部署方法： 部署方法： 1. 防火墙上建立规则，仅允许每台SG访问外网所有端口，内网用户不能直接与 外网服务器建立联接。 2. 多台Blue Coat SG代理专用设备联接于四层交换机上，四层交换机再联接到核 心交换机上 3. 一般四层交换机都具有负载均衡功能，可通过四层交换机在这些SG间进行负 载均衡，四层交换机上一般会有一个VIP。 4. 客户端代理服务器的设置指向四层交换机上的VIP。 优点： 优点： 1. 这种部署方式是无需变动网络结构，代理的设置与SG直接旁路方式相似，也 相对简单，只是代理地址设置为四层交换机上的VIP。 2. 通过四层交换机可实现HA 3. 扩展非常容易 缺点： 缺点： 1. 用户仍需手工设置代理服务器地址 2. 系统建设需初始投资四层交换机
透明部署： 一条线路串两个SG WAN 适用：对串接SG至网络 主干路径的安全性有担心 的客户
两台Blue Coat SG 两台 一前一后分别串接在 防火墙和核心交换机间
用户
用户
用户
用户
用户
用户
设计目的： 设计目的： 解决一台SG串接在网络中带来的单点故障隐患 前提条件： 前提条件： 这种部署方式需SGOS 5.2版本支持 部署方法： 部署方法： 1. 防火墙上建立规则，仅允许每台SG访问外网所有端口，内网用户不能直接与外网服务器 建立联接。 2. 两台Blue Coat SG代理专用设备分别串接于内网的核心交换机与防火墙之间。 3. 两台SG上都必须配置直通卡（Pass-Through卡），Pass-Through卡在设备掉电时其两 个网口间将形成直通，从而避免网络出口中断。 4. 两台SG间形成Failover Group，当主SG宕机时，备机SG将接管，消除单点故障。 5. 如果内网核心交换机为三层交换机，且内网有超过一个VLAN，在SG上需配置静态路由 指向核心交换机上的网关地址，SG上的缺省路由指向防火墙。 优点： 优点： 1. 快速的、最简单的透明代理部署方案，用户客户端无需进行代理设置。 2. 两台SG间互为备份。 3. 两台配置Pass-Through卡的SG，消除单点故障。 缺点： 缺点： 1. 需投资两台SG。
正向部署：旁路HA
适用：先前已经使用PAC 上网的企业，大中型企业
WAN
3 2
Blue Coat SG 代理专用设备 内网核心交换 机或路由器 VIP Blue Coat SG 代理专用设备
1
4
用户
用户
用户
用户
用户
用户
设计目的： 设计目的： 单台SG宕机将导致上网中断，采用两台或多台代理实现热备。 部署方法： 部署方法： 1. 防火墙上建立规则，仅允许每台SG访问外网所有端口，内网用户不能直接与外网服务器 建立联接。 2. 两台或多台Blue Coat SG代理专用设备联接于内网的核心交换机上的同一个VLAN 3. 所有SG间形成Failover Group，并设置一个VIP地址，其中一台为主（Master），其它 SG为备（Slave) 4. 客户端（IE/Firefox等浏览器、媒体播放器、多线程下载软件、P2P下载软件等）上设置 这个VIP及相关代理端口为代理服务器 优点： 优点： 1. 最快速的、简单的代理部署方案，无需变动网络结构，代理的设置也相对简单 2. 如果主设备故障，在三个心跳周期内，备设备将自动接管，心跳周期缺省为40秒，可手 工设置 缺点： 缺点： 1. 管理相对复杂，网络内用户数多时更加明显，因为每个用户都必须知道Failover Group 的VIP及相应的各种代理端口，并在各种客户端上都设置代理才能上网，但如果企业原 先已经使用这种方式管理用户上网，则这个缺点就可以忽略 2. 主机正常工作时，备机不工作
– 四层交换
• Reflect Client IP (全部和部分) • Direct Server Return • 连接单个四层交换机和冗余四层交换机
– 路由器策略路由
• Reflect Client IP (全部和部分)
– Connection Forwarding （SG5）
透明部署：串接（Bridge)
Agenda
• 正向代理部署
– 旁路单机 – 旁路 HA Cluster – Proxy PAC 部署 – WPAD自动部署 – 四层交换HA
正向部署：旁路单机
适用：先前已经使用 Explicit Proxy上网的企业， 安全要求很高的企业以及 中小型企业。
WAN
2
3
内网核心交换 机或路由器
Blue Coat SG 代理专用设备
1
VLAN
4
VLAN
用户
用户
用户
用户
用户
用户
设计目的： 设计目的： 简单、不改动网络结构 部署方法： 部署方法： 1. 防火墙上建立规则，仅允许SG访问外网所有端口，内网用户不能直接与外网 服务器建立联接。 2. Blue Coat SG代理专用设备联接于内网的核心交换机上，一般来说，只要SG 的IP地址在网络中可达即可，不一定非要接在核心交换机上不可，但从网络结 构的清晰角度出发，接在核心交换机上比较合理。 3. 客户端（IE/Firefox等浏览器、媒体播放器、多线程下载软件、P2P下载软件等） 上设置代理服务器，指向SG的IP及相关代理端口。 优点： 优点： 这种部署方式是最快速的、最简单的代理部署方案，无需变动网络结构，代理的 设置也相对简单 缺点： 缺点： 管理相对复杂，网络内用户数多时更加明显，因为每个用户都必须清楚地知道 SG的地址及相应的各种代理端口，并在各种客户端上都设置代理才能上网， 但如果企业原先已经使用这种方式管理用户上网，则这个缺点就可以忽略
正向部署：Proxy PAC部署
适用：使用手工设置代理上 网的大中型企业，用户数增 长快的企业
WAN
内网核心交换 机或路由器
VIP
一台或多台SG 一台或多台 代理专用设备
用户
用户
用户
用户
用户
用户
设计目的： 设计目的： 1. 减轻代理服务器地址变化时对客户端的影响 2. 满足一些客户想使多台SG同时工作的要求 部署方法： 部署方法： 1. 防火墙上建立规则，仅允许SG访问外网所有端口，内网用户不能直接与外网服务器建立联接。 2. 两台或多台Blue Coat SG代理专用设备联接于内网的核心交换机上的同一个VLAN 3. 所有SG间形成Failover Group，并设置一个VIP地址，其中一台为主（Master），其它SG为备（Slave) 4. 客户端（IE/Firefox等浏览器）不直接设置具体的代理服务器地址，而设置PAC文件所在URL，从而达 到自动配置代理地址及端口。一旦代理服务器地址发生变化，仅需改动PAC文件即可，无需逐一通知用 户代理地址的改变。如有多台SG形成Failover Group，则PAC文件的脚本中应使用该Failover Group的 VIP作为代理的地址。 优点： 优点： 1. 这种部署方式是最快速的、最简单的代理部署方案，无需变动网络结构，代理的设置也相对简单 2. 与手工设置具体的代理地址相比，其好处是当代理服务器增加或地址变动时，用户无需做任何修改，仅 需对PAC文件脚本内容进行修改即可。 3. 如果有两台以上SG，可以在这些SG间形成多个Failover Group，每个SG分别为一个Failove Group的 主设备，而为其它Failover Group的备份设备，这样通过PAC文件可将用户大致划分为几组，使其自动 配置成使用不同Group内的主设备作为代理，这样，所有SG都同时工作，且任何一台故障后，其上的 流量将切换到其它的SG上，从而在某种程度上实现了负载均衡。 缺点： 缺点： 1. 管理相对复杂，网络内用户数多时更加明显，用户虽然无需知道代理的地址及相应的各种代理端口（这 些信息在PAC文件中指定），但每个用户都必须知道PAC文件所在位置（URL或Windows共享路径）并 手工在IE/Firefox等浏览器中设置。但如果企业原先已经使用手工设置代理方式管理用户上网，则这个 缺点就可以忽略 2. 仅浏览器支持通过PAC文件自动配置代理服务器，其它客户端，如媒体播放器、多线程下载软件、P2P 下载软件等需用户手工设置代理地址（SG真实地址或Failover Group的VIP）
适用：不希望用户手工设置 代理的大中小型企业
WAN
Blue Coat SG 代理专用设备
用户
用户
用户
用户
用户
用户
Байду номын сангаас
设计目的： 设计目的： 用户无需手工设置代理 部署方法： 部署方法： 1. 防火墙上建立规则，仅允许每台SG访问外网所有端口，内网用户不能直接与外网服务器 建立联接。 2. Blue Coat SG代理专用设备串接于内网的核心交换机与防火墙之间。 3. 串接时可使用SG自带的网络接口，通过SGOS将它们绑定为一个Bridge。但这样做需要 考虑设备故障的风险，一旦故障，核心交换机与防火墙间的链路将会全部中断。为避免 这种情况，可在SG上额外配置直通卡（Pass-Through卡），Pass-Through卡在设备掉 电时其两个网口间将形成直通链路，从而避免网络出口中断。 4. 如果内网核心交换机为三层交换机，且内网有超过一个VLAN，在SG上需配置静态路由 VLAN SG 指向核心交换机上的网关地址，SG上的缺省路由指向防火墙。 优点： 优点： 1. 这种部署方式是最快速的、最简单的透明代理部署方案，用户客户端无需进行代理设置 2. 配置Pass-Through卡时，如果SG掉电，网络将直通，不会引起网络中断 缺点： 缺点： 1. 如果不配置Pass-Through卡，一旦SG掉电，网络通路将会中断，形成一个单点故障。 2. 如果配置了Pass-Through卡，一旦SG掉电，网络通路将直通，如果SG上有安全相关的 配置策略，则用户的访问将不能受到这些安全策略的保护
Agenda
• 透明代理部署
– 物理串接单机 – 物理串接HA Cluster （一个线路串接2个SG；2个线路串接2个SG） – WCCP 连接一个路由器
• L2 / GRE • Reflect Client IP (全部和部分)
– WCCP 连接多个路由器
• L2 / GRE • Reflect Client IP (全部和部分)
正向部署：WPAD自动部署
适用：网络代理服务器变动 较频繁的大中型企业
WAN
内网核心交换 机或路由器
一台或多台 SG 代理专用设备
用户
用户
用户
用户
用户
用户
设计目的： 设计目的： 1. 如前所述，在传统代理（Explicit Proxy)的各种部署方案中，最简单的是让每个用户 （Client)在浏览器中手工配置代理服务器的地址及端口，管理员需要让每个用户都知道 代理服务器的地址。为了使用户不需要知道代理服务器的具体地址，可以采用PAC文件 自动配置代理的方式，但PAC文件方式虽然使用户无需知道代理服务器在网络中的位置， 且脚本灵活，能根据用户所在网段、访问的URL等信息自动配置浏览器使用不同的代理 服务器，但这种方式仍然要求用户知道PAC文件所在位置（URL或Windows共享路径）。 WPAD自动发现代理的部署，使用户无需知道PAC文件或代理服务器所在位置，仅需在 IE的代理设置对话框中，Enable“自动检测配置”即可实现浏览器完全自动化配置代理服 务器。 2. 解决大型企业的用户出差到其它的分支机构而不清楚当地代理服务器详细地址的问题 WPAD指的是 指的是Web代理自动发现协议（Web Proxy Auto Discovery） 代理自动发现协议（ ） 指的是 代理自动发现协议 部署方法： 部署方法： 1. 防火墙上建立规则，仅允许每台SG访问外网所有端口，内网用户不能直接与外网服务器 建立联接。 2. Blue Coat SG代理专用设备联接于内网的核心交换机上。如有多台SG可使其部署成 Failover Group。 优点： 优点： 1. 无需变动网络结构，无需手工设置具体的代理服务器地址或PAC文件位置。 2. 与PAC文件方式相比，其好处是用户无需知道PAC文件所在位置，而由浏览器自动检测 代理的地址及端口。 缺点： 缺点： 尽管用户端设置更加简单，但部署初期，需进行较多的网络环境设置。详细请参见配置 IE“自动检测设置”。