bluecoat操作手冊的教案第1頁/共87頁BlueCoat

TrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOS啟動第2頁/共87頁GetStart開始安裝BlueCoatProxySG專用設(shè)備前，先確定安裝設(shè)備初始IP地址等信息的設(shè)置，并且該IP是可以通過網(wǎng)絡(luò)可訪問的，初始IP地址信息的設(shè)置是一個簡單的過程，要求配置四個參數(shù)：·

靜態(tài)IP地址·

IP的子網(wǎng)掩碼·

網(wǎng)關(guān)·

DNS服務(wù)器IP地址BlueCoat設(shè)備提供了兩種配置這些參數(shù)的方法:使用串口線通過傳統(tǒng)的串口通訊通過SG前面板的LCD第3頁/共87頁串口方式串行電纜:DB9-fDB9-f

2-3(transmit-receive)

3-2(receive-transmit)

5-5(ground-ground)三次<Enter>后出現(xiàn)以下：選擇2，如果4個主要參數(shù)未配，將直接進(jìn)人SetupConsole第4頁/共87頁前面板方式在使用前面板時，步驟如下：Enter按鈕：模式之間轉(zhuǎn)換和存儲變化的配置Menu按鈕：從模式返回，并Cancel變化的配置按Enter按鈕切換到配置模式，檢查LCD中光標(biāo)形狀按Up或Down按鈕，來修改LCD上可修改的四個參數(shù)按Enter按鈕切換到Edit模式，檢查LCD中光標(biāo)的形狀按Left或Right箭頭按鈕，移動數(shù)字下的光標(biāo)到需修改的參數(shù)按Up或Down箭頭按鈕來改變數(shù)字重復(fù)步驟四和五修改每個參數(shù)的數(shù)字按Enter按鈕存儲修改的值，并回到配置模式為每個可配置參數(shù)重復(fù)以上步驟

LCDMenu可以配置：

Interface0:IP地址 掩碼缺省網(wǎng)關(guān)DNSconsolepasswordenablepasswordsecureserial（Yes/No）第5頁/共87頁BlueCoat

TrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOSGUI及基本配置第6頁/共87頁GUI:

https://x.x.x.x:8082

JAVAGUI界面可以從任何系統(tǒng)方便地進(jìn)行訪問Browser:IE5.0&6.0(SP1orlater),

Netscape4.7(4.78orlater)&7.1OS:Windows98,NT4.0(SP6orlater),2000(SP2orlater),XP(SP1a)JREforPolicyManager:1.4.2或1.5的版本Notes:

瀏覽器可能緩存了Java(如果有問題，點(diǎn)擊Refresh或清除瀏覽器緩存)JAVA是會被代理的，在測試和管理時，瀏覽器不要設(shè)置代理建議在訪問該頁面時，等狀態(tài)欄中指示所有Java類下載結(jié)束后，再進(jìn)行后續(xù)操作Java界面有可能要求在輸入一次用戶名和密碼

第7頁/共87頁GUI首頁

進(jìn)入管理界面用戶端瀏覽器配置建議網(wǎng)站鏈接網(wǎng)站鏈接產(chǎn)品型號IP地址（Int0）軟件版本硬件序列號第8頁/共87頁General配置

設(shè)備名定義

時鐘定義

配置備份/恢復(fù)

可以修改設(shè)備名序列號不可修改第9頁/共87頁時鐘設(shè)置

顯示UTC時間顯示本地時間選擇時區(qū)中國：＋8啟動NTP對時對時間隔立即對時暫停時鐘對時服務(wù)器設(shè)置如果要手動修改時鐘，必須停止NTP對時，并暫停時鐘，然后進(jìn)行修改第10頁/共87頁對時服務(wù)器設(shè)置

對時服務(wù)器增加修改刪除上移下移盡量使用本地的對時服務(wù)第11頁/共87頁配置備份及恢復(fù)

選擇配置類型顯示配置選擇配置安裝方式安裝配置第12頁/共87頁選擇配置類型PostSetup：當(dāng)前所有配置，包括從console配置的，和List配置的Brief：所有從console配置的設(shè)置，不包括從List配置的Expanded：最完整的配置，包括系統(tǒng)專用的部分，無法放到其它系統(tǒng)ResultsofConfigurationLoad：上次加載配置的結(jié)果第13頁/共87頁選擇配置安裝方式本地文件方式文本編輯方式第14頁/共87頁Network配置

網(wǎng)卡配置路由配置DNS配置高級配置第15頁/共87頁網(wǎng)卡配置

選擇網(wǎng)卡選擇網(wǎng)卡接口部分網(wǎng)卡有多接口IP地址子網(wǎng)掩碼網(wǎng)橋配置網(wǎng)卡接口高級配置第16頁/共87頁網(wǎng)卡接口高級配置接受Inbound連接拒絕Inbound連接

將拒絕用網(wǎng)絡(luò)發(fā)起到該接口的連接，包括管理端口的請求，只有使用多端口時才選用網(wǎng)口自適應(yīng)手工配置網(wǎng)口參數(shù)雙工/半雙工選擇Speed選擇MAC地址改變?yōu)g覽器提示（在首頁）第17頁/共87頁改變?yōu)g覽器提示直接設(shè)定ProxyIP使用SG中缺省的PAC文件進(jìn)行Proxy設(shè)置使用加速的PAC文件進(jìn)行Proxy設(shè)置使用URL指定的PAC文件進(jìn)行代理設(shè)置用戶端瀏覽器配置建議第18頁/共87頁P(yáng)AC文件DefaultPACfile,URL:https://x.x.x.x:8082/proxy_pac_filefunctionFindProxyForURL(url,host){ if(url.substring(0,5)=="http:") { return"PROXY5:8080;DIRECT"; }elseif(url.substring(0,6)=="https:") { return"PROXY5:8080;DIRECT"; }elseif(url.substring(0,4)=="ftp:") { return"PROXY5:8080;DIRECT"; }else { return"DIRECT"; }}AcceleratedPacFile,URL:https://x.x.x.x:8082/accelerated_pac_base.pac通過inlineaccelerated-pac命令，可以設(shè)置該P(yáng)AC文件第19頁/共87頁路由配置

Gateways配置靜態(tài)路由配置RIP配置第20頁/共87頁Gateways配置已有Gateway生成編輯編輯刪除啟動IPForwardingGateway編輯界面：由New和Edit生成Gateway的IP地址分組號越小優(yōu)先級越高，高優(yōu)先級的Gateway全部失效，才選用低優(yōu)先級的權(quán)重：按權(quán)重比例分配負(fù)載第21頁/共87頁靜態(tài)路由配置選擇靜態(tài)路由設(shè)置方式URL本地文件文本編輯安裝顯示路由表顯示源路由設(shè)置文件靜態(tài)路由表是一個文本文件，每行包含：IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)IP，例如：第22頁/共87頁DNS配置

名字添加查詢已有DNS服務(wù)器設(shè)置生成編輯刪除上移下移Primary/Alternative選擇第23頁/共87頁查問第一個PrimaryDNSServer返回結(jié)果為IP地址?獲得IP地址Yes查問第一個AlternateDNSServer是否定義了Alternate?Yes無法解析No返回結(jié)果為域名不存在?NoYes無出錯、無應(yīng)答?NoYes返回結(jié)果為IP地址?YesNo按順序查問后面的PrimaryDNSServerNo……SplitDNS的應(yīng)用需使用Primary和AlternateDNSServerDNS服務(wù)器使用次序第24頁/共87頁AttackDetection配置為減少DDOS攻擊和端口掃描的影響，SG能夠限制從同一ClientIP來的并發(fā)連接數(shù)，也可以限制到超載的服務(wù)的并發(fā)連接數(shù)只能通過命令行配置：

enable conft

attack-detection

client server createclientip_addressorip_and_length createhostname edithostname addhostname removehostname request-limit……第25頁/共87頁Services定義

一個Service將為一種協(xié)議產(chǎn)生一個偵聽的端口和IP地址Service=Protocol+IP(InterfaceIP,VIP,orAll)+Port+Attribute(s)同一端口上的多個Service可以生成在不同的IP上Service名代理協(xié)議IP地址SOCKSProxy參數(shù)Intercept/Bypass第26頁/共87頁Services定義修改屬性：

Explicit：指定代理

Transparent：透明代理

Authenticate-401：服務(wù)器認(rèn)證響應(yīng)

Send-Client-IP：用ClientIP到源站點(diǎn)取信息，要求網(wǎng)絡(luò)配合第27頁/共87頁策略配置

·

PolicyOptions：策略選項(xiàng)·

PolicyFiles：策略文件，所有策略配置均在系統(tǒng)中對應(yīng)到一個策略文件，該選項(xiàng)包括對文件方式的配置和備份、恢復(fù)等·

VisualPolicyManager：可視化策略管理器，通過可視化界面配置訪問控制策略Exceptions：修改缺省的出錯頁面

第28頁/共87頁策略選項(xiàng)策略執(zhí)行次序（越前面優(yōu)先級越低）上移下移缺省策略設(shè)置跟蹤所有策略執(zhí)行（用于Debugging）第29頁/共87頁BlueCoat策略結(jié)構(gòu)File1Layer1Rule1Layer2Rule1Rule2Rule3File2 Layer1 Rule1 Rule2File3File4Layer=ACL第一個規(guī)則匹配=進(jìn)入下一層可能有多條規(guī)則匹配最后一個規(guī)則獲勝策略說明第30頁/共87頁策略選項(xiàng)策略執(zhí)行次序（越前面優(yōu)先級越低）上移下移缺省策略設(shè)置跟蹤所有策略執(zhí)行（用于Debugging）第31頁/共87頁跟蹤策略執(zhí)行starttransactionCPLEvaluationTrace:<Proxy>MATCH:authenticate(islandldap)

<Proxy>MATCH:ALLOWcondition=realstreamscondition=GROUP2

<Proxy>MATCH:condition=realstreamscondition=GROUP2max_bitrate(700K)

<Proxy>MATCH:trace_request(yes)trace_rules(yes)trace_destination(trace.html)

connection:client_address=96proxy_port=1091time:2002-03-2910:02:45UTCrequest:RTSP_PLAYrtsp://38/rush.rmuser:name=ernetrealm=islandldapAuth-Requiredrealm=proxy_realm\islandldap(basic)

Set-Max-Bitrate:

700000endtransaction第32頁/共87頁策略文件VPM文件管理策略文件安裝Central文件變化時自動安裝Central文件變化時Email通知顯示當(dāng)前策略文件（可以在顯示窗口存為文本）安裝方式第33頁/共87頁可視化策略管理器－－VPM該頁面將啟動JRE，如果沒有JRE環(huán)境，瀏覽器將自動從網(wǎng)絡(luò)下載安裝啟動第34頁/共87頁VPM管理界面安裝策略文件改變Layer次序第35頁/共87頁VPM—Policy菜單AdminAuthenticationLayer：管理員用戶認(rèn)證層，定義更多的管理員用戶AdminAccessLayer：管理員訪問控制層，控制管理員訪問的權(quán)限D(zhuǎn)NSAccessLayer：DNS訪問控制層，如果設(shè)置該P(yáng)roxySG為DNS服務(wù)器時，可以控制域名解析SOCKSAuthenticationLayer：用戶SOCKS代理訪問時的用戶認(rèn)證定義WebAuthenticationLayer：用戶Web代理訪問時的用戶認(rèn)證WebAccessLayer：用戶Web訪問控制層WebContentLayer：Web訪問內(nèi)容控制層，控制ProxySG到源服務(wù)器獲取內(nèi)容的方式ForwardingLayer：轉(zhuǎn)發(fā)控制層，可以根據(jù)條件設(shè)定將用戶訪問請求轉(zhuǎn)發(fā)到指定目標(biāo)的策略。生成策略層第36頁/共87頁VPM—WebAuthenticationLayer其中：缺省生成一條策略，為從任何源（Source:Any）到任何目標(biāo)（Destination:Any）不做控制（Action:None）。

第37頁/共87頁VPM—SOCKSAuthenticationLayer其中：缺省生成一條策略，為從任何源（Source:Any）不做控制（Action:None）。

第38頁/共87頁VPM—WebAccessLayer每個Web訪問控制策略由：源、目標(biāo)、服務(wù)、時間和操作五部分組成

第39頁/共87頁VPM—WebAccessLayer—Source定義第40頁/共87頁VPM—WebAccessLayer—Destination定義第41頁/共87頁VPM—WebAccessLayer—Service定義第42頁/共87頁VPM—WebAccessLayer—Time定義第43頁/共87頁VPM—WebAccessLayer—Action定義第44頁/共87頁出錯頁面第45頁/共87頁BlueCoat

TrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOS維護(hù)和統(tǒng)計第46頁/共87頁維護(hù)

普通維護(hù)OS升級Licensing事件日志設(shè)置SNMP設(shè)置Heartbeats設(shè)置CoreImages設(shè)置Service信息采集第47頁/共87頁普通維護(hù)

選擇軟件啟動選擇硬件啟動轉(zhuǎn)換系統(tǒng)重啟動恢復(fù)缺省設(shè)置刪除DNS緩存刪除系統(tǒng)緩存（采用時間標(biāo)簽的方式實(shí)現(xiàn)）第48頁/共87頁Service信息定義

發(fā)送系統(tǒng)信息“快照”“抓包”第49頁/共87頁發(fā)送系統(tǒng)信息ServiceRequestNumber(將故障報到@，將獲得一個Number，來跟蹤整個過程)發(fā)送自動發(fā)送第50頁/共87頁“快照”第51頁/共87頁“抓包”開始抓包停止下載顯示統(tǒng)計抓包過濾大小抓Bridge的包抓所有包第幾次滿足條件，開始抓包第幾次滿足條件，停止抓包第52頁/共87頁統(tǒng)計第53頁/共87頁TrafficMix報告

第54頁/共87頁TrafficHistory報告

第55頁/共87頁P(yáng)rotocolDetail報告

第56頁/共87頁System報告

第57頁/共87頁ActiveSessions報告

第58頁/共87頁Authentication報告

第59頁/共87頁AdvanceURLhttps://x.x.x.x:8082/SYSInfo第60頁/共87頁定義出錯頁面BlueCoat

TrainingDu,FengSystemEngineerBlueCoatShangHaiOffice第61頁/共87頁出錯頁面定義ProxySG已經(jīng)內(nèi)置多個出錯頁面可以通過管理界面定義個性化的出錯頁面通過策略定義，不同的情況選擇不同的出錯頁面出錯頁面采用HTTP語法進(jìn)行定義第62頁/共87頁生成出錯頁面通過console界面，定義出錯頁面，命令如下：EnableConftExceptionsCreatemy_denyEditmy_denyInlinehttpformat<end>……<end>其中，my_deny為出錯頁面名，在Policy中引用

……為出錯頁面內(nèi)容第63頁/共87頁出錯頁面內(nèi)容舉例<html><head><title>Redirector</title></head>Yourrequestwillnowberedirectedtoyourrequestedsite.<SCRIPTlanguage=javascript>document.write('<metahttp-equiv="refresh"content="0;URL=/')document.write(window.location.hostname);document.write(window.location.pathname);document.write('">');</SCRIPT></html>以下出錯頁面將請求轉(zhuǎn)向到可通過前述inline命令定義為my_deny的內(nèi)容。第64頁/共87頁通過策略選用定義的出錯頁面在VPM的WebAccess策略中，需要使用定義的出錯頁面進(jìn)行DENY時在Action欄中，使用鼠標(biāo)右鍵，選擇Set/New/ReturnExceptions在彈出窗口中，選定User-definedexception:，并選擇my_deny。點(diǎn)擊OK完成定義該定義可以通過彈出窗口中定義的Name，被其他策略引用。第65頁/共87頁BlueCoat

TrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOS帶寬管理策略第66頁/共87頁帶寬限制策略配置—定義帶寬類建議將工具下載、流媒體等大流量的通訊限制在指定帶寬范圍類，初始為30Mbps，以后可以根據(jù)帶寬狀況進(jìn)行調(diào)整。定義帶寬類：SG的web管理界面configuration/bandwidthmanagement/BWMClasses進(jìn)入定義頁面，定義一個帶寬類，名字為limit，最大帶寬30Mbps，優(yōu)先級為3，如下圖示：第67頁/共87頁帶寬限制策略配置—定義帶寬控制策略<cache>delete_on_abandonment(yes)<Proxy>url.scheme=httpcondition=Limitlimit_bandwidth.server.inbound(limit)<proxy>url.domain=denyurl.domain=deny<proxy>url.domain=http.server.recv.timeout(80)defineconditionNO_or_LARGE_CONTENT_LENGTHresponse.header.Content-Length=!""response.header.Content-Length=!"^[0-9]{1,6}$"endconditionNO_or_LARGE_CONTENT_LENGTHdefineconditionMEDIA_MIME_TYPESresponse.header.Content-Type="video/"response.header.Content-Type="application/streamingmedia"response.header.Content-Type="application/x-streamingmedia"response.header.Content-Type="application/vnd.rn"response.header.Content-Type="application/ogg"response.header.Content-Type="application/x-ogg"response.header.Content-Type="audio/"response.header.Content-Type="multipart/x-mixed-replace"endconditionMEDIA_MIME_TYPESdefineconditionByte_rangerequest.header.Range="bytes.*"endByte_rangedefineconditionVIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTHcondition=NO_or_LARGE_CONTENT_LENGTHcondition=MEDIA_MIME_TYPESendconditionVIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTHdefineconditionLimitcondition=VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTHcondition=Byte_rangeendconditionLimit該策略將對下載超過1M大小、下載工具使用的續(xù)傳、視頻及語音信息訪問進(jìn)行帶寬限制屏蔽迅雷相關(guān)的域名：

在原策略中，沒有屏蔽第68頁/共87頁帶寬限制策略配置—帶寬控制策略安裝從Web管理界面configuration/Policy/Policyfiles進(jìn)入，選擇Localpolicies的安裝方式為TextEditor，如下圖示：請將彈出窗口中的原策略備份下來，以便以后啟動AV掃描時使用用上一頁的策略覆蓋窗口中的所有內(nèi)容然后Install第69頁/共87頁用戶認(rèn)證介紹BlueCoat

TrainingDu,FengSystemEngineerBlueCoatShangHaiOffice第70頁/共87頁用戶認(rèn)證類型BlueCoatSG

安全Console訪問物理訪問(frontpanel,serialport)BlueCoatSG用戶認(rèn)證在允許訪問前確認(rèn)用戶資源認(rèn)證請求第71頁/共87頁BlueCoatSG安全控制對SG專用設(shè)備的訪問根據(jù)IP地址或地址范圍進(jìn)行限制配置終端的Password保護(hù)前面板操作的PIN串口訪問的Password保護(hù)基于角色的安全控制使用基于認(rèn)證域的認(rèn)證細(xì)粒化的操作選擇第72頁/共87頁VPM—AdminAuthenticationLayer認(rèn)證系統(tǒng)管理員第73頁/共87頁VPM—AdminAccessLayer第74頁/共87頁用戶認(rèn)證基于用戶和用戶分組的策略細(xì)?；膱蟾婀芾硖崾卷撁娴?5頁/共87頁指定代理用戶認(rèn)證第76頁/共87頁常見問題1：AccessLogTailThecurrenttimeisTueJul22,200809:42:11UTC#Software:SGOS#Version:1.0#Start-Date:2008-07-2209:42:11#Date:2008-07-0408:25:29#Fields:datetimetime-takenc-ipcs-usernamecs-auth-groupx-exception-idsc-filter-resultcs-categoriescs(Referer)sc-statuss-actioncs-methodrs(Content-Type)cs-uri-schemecs-hostcs-uri-portcs-uri-pathcs-uri-querycs-uri-extensioncs(User-Agent)s-ipsc-bytescs-bytesx-virus-id#Remark:(notavailable)"8-BlueCoatSG110"2008-07-2209:42:36444840--authentication_failedPROXIED"News/Media"-407TCP_DENIEDGET-http80/--"Mozilla/4.0(compatible;MSIE7.0;WindowsNT5.1)"81081789–2008-07-2209:43:00165440test1--PROXIED"SearchEngines/Portals"/304TCP_MISSGETapplication/x-javascripthttp80/rls/pusher/stable.js-js"Mozilla/4.0(compatible;MSIE7.0;WindowsNT5.1)"8474516-在Reporter的報告中，用戶“-”排第一？第77頁/共87頁常見問題2：1、該軟件是否支持代理的用戶認(rèn)證？2、不做用戶認(rèn)證時，是否能通過？3、檢查訪問日志、PolicyTrace、PCAP4、Walkaround配置對特定端口不做用戶認(rèn)證采用Socks代理方式選擇基于IP的認(rèn)證方式某些軟件無法通過SG的用戶認(rèn)證？第78頁/共87頁案例分析：“同花順”1、支持代理用戶認(rèn)證2、無用戶認(rèn)證時，通過SG的HTTP代理沒問題3、現(xiàn)象：有的用戶可以上，有的不行第79頁/共87頁檢查訪問日志：2008-07-2305:32:5920407TCP_DENIED1084428GEThttp80/docookie.php?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083111--NONE---"CookieSession"PROXIED"none"-72008-07-2305:33:055300200TCP_NC_MISS1053496GEThttp80/docookie.php?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083111test1-DIRECTtext/html;%20charset=gb2312-"CookieSession"PROXIED"none"-72008-07-2305:33:06880200TCP_NC_MISS1053496GEThttp80/docookie.php?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083111test1-D