bluecoat操作手册.ppt

Blue CoatTrainingDu,FengSystem EngineerBlue Coat ShangHai OfficeBlue Coat SGOSBlue CoatTrainingDu,FengSystem EngineerBlue Coat ShangHai OfficeSGOS 启动Get Start开始安装Blue Coat ProxySG专用设备前，先确定安装设备初始IP地址等信息的设置，并且该IP是可以通过网络可访问的，初始IP地址信息的设置是一个简单的过程，要求配置四个参数：•·        静态静态IP地址地址•·        IP的子网掩码的子网掩码•·        网关网关•·        DNS服务器服务器IP地址地址Blue Coat设备提供了两种配置这些参数的方法:•使用串口线通过传统的串口通讯•通过SG前面板的LCD串口方式串口方式串行电缆: DB9-f DB9-f 2 - 3 (transmit - receive)3 - 2 (receive - transmit)5 - 5 (ground - ground)三次后出现以下：选择2，如果4个主要参数未配，将直接进人Setup Console前面板方式前面板方式在使用前面板时，步骤如下：Enter按钮：模式之间转换和存储变化的配置Menu按钮：从模式返回，并Cancel变化的配置•按Enter按钮切换到配置模式，检查LCD中光标形状•按Up或Down按钮，来修改LCD上可修改的四个参数•按Enter按钮切换到Edit模式，检查LCD中光标的形状•按Left或Right箭头按钮，移动数字下的光标到需修改的参数•按Up或Down箭头按钮来改变数字•重复步骤四和五修改每个参数的数字•按Enter按钮存储修改的值，并回到配置模式为每个可配置参数重复以上步骤 LCDMenu可以配置：Interface 0: IP地址    掩码                     缺省网关                     DNS                     console password                     enable password                     secure serial （Yes/No）Blue CoatTrainingDu,FengSystem EngineerBlue Coat ShangHai OfficeSGOS GUI及基本配置GUI:    https://x.x.x.x:8082 •JAVA GUI界面可以从任何系统方便地进行访问–Browser:  IE 5.0 & 6.0 (SP1 or later),  Netscape 4.7 (4.78 or later) & 7.1–OS:  Windows 98, NT 4.0 (SP6 or later), 2000 (SP2 or later), XP (SP1a)–JRE for Policy Manager: 1.4.2或1.5的版本•Notes:  –浏览器可能缓存了Java (如果有问题，点击Refresh或清除浏览器缓存)–JAVA是会被代理的，在测试和管理时，浏览器不要设置代理–建议在访问该页面时，等状态栏中指示所有Java类下载结束后，再进行后续操作–Java界面有可能要求在输入一次用户名和密码  GUI首页首页 进入管理界面用户端浏览器配置建议网站链接网站链接产品型号IP地址（Int0）软件版本硬件序列号General配置配置 设备名定义 时钟定义 配置备份/恢复 可以修改设备名序列号不可修改时钟设置时钟设置 显示UTC时间显示本地时间选择时区    中国：＋8启动NTP对时对时间隔立即对时暂停时钟对时服务器设置如果要手动修改时钟，必须停止NTP对时，并暂停时钟，然后进行修改对时服务器设置对时服务器设置 对时服务器增加修改删除上移下移尽量使用本地的对时服务配置备份及恢复配置备份及恢复  选择配置类型显示配置选择配置安装方式安装配置选择配置类型选择配置类型Post Setup：当前所有配置，包括从console配置的，和List配置的Brief：所有从console配置的设置，不包括从List配置的Expanded：最完整的配置，包括系统专用的部分，无法放到其它系统Results of Configuration Load：上次加载配置的结果选择配置安装方式选择配置安装方式本地文件方式文本编辑方式Network配置配置 网卡配置路由配置DNS配置高级配置网卡配置网卡配置  选择网卡选择网卡接口部分网卡有多接口IP地址子网掩码网桥配置网卡接口高级配置网卡接口高级配置网卡接口高级配置接受Inbound连接拒绝Inbound连接    将拒绝用网络发起到该接口的连接，包括管理端口的请求，只有使用多端口时才选用网口自适应手工配置网口参数双工/半双工选择Speed选择MAC地址改变浏览器提示（在首页）改变浏览器提示改变浏览器提示直接设定Proxy IP使用SG中缺省的PAC文件进行Proxy设置使用加速的PAC文件进行Proxy设置使用URL指定的PAC文件进行代理设置用户端浏览器配置建议PAC文件文件•Default PAC file, URL: https://x.x.x.x:8082/proxy_pac_filefunction FindProxyForURL(url, host){if( url.substring(0, 5) == "http:" ){return "PROXY 192.168.1.95:8080; DIRECT";}    else if( url.substring(0, 6) == "https:" ){return "PROXY 192.168.1.95:8080; DIRECT"; }    else if( url.substring(0, 4) == "ftp:" ){return "PROXY 192.168.1.95:8080; DIRECT"; }    else{return "DIRECT";}}•Accelerated Pac File, URL: https://x.x.x.x:8082/accelerated_pac_base.pac通过inline accelerated-pac命令，可以设置该PAC文件路由配置路由配置  Gateways配置静态路由配置RIP配置Gateways配置配置已有Gateway生成编辑编辑删除启动IP ForwardingGateway编辑界面：由New和Edit生成Gateway的IP地址分组号     越小优先级越高，高优先级的Gateway全部失效，才选用低优先级的权重：按权重比例分配负载静态路由配置静态路由配置选择静态路由设置方式    URL    本地文件    文本编辑安装显示路由表显示源路由设置文件静态路由表是一个文本文件，每行包含：IP地址、子网掩码、网关IP，例如：192.168.1.0 255.255.255.0 192.168.1.1DNSDNS配置配置  名字添加查询已有DNS服务器设置生成编辑删除上移下移Primary/Alternative选择查问第一个Primary DNS Server返回结果为IP地址?获得IP地址Yes查问第一个Alternate DNS Server是否定义了Alternate ?Yes无法解析No返回结果为域名不存在?NoYes无出错、无应答?NoYes返回结果为IP地址?YesNo按顺序查问后面的Primary DNS ServerNo……Split DNS的应用需使用Primary和Alternate DNS ServerDNS服务器使用次序服务器使用次序Attack Detection配置配置为减少DDOS攻击和端口扫描的影响，SG能够限制从同一Client IP来的并发连接数，也可以限制到超载的服务的并发连接数只能通过命令行配置：enableconf tattack-detectionclientservercreate client ip_address or ip_and_length create hostnameedit hostname      add hostname      remove hostname      request-limit ……Services定义定义 •一个Service将为一种协议产生一个侦听的端口和IP地址•Service = Protocol + IP (Interface IP, VIP, or All) + Port + Attribute(s)•同一端口上的多个Service可以生成在不同的IP上Service 名代理协议IP地址SOCKS Proxy参数Intercept/BypassServicesServices定义修改定义修改属性：    Explicit：指定代理    Transparent：透明代理    Authenticate-401：服务器认证响应    Send-Client-IP：用Client IP到源站点取信息，要求网络配合策略策略配置配置 ·  Policy Options：策略选项·  Policy Files：策略文件，所有策略配置均在系统中对应到一个策略文件，该选项包括对文件方式的配置和备份、恢复等·  Visual Policy Manager：可视化策略管理器，通过可视化界面配置访问控制策略Exceptions：修改缺省的出错页面 策略选项策略选项策略执行次序（越前面优先级越低）上移下移缺省策略设置跟踪所有策略执行（用于Debugging）•Blue Coat 策略结构File1Layer1Rule1Layer2Rule1Rule2Rule3File2   Layer1Rule1Rule2File3File4•Layer = ACL•第一个规则匹配第一个规则匹配 = 进入下一层进入下一层•可能有多条规则匹配•最后一个规则获胜最后一个规则获胜策略说明策略说明策略选项策略选项策略执行次序（越前面优先级越低）上移下移缺省策略设置跟踪所有策略执行（用于Debugging）跟踪策略执行跟踪策略执行start￿transactionstart￿transaction￿￿CPL￿Evaluation￿Trace:￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿MATCH:￿￿￿￿authenticate(islandldap)￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿MATCH:￿￿￿￿ALLOW￿condition=realstreams￿condition=GROUP2￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿￿MATCH:￿condition=realstreams￿condition=GROUP2￿max_bitrate(700K)                      ￿￿￿￿￿￿￿￿￿￿￿￿MATCH:￿￿trace_request(yes)￿trace_rules(yes)￿trace_destination(trace.html)trace_request(yes)￿trace_rules(yes)￿trace_destination(trace.html)￿￿￿connection:￿client_address=192.168.0.196￿proxy_port=1091￿￿time:￿2002-03-29￿10:02:45￿UTC￿￿request:￿RTSP_PLAY￿rtsp://192.168.0.138/rush.rm￿￿￿user:￿name=user0.internetuser0.internet￿realm=islandldap￿￿￿￿￿￿￿￿Auth-Required￿realm=proxy_realm\islandldap￿(basic)￿￿￿￿￿￿￿￿Set-Max-Bitrate:￿700000￿end￿transaction￿end￿transaction￿策略文件策略文件VPM文件管理策略文件安装Central文件变化时自动安装Central文件变化时Email通知显示当前策略文件（可以在显示窗口存为文本）安装方式可视化策略管理器－－可视化策略管理器－－VPMVPM该页面将启动JRE，如果没有JRE环境，浏览器将自动从网络下载安装启动VPM管理界面管理界面安装策略文件改变Layer次序VPM—Policy菜单菜单Admin Authentication Layer：管理员用户认证层，定义更多的管理员用户Admin Access Layer：管理员访问控制层，控制管理员访问的权限DNS Access Layer：DNS访问控制层，如果设置该ProxySG为DNS服务器时，可以控制域名解析SOCKS  Authentication  Layer：用户SOCKS代理访问时的用户认证定义Web  Authentication  Layer：用户Web代理访问时的用户认证Web Access Layer：用户Web访问控制层Web Content Layer：Web访问内容控制层，控制ProxySG到源服务器获取内容的方式Forwarding Layer：转发控制层，可以根据条件设定将用户访问请求转发到指定目标的策略。

生成策略层VPM—Web Authentication Layer其中：缺省生成一条策略，为从任何源（Source:Any）到任何目标（Destination:Any）不做控制（Action:None） VPM—SOCKS Authentication Layer其中：缺省生成一条策略，为从任何源（Source:Any）不做控制（Action:None） VPM—Web Access Layer每个每个Web访问控制策略由：访问控制策略由：源源、、目标目标、、服务服务、、时间时间和和操作操作五部分组成五部分组成 VPM—Web Access Layer—Source定义定义VPM—Web Access Layer—Destination定义定义VPM—Web Access Layer—Service定义定义VPM—Web Access Layer—Time定义定义VPM—Web Access Layer—Action定义定义出错页面出错页面Blue CoatTrainingDu,FengSystem EngineerBlue Coat ShangHai OfficeSGOS 维护和统计维护维护 普通维护OS升级Licensing事件日志设置SNMP设置Heartbeats设置Core Images设置Service信息采集普通维护普通维护 选择软件启动选择硬件启动转换系统重启动恢复缺省设置删除DNS缓存删除系统缓存（采用时间标签的方式实现）Service信息定义信息定义 发送系统信息“快照”“抓包”发送系统信息发送系统信息Service Request Number(将故障报到@，将获得一个Number，来跟踪整个过程)发送自动发送“快照快照”“抓包抓包”开始抓包停止下载显示统计抓包过滤大小抓Bridge的包抓所有包第几次满足条件，开始抓包第几次满足条件，停止抓包统计统计Traffic Mix 报告报告 Traffic History 报告报告 Protocol Detail报告报告 System报告报告 Active Sessions报告报告 Authentication报告报告 Advance URLhttps://x.x.x.x:8082/SYSInfo定义出错页面Blue CoatTrainingDu,FengSystem EngineerBlue Coat ShangHai Office出错页面定义出错页面定义•ProxySG已经内置多个出错页面•可以通过管理界面定义个性化的出错页面•通过策略定义，不同的情况选择不同的出错页面•出错页面采用HTTP语法进行定义生成出错页面生成出错页面•通过console界面，定义出错页面，命令如下：•Enable•Conf t•Exceptions•Create my_deny•Edit my_deny•Inline http format •……••其中，my_deny为出错页面名，在Policy中引用•           ……为出错页面内容出错页面内容举例出错页面内容举例Your request will now be redirected to your requested site.document.write('

 •点击OK完成定义•该定义可以通过弹出窗口中定义的Name，被其他策略引用Blue CoatTrainingDu,FengSystem EngineerBlue Coat ShangHai OfficeSGOS 带宽管理策略带宽限制策略配置带宽限制策略配置—定义带宽类定义带宽类建议将工具下载、流媒体等大流量的通讯限制在指定带宽范围类，初始为30Mbps，以后可以根据带宽状况进行调整定义带宽类：SG的web管理界面configuration/bandwidth management/BWM Classes进入定义页面，定义一个带宽类，名字为limit，最大带宽30Mbps，优先级为3，如下图示：带宽限制策略配置带宽限制策略配置—定义带宽控制策略定义带宽控制策略    delete_on_abandonment(yes)    url.scheme=http condition=Limit limit_bandwidth.server.inbound(limit)url.domain= denyurl.domain= denyurl.domain= http.server.recv.timeout(80)define condition NO_or_LARGE_CONTENT_LENGTH    response.header.Content-Length=!""    response.header.Content-Length=!"^[0-9]{1,6}$"end condition NO_or_LARGE_CONTENT_LENGTHdefine condition MEDIA_MIME_TYPES    response.header.Content-Type="video/"    response.header.Content-Type="application/streamingmedia"    response.header.Content-Type="application/x-streamingmedia"    response.header.Content-Type="application/vnd.rn"    response.header.Content-Type="application/ogg"    response.header.Content-Type="application/x-ogg"    response.header.Content-Type="audio/"    response.header.Content-Type="multipart/x-mixed-replace"end condition MEDIA_MIME_TYPESdefine condition Byte_range    request.header.Range="bytes.*"end Byte_rangedefine condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH    condition=NO_or_LARGE_CONTENT_LENGTH condition=MEDIA_MIME_TYPESend condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTHdefine condition Limit    condition=VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH    condition=Byte_rangeend condition Limit•该策略将对下载超过1M大小、下载工具使用的续传、视频及语音信息访问进行带宽限制•屏蔽迅雷相关的域名：                        在原策略中，没有屏蔽带宽限制策略配置带宽限制策略配置—带宽控制策略安装带宽控制策略安装•从Web管理界面configuration/Policy/Policy files进入，选择Local policies的安装方式为Text Editor，如下图示：•请将弹出窗口中的原策略备份下来，以便以后启动AV扫描时使用•用上一页的策略覆盖窗口中的所有内容•然后Install用户认证介绍Blue CoatTrainingDu,FengSystem EngineerBlue Coat ShangHai Office用户认证类型用户认证类型•Blue Coat SG 安全–Console访问–物理访问 (front panel, serial port)•Blue Coat SG用户认证–在允许访问前确认用户•资源认证请求Blue Coat SG安全安全•控制对SG专用设备的访问–根据IP地址或地址范围进行限制–配置终端的Password保护–前面板操作的 PIN–串口访问的Password保护•基于角色的安全控制–使用基于认证域的认证–细粒化的操作选择VPM—Admin Authentication Layer认证系统管理员VPM—Admin Access Layer用户认证用户认证•基于用户和用户分组的策略•细粒化的报告•管理提示页面指定代理用户认证指定代理用户认证常见问题常见问题1：：Access Log TailThe current time is Tue Jul 22, 2008 09:42:11 UTC #Software: SGOS 4.2.4.1 #Version: 1.0 #Start-Date: 2008-07-22 09:42:11 #Date: 2008-07-04 08:25:29 #Fields: date time time-taken c-ip cs-username cs-auth-group x-exception-id sc-filter-result cs-categories cs(Referer) sc-status s-action cs-method rs(Content-Type) cs-uri-scheme cs-host cs-uri-port cs-uri-path cs-uri-query cs-uri-extension cs(User-Agent) s-ip sc-bytes cs-bytes x-virus-id #Remark: (not available) "192.168.1.98 - Blue Coat SG110" 2008-07-22 09:42:36 4448 192.168.1.140 - - authentication_failed PROXIED "News/Media" - 407 TCP_DENIED GET - http  80 / - - "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" 192.168.1.98 1081 789 – 2008-07-22 09:43:00 1654 192.168.1.140 test1 - - PROXIED "Search Engines/Portals"  304 TCP_MISS GET application/x-javascript http  80 /rls/pusher/stable.js - js "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" 192.168.1.98 474 516 - 在Reporter的报告中，用户“-”排第一？常见问题常见问题2：：1、该软件是否支持代理的用户认证？2、不做用户认证时，是否能通过？3、检查访问日志、Policy Trace、PCAP4、Walk around•配置对特定端口不做用户认证•采用Socks代理方式•选择基于IP的认证方式某些软件无法通过SG的用户认证？案例分析：案例分析：“同花顺同花顺”1、支持代理用户认证2、无用户认证时，通过SG的HTTP代理没问题3、现象：有的用户可以上，有的不行检查访问日志：检查访问日志：2008-07-23 05:32:59 2 192.168.1.60 407 TCP_DENIED 1084 428 GET http  80 /docookie.php ?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083111 - - NONE - - - "Cookie Session" PROXIED "none" - 192.168.1.97 2008-07-23 05:33:05 530 192.168.1.60 200 TCP_NC_MISS 1053 496 GET http  80 /docookie.php ?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083111 test1 - DIRECT  text/html;%20charset=gb2312 - "Cookie Session" PROXIED "none" - 192.168.1.97 2008-07-23 05:33:06 88 192.168.1.60 200 TCP_NC_MISS 1053 496 GET http  80 /docookie.php ?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083111 test1 - DIRECT  text/html;%20charset=gb2312 - "Cookie Session" PROXIED "none" - 192.168.1.97 2008-07-23 05:33:09 5 192.168.1.60 400 TCP_DENIED 177 111 CONNECT tcp 61.151.247.212 8601 / - - - NONE - - - - PROXIED "none" - 192.168.1.97 2008-07-23 05:33:10 18 192.168.1.60 400 TCP_DENIED 177 109 CONNECT tcp 60.217.234.35 8601 / - - - NONE - - - - PROXIED "none" - 192.168.1.97 2008-07-23 05:33:10 23 192.168.1.60 400 TCP_DENIED 177 109 CONNECT tcp 202.104.106.6 8601 / - - - NONE - - - - PROXIED "none" - 192.168.1.97 检查检查Policy Trace ：：start transaction ------------------- CPL Evaluation Trace: transaction ID=1137  MATCH: ALLOW  MATCH: authenticate(ad) authenticate.force(no) authenticate.mode(proxy-ip)  MATCH: socks.authenticate(ad) socks.authenticate.force(no)        MATCH: response.raw_headers.tolerate(continue) connection: client.address=192.168.1.60 proxy.port=8080 time: 2008-07-23 05:33:06 UTC CONNECT tcp://61.151.247.212:8601/ RDNS lookup was unrestricted user: unauthenticated EXCEPTION(bad_credentials): Request could not be handled url.category: none stop transaction -------------------- 检查检查PCAP ：：被Deny时：用户名：test1，密码：test123正常的HTTP访问：用户名：test1，密码：test123正常的HTTP访问：用户名：test2，密码：test1234Workaround:对特定端口不做用户认证对特定端口不做用户认证Workaround:采用采用Socks代理方式代理方式1、Socks是非Web应用通过代理的常用方式2、“同花顺”可能会跳出很多认证窗口3、“同花顺”会调用IE的模块获取一些控件4、需要设置全部通过Socks代理Workaround:选择基于选择基于IP的认证方式的认证方式“同花顺”中不能再设置用户名和密码。