BlueCoat互聯(lián)網(wǎng)代理安全網(wǎng)關功能需求文檔

1、互聯(lián)網(wǎng)代理安全網(wǎng)關功能需求文檔互聯(lián)網(wǎng)代理安全網(wǎng)關功能需求文檔2011 年 1 月目目 錄錄一、一、 安裝設備及安裝環(huán)境安裝設備及安裝環(huán)境.41.1 實施設備清單 .41.2 實施拓樸結構圖 .4二、二、 實施步驟實施步驟.52.1 物理連接 .52.2 初始 ip 地址配置.52.3 遠程管理軟件配置 .52.4 網(wǎng)絡配置 .62.4.1 adapter 1地址配置.62.4.2 靜態(tài)路由配置.72.4.3 配置外網(wǎng)dns服務器.92.4.4 配置虛擬ip地址.92.4.5 配置fail over .102.5 配置代理服務端口 .122.6 配置本地時鐘 .132.7 配置 radius認證

2、服務.132.8 內容過濾列表定義及下載 .162.9 定義病毒掃描服務器 .182.10 帶寬管理定義 .222.11 策略設置 .232.11.1 配置ddos攻擊防御.232.11.2 設置缺省策略為deny.232.11.3 配置blue coat anti-spyware策略.242.11.4 訪問控制策略配置-vpm.252.11.5 病毒掃描策略配置.252.11.6 用戶認證策略設置.272.11.7 帶寬管理策略定義.292.11.8 work_group用戶組訪問控制策略定義.342.11.9 management_group用戶組訪問控制策略定義.362.11.10 hi

3、gh_level_group用戶組訪問控制策略定義.362.11.11 normal_group用戶組訪問控制策略定義.372.11.12 temp_group用戶組訪問控制策略定義.372.11.13 ie瀏覽器版本檢查策略.392.11.14 dns解析策略設置.41一、一、 安裝設備及安裝環(huán)境安裝設備及安裝環(huán)境1.1 實施實施設備清單設備清單bluecoat 安全代理專用設備 sg60010 一臺，av510-a 一臺，bcwf 內容過濾，mcafee 防病毒,企業(yè)版報表模塊。1.2 實施實施拓樸結構圖拓樸結構圖bluecoat 設備 sg600-103 配置于內網(wǎng)，av510-a 與

4、sg600-10 之間通過icap 協(xié)議建立通信。連接方法有以下幾種，網(wǎng)絡示意結構如下圖：旁路模式：二、二、 實施步驟實施步驟2.1 物理連接物理連接兩臺 bluecoat sg8002 的 adapter0_interface 0 和 adapter1_interface0 通過以太網(wǎng)雙絞線連接于兩臺 radware cid 交換機。2.2 初始初始 ip 地址配置地址配置通過設備前控制面板可以設置 proxysg800-2 的 adapter0_interface0 的地址為：第一臺 sg8002：(ip) 24(mask) 191.32.1.

5、1(default gateway)第二臺 sg8002：1(ip) 24(mask) (default gateway)2.3 遠程管理軟件配置遠程管理軟件配置bluecoat 安全代理專用設備通過 ie 瀏覽器和 ssh 命令進行管理，瀏覽器管理端口為 8082，管理用的 pc 機需安裝了 java 運行環(huán)境。管理界面的 url 為：:8082 和 1:80822.4 網(wǎng)絡配置網(wǎng)絡配置在 xxxxx 網(wǎng)絡環(huán)境中，(1)proxysg800-2 兩個端口均需配

6、置 ip 地址；(2)除缺省路由指向防火墻，還需一條靜態(tài)路由，作為內網(wǎng)通訊的路由，(3)配置外網(wǎng) dns，以便 proxysg 到互聯(lián)網(wǎng)的訪問，(4) 每臺另外需要一個虛擬 ip 地址，作為內部員工的 dns 解析服務器 ip 地址；(5)對虛擬 ip 地址配置 fail over，當一臺 proxysg 停止工作，其虛擬 ip 將切換到另外一臺。2.4.1 adapter 1 地址配置地址配置從 web 管理界面 management console/configuration/network/adapter 進入，在adapters 下拉框中選擇 adapter1，并在 ip addres

7、s for interface 0 和 subnet mask for interface 0 中配置 ip 地址和子網(wǎng)掩碼，如下圖示：第一臺 proxysg800-2 的 ip 地址為：0，掩碼：24第二臺 proxysg800-2 的 ip 地址為：2，掩碼：24點擊 apply 使配置生效。2.4.2 靜態(tài)路由配置靜態(tài)路由配置從 web 管理界面 management console/configuration/network/routing 進入，在窗口上部選項中選擇 routing，并在 in

8、stall routing table from 下拉框中選擇 text editor，如下圖示：點擊 install，并在彈出窗口中輸入靜態(tài)路由： 如下圖示：點擊 install 使配置生效。2.4.3 配置外網(wǎng)配置外網(wǎng) dns 服務器服務器從 web 管理界面 management console/configuration/network/dns 進入，如下圖示：點擊 new 增加外網(wǎng) dns 服務器 ip 地址，并點擊 apply 使配置生效。2.4.4 配置虛擬配置虛擬 ip 地址地址從 web 管理界面 managemen

9、t console/configuration/network/advanced 進入，在窗口上部選項中選擇 vips，如下圖示：點擊 new 配置虛擬 ip 地址，并點擊 apply 使配置生效。第一臺 proxysg800-2 的虛擬 ip 地址為：3第二臺 proxysg800-2 的虛擬 ip 地址為：42.4.5 配置配置 fail over從 web 管理界面 management console/configuration/network/advanced 進入，在窗口上部選項中選擇 failover，如下圖示：點擊 new 配置 fail

10、over 組，如下圖示：在彈出窗口中，選擇 existing ip，并在下拉框中選擇已定義的虛擬 ip 地址：3（第一臺 proxysg800），4（第二臺 proxysg800），在group setting 中，選擇 enable，并在 relative priority 中選中 master，點擊 ok 完成配置。并點擊 apply 使配置生效。點擊 new 配置另一個 failover 組，如下圖示：在彈出窗口中，選擇 new ip，指定虛擬 ip 地址：4（第一臺proxysg800），3（第二臺 pro

11、xysg800），在 group setting 中，選擇enable，點擊 ok 完成配置。并點擊 apply 使配置生效。2.5 配置配置代理服務端口代理服務端口在 xxxxx 網(wǎng)絡中 proxysg 將提供 http（80 端口）、socks（1080 端口）、dns(53 端口)的代理服務，其它通訊如：msn、流媒體等均通過 http 或 socks代理實現(xiàn)。從 web 管理界面 management console/configuration/services/service ports 進入，如下圖示：其中，ssh-console（22）、telnet-console（23）、ht

12、tp-console（8081）是為系統(tǒng)管理提供服務的端口，可以根據(jù)網(wǎng)絡管理要求選擇是否開放；dns-proxy（53）、http（80）和 socks（1080）必須 enable（yes），并且包括explicit 屬性，http（80）需要包括 transparent 屬性。并點擊 apply 使配置生效。2.6 配置本地時鐘配置本地時鐘從 web 管理界面 management console/configuration/general/clock 進入，如下圖示：選擇本地時鐘定義為8 區(qū)，并點擊 apply 使配置生效。2.7 配置配置 radius 認證服務認證服務互聯(lián)網(wǎng)訪問用戶將

13、采用 radius 進行用戶認證，用戶分組通過 radius 的屬性進行定義，分組與屬性對應關系如下：工作組login(1)管理組framed(2)高級組call back login(3)普通組call back framed(4)臨時組outbound(5)從 web 管理界面 management console/configuration/authentication/radius 進入，如下圖示：點擊 new 生成 radius 配置，在彈出窗口中定義 radius 服務器地址，如下圖示：其中，real name 定義為 radius，primary server host 中定義

14、radius 服務器ip 地址：2（暫定），port 為 1812，secret 為 radius 中定義的通訊密碼；點擊 ok 完成定義。并點擊 apply 使配置生效。注：port 和 secret 的定義必須與 radius 服務器中定義保持一致。如需定義備份的 radius 服務器，在上部選項中選擇 radius servers，如下圖示：在 alternate server 定義中，定義備用的 radius 服務器 ip 地址，及通訊密碼。從 web 管理界面 management console/configuration/authentication/tran

15、sparent proxy 進入，如下圖示：其中，method 選定 ip，在 ip ttl 中定義 240 分鐘（4 個小時），用戶認證一次將保持 4 小時；并點擊 apply 使配置生效。2.8 內容過濾列表定義及下載內容過濾列表定義及下載在 proxysg 中加載 blue coat 分類列表作為互聯(lián)網(wǎng)訪問控制及 anti-spyware 策略的基礎。從 web 管理界面 management console/configuration/content filtering/bluecoat進入，如下圖示：輸入用戶名/密碼，選擇 force full update，并點擊 apply 使配

16、置生效，然后點擊 download now 開始下載分類列表庫。分類列表下載結束后（第一次下載超過 80mbypes 數(shù)據(jù)，所需時間與網(wǎng)絡和帶寬有關），定義自動下載更新，在上部選項中選擇 automatic download，如下圖示：其中：選擇每天 utc 時間下午 4:00（本地時間晚上 12:00）自動下載更新，并點擊 apply 使配置生效。啟動動態(tài)分類模式，在上部菜單選擇 dynamic categorization，如下圖示：選擇 enable dynamic categorization 和 categorize dynamically in the background，并點擊

17、 apply 使配置生效。選定使 blue coat 分類列表生效，從 web 管理界面 management console/configuration/content filtering/general 進入，如下圖示：選定 use blue coat web filter，并點擊 apply 使配置生效。2.9 定義病毒掃描服務器定義病毒掃描服務器對所有通過 proxysg 的 http、ftp 通訊進行病毒掃描，病毒掃描服務器采用mcafee，proxysg 通過 icap 協(xié)議實現(xiàn)與 mcafee 病毒掃描服務器通訊。從 web 管理界面 management console/con

18、figuration/external services/icap 進入，點擊 new 生成 icap 服務配置，如下圖示：service 名為 mcafee_1 和 mcafee_2，選擇服務名 mcafee_1，并點擊 edit，進入服務配置窗口，如下圖示：在 service url 中，定義 icap:/5，并點擊 sense settings 從 mcafee 獲取病毒掃描參數(shù)配置，點擊 register 定義進行健康檢查，點擊 ok 完成定義，并點擊 apply 使配置生效。選擇服務名 mcafee_2，并點擊 edit，重復以上過程，并在 service url

19、中定義icap:/6。從 web 管理界面 management console/configuration/external services/serice-group 進入，將兩臺 mcafee 服務器定義為一個 group，點擊 new 生成 service group 配置如下圖示：service group 名定義為 mcafee_group，點擊 edit 進行服務器組定義，如下圖示：通過點擊 new 將 mcafee_1 和 mcafee_2 加入 mcafee_group 中，點擊 edit 可以改變 group 成員的權重，選擇 ok 完成配置，并點擊 ap

20、ply 使配置生效。2.10 帶寬管理定義帶寬管理定義根據(jù)帶寬管理策略要求，定義七個帶寬類，其中work_group_bandwidth、management_group_bandwidth、high_level_group_bandwidth、normal_group_bandwidth、temp_group_bandwidth 分別對應工作組、管理組、高級組、普通組、臨時組的帶寬管理要求，limit_app_bandwidth 對應高帶寬消耗應用的帶寬管理策略，key_app_bandwidth 對應關鍵應用網(wǎng)站的帶寬管理策略。從 web 管理界面 management console/c

21、onfiguration/bandwidth mgmt./bwm classes 進入，點擊 new 定義帶寬類，如下圖示：其中，需選中 enable bandwidth management，定義帶寬類，并點擊 apply 使配置生效。2.11 策略設置策略設置2.11.1 配置配置 ddos 攻擊防御攻擊防御通過 telnet、ssh 或 console 進入 proxysg 的命令行管理界面，進入 enable 狀態(tài)，通過命令 conf t 進入配置狀態(tài)，通過以下命令啟動 ddos 防御：attack-detectionclientenable-limits2.11.2 設置缺省策略為設

22、置缺省策略為 deny從 web 管理界面 management console/configuration/policy/policy options 進入缺省策略設置，如下圖示：其中，選擇 deny，并點擊 apply 使配置生效。2.11.3 配置配置 blue coat anti-spyware 策略策略從 web 管理界面 management console/configuration/policy/policy files 進入缺省策略設置，如下圖示：在 install local file from 的下拉框中選擇 local file，點擊 install，如下圖示：在彈出的

23、窗口中，點擊瀏覽，并選定 blue coat 發(fā)布的 anti-spyware 策略，選擇 install 將策略加載到 proxysg 中。2.11.4 訪問控制訪問控制策略配置策略配置-vpm訪問控制策略通過 blue coat 圖視化界面 vpm 進行配置，從 web 管理界面management console/configuration/policy/ visual policy manager 進入，并點擊launch，即可啟動 vpm 界面，如下圖示：2.11.5 病毒掃描策略配置病毒掃描策略配置定義對所有通過 proxysg 的流量進行病毒掃描，使用病毒掃描服務器組mcafee

24、_group。從 vpm 的 policy 菜單選擇 add web content layer，生成 web 內容控制策略層，名字定義為 web av，并在第一條規(guī)則中，action 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇 new，選定 set icap response service，彈出窗口如下圖示：在 use icap response service 的下拉框中選擇 mcafee_group，并選定continure without further icap response，點擊 ok，退到上一層，在窗口中選擇icapresponseservice1，并點擊 ok，完成規(guī)

25、則設置；如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.6 用戶認證策略設置用戶認證策略設置從 vpm 的 policy 菜單選擇 add web authentication layer，生成 web 訪問用戶認證層，名字定義為 web_radius_auth，并在第一條規(guī)則中，action 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇 new，選定 authenticate，彈出窗口如下圖示：在彈出的窗口中，realm 欄選定 radius(radius)，mode 中選定 proxy ip，點擊 ok，退到上一層，在窗口中選擇

26、 authenticate1，并點擊 ok，完成規(guī)則設置；如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。從 vpm 的 policy 菜單選擇 add socks authentication layer，生成 socks 訪問用戶認證層，名字定義為 socks_radius_auth，并在第一條規(guī)則中，action 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇 new，選定 socks authenticate，彈出窗口如下圖示：其中，realm 中選定 radius(radius)，點擊 ok，退到上一層，在窗口中選擇socksauth

27、enticate1，并點擊 ok，完成規(guī)則設置；如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.7 帶寬管理策略定義帶寬管理策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 bandwidth_management，并在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇 new，選定 attribute，彈出窗口如下圖示：其中，定義 name 為 work_group，authentication realm 選定radius(rad

28、ius)，radius attribute 選定 login(1)，選擇 ok，完成屬性定義。重復以上過程分別定義 name 為management_group、high_level_group、normal_group、temp1_group，temp0_group，temp2_group 分別對應 radius attribute 為 framed(2)、call back login(3)、call back framed(4)、outbound(5)、nas prompt(7)、administrative(6)。在第一條規(guī)則的 services 欄用鼠標右鍵，選擇 set，在彈出的窗

29、口中選擇new，選定 client protocol，彈出窗口如下圖示：其中，選定 p2p 和 all p2p，并選擇 ok，完成定義。在第一條規(guī)則的 destination 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇new，選定 url，彈出窗口如下圖示：在 simple match 中指定關鍵業(yè)務的域名，選擇 add 增加定義，選擇 close 結束定義。在第一條規(guī)則的 action 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇 new，選定 manage bandwidth，彈出窗口如下圖示：其中，name 定義為 key_app_bandwidth，limit bandwidth

30、 on 中選定 server side 和 inbound，在 bandwidth class 中選定 key_app_bandwidth，選擇 ok 完成定義；重復以上過程，定義名 name 為 limit_app_bandwidth_in，屬性為 server side inbound，bandwidth class 為 limit_app_bandwidth；定義名 name 為 limit_app_bandwidth_out，屬性為 server side outbound，bandwidth class 為 limit_app_bandwidth；定義名 name 為 work_gr

31、oup_bandwidth，屬性為 server side inbound，bandwidth class 為 work_group_bandwidth；定義名 name 為 management_group_bandwidth，屬性為 server side inbound，bandwidth class 為 management_group_bandwidth；定義名 name 為 high_level_group_bandwidth，屬性為 server side inbound，bandwidth class 為 high_level_group_bandwidth；定義名 name

32、為 normal_group_bandwidth，屬性為 server side inbound，bandwidth class 為 normal_group_bandwidth；定義名 name 為 temp_group_bandwidth，屬性為 server side inbound，bandwidth class 為 temp_group_bandwidth。在 vpm 界面點擊 add rule 增加七條規(guī)則，總共八條規(guī)則，第一條規(guī)則定義：在 destination 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇以上定義的關鍵業(yè)務 url，在 action 欄用鼠標右鍵，選擇 set，

33、在彈出窗口中選擇key_app_bandwidth；第二條規(guī)則定義：在 service 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇 all p2p，在 action 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇limit_app_bandwidth_in；第三條規(guī)則定義：在 service 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇 all p2p，在 action 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇limit_app_bandwidth_out；第四條規(guī)則定義：在 source 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇work_group，在 action 欄用鼠標右鍵，選

34、擇 set，在彈出窗口中選擇work_group_bandwidth；第五條規(guī)則定義：在 source 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇management_group，在 action 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇management_group_bandwidth；第六條規(guī)則定義：在 source 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇high_level_group，在 action 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇high_level_group_bandwidth；第七條規(guī)則定義：在 source 欄用鼠標右鍵，選擇 set，在彈出窗口中

35、選擇normal_group，在 action 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇normal_group_bandwidth；第八條規(guī)則定義：在 source 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇temp_group，在 action 欄用鼠標右鍵，選擇 set，在彈出窗口中選擇temp_group_bandwidth。完成定義如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.8 work_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access l

36、ayer，生成 web 訪問控制層，名字定義為 work_group_policy，通過 add rule 增加兩條規(guī)則。在第一條規(guī)則的 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇new，選定 client protocol，彈出窗口如下圖示：其中，選定 socks 和 all socks，并選擇 ok，完成定義。再選擇 new，選定 client protocol，在彈出窗口中選定 streaming 和 all streaming。在 vpm 菜單選擇 add rule 增加兩條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中

37、選擇work_group，在 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定 all socks，在 action 欄用鼠標右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇work_group，在 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定 all streaming，在 action 欄用鼠標右鍵，選擇 deny。在第三條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇work_group，在 action 欄用鼠標右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點

38、擊 install policy 將策略加載到 proxysg 中。2.11.9 management_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 management_group_policy。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇management_group，在 action 欄用鼠標右鍵，選擇 allow。在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.10 high

39、_level_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 high_level_group_policy。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇high_level_group，在 action 欄用鼠標右鍵，選擇 allow。在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.11 normal_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy

40、 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 normal_group_policy。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇normal_group，在 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定 all streaming，在 action 欄用鼠標右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇normal_group，在 action 欄用鼠標右鍵，選擇 allow。在 vpm 菜單中點擊 install policy 將策略加載到

41、proxysg 中。2.11.12 temp1_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 temp1_group_policy。在第一條規(guī)則的 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇new，選定 client protocol，彈出窗口如下圖示：其中，選定 ftp 和 all ftp，并選擇 ok，完成定義。在 vpm 菜單選擇 add rule 增加四條規(guī)則，共五條規(guī)則。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出

42、的窗口中選擇temp1_group，在 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定 all socks，在 action 欄用鼠標右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定 all streaming，在 action 欄用鼠標右鍵，選擇 deny。在第三條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定 all f

43、tp，在 action 欄用鼠標右鍵，選擇 deny。在第四條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 destination 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定new，選擇 url，定義 simple match 中域名為 ，在 action 欄用鼠標右鍵，選擇 deny。在第五條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp1_group，在 action 欄用鼠標右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg

44、中。2.11.13 temp0_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 temp0_group_policy。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp0_group，在 action 欄用鼠標右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.14 temp2_group 用戶組訪問控制策略定義用戶組訪問控制策略定義從 vp

45、m 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 temp2_group_policy。在 vpm 菜單選擇 add rule 增加二條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp2_group，在 services 欄用鼠標右鍵，選擇 set，在彈出的窗口中選定 all socks，在 action 欄用鼠標右鍵，選擇 deny。在第二條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp2_group，在 destination 欄用鼠標右鍵，選擇

46、 set，在彈出的窗口中選定new，選擇 url，定義 simple match 中域名為 ，在 action 欄用鼠標右鍵，選擇 deny。在第三條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇temp2_group，在 action 欄用鼠標右鍵，選擇 allow。完成規(guī)則定義，如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.15 ie 瀏覽器版本檢查策略瀏覽器版本檢查策略從 vpm 的 policy 菜單選擇 add web access layer，生成 web 訪問控制層，名字定義為 browser_v

47、ersion_check，通過 add rule 增加一條規(guī)則，共兩條規(guī)則。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇new，選擇 request header，彈出窗口如下圖示：其中，name 定義為 requestheader_ie6，在 header name 下拉框中選擇 user-agent，在 header regex 中輸入.*msie6.*，點擊 ok 完成定義。在第一條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇requestheader_ie6，在 destination 欄用鼠標右鍵，選擇 set，在彈出的窗口中點

48、擊new，選擇 url，定義 ，在 action 欄用鼠標右鍵，選擇 allow。在第二條規(guī)則中，source 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇requestheader_ie6，在 action 欄用鼠標右鍵，選擇 set，在彈出的窗口中選擇new，并選擇 deny，彈出窗口如下圖示：選定 force deny，details 提示為：please upgrade your browser to ie6.x，點擊ok 完成定義，并在返回的窗口中選定 deny1，點擊 ok，完成定義。如下圖示：在 vpm 菜單中點擊 install policy 將策略加載到 proxysg 中。2.11.16 dns 解析策略設置解析策略設置proxysg 將為用戶提供 dns 解析服務，將對解析請求應答 proxysg 的 ip 地址，配置過程如下：從 vpm 的 policy 菜單選擇 add dns access layer，生成 dns 訪問控制層