Bluecoat SGOS 系統(tǒng)操作說明

BluecoatSGOS系統(tǒng)

操作說明

Blue因Coat

Systems

BlueCoatProxySG專用設備通過IE瀏覽器和Telnet命令進行管理，瀏覽器管

理端口為8082,管理用的PC機需安裝了Java運行環(huán)境。管理用的PC機需安裝

了Java運行環(huán)境。

Web管理訪問的URL為：htlps://SG-IP:8082,訪問該URL將要求輸入管理員

用戶名和密碼。

注；（1）建議在訪問該頁面時，等狀態(tài)欄中指示所有Java類下載結(jié)束后，在

進行后續(xù)操作。

（2）Java界面有可能要求再輸入一次用戶名和密碼。

該頁面中，

?ManagementConsole選項進入管理配置

?BrowserConhguration包含對用戶端（非管理員）瀏覽器的配置建議

?Documenlation包含詳細的配置手冊

一、GENERAL配置

在Web管理的首頁選擇ManagementConsole1進入配置管理界面，如下圖

示：

Internet

General配置頁面中包括:

?Identification：設備名定義

?Clock：時鐘定義

?Archive：配置備份/恢復

其中，Identification中，Name項可定義該設備名，任意字符串;Serial

Number不可修改，己固化在設備中，應與設備后部的SerialNumber一致。

任何配置修改在點擊最下方的Apply后生效。

1.1時鐘設置(General/Clock)

選擇General下的Clock,進入時鐘設置，如下圖示:

UTC為國際標準時，Local為本地時鐘，在TimeZone中選擇+8區(qū)，Local時

鐘將變?yōu)楸镜貢r間；其中EnableNTP選項招啟動網(wǎng)絡對時，NTP為網(wǎng)絡對時協(xié)

議；保持時鐘同步，對ProxySG的緩存極為重要。

1.2配置備份及恢復

選擇GenerWArchive進入配置備份及恢復頁面，如下圖示:

其中，ViewFOe將顯示配置，其中Configuration-expanded為全配置，View后

選擇SaveAs,可將其保存為本地文件。

其中InstallConfigrationfrom可以選擇從本地文件恢復配置。

注：對于由VPM生成的Policy配置，建議通過Policy配置管理的中的備份和

恢復方式。

網(wǎng)絡配置(CONFIGURATION/NETWORK)

從配置頁面的Network進入網(wǎng)絡配置頁面，如下圖示:

任何配置修改在點擊最下方的Apply后生效。

2.1網(wǎng)卡配置(Network/Adapters)

從Network/Adapaters選項進入網(wǎng)卡配置，如下圖示:

其中，通過Adapters選項的下拉菜單可以選擇不同的網(wǎng)卡，缺省網(wǎng)卡為:

AdapaterOxAdapalerl；Interfaces選項可以選擇網(wǎng)卡的不同端U,系統(tǒng)缺省配置的

10/l00BaseT以太網(wǎng)卡只有一個Inierface為InlerfaceO。

在IPAddress中可以設置IP地址，SubnetMask中設置子網(wǎng)掩碼。

注；不要修改Web管理頁面連接的端口IP地址。

2.1.1網(wǎng)卡端口詳細配置

在網(wǎng)卡配置頁面的Interfa優(yōu)選項中選定要做詳細配置的端口，然后選擇右邊的

Setting按鈕，進入以下頁面:

其中：Security選項，R用ectinboundconnection將屏蔽所有從網(wǎng)絡中發(fā)起的到

該端口的連接。

LinkSettings：選擇端口的物理特性，自適應或指定Speed和Duplexa

建議，如果有專門用來進行互聯(lián)網(wǎng)連接的端口，可將其設為Rejectinbound

connections,這樣，從互聯(lián)網(wǎng)發(fā)起的通訊無法進入設備和內(nèi)網(wǎng)。

2.2網(wǎng)絡路由配置(Network/Routing)

從Network/Routing選項進入網(wǎng)卡配置，如下圖示:

其中：Galeways定義互聯(lián)網(wǎng)訪問用的網(wǎng)關(guān)，Routing定義內(nèi)部路由，RIP定義

RIP路由協(xié)議信息。

2.2.1Gateways定義

在Network/Routing/Gatways頁面，選擇New可以定義互聯(lián)網(wǎng)出口的網(wǎng)關(guān)，如

下圖示：

其中：Gateway為網(wǎng)關(guān)IP地址，ProxySG支持多網(wǎng)關(guān)配置，Group代表多個網(wǎng)

關(guān)的分組，分組數(shù)越小、優(yōu)先級越高，Weight定義在同一個組中不同網(wǎng)關(guān)的負載

分配比例,

2.2.2靜態(tài)路由配置(Network/Routing/Routing)

在Network/Routing/Routing頁面中，通過下拉菜單可以選擇靜態(tài)路由定義方

式：如下圖示，

選擇TextEditor,點擊Install,進入以下路由編輯界面:

將內(nèi)部路由定義其中，并Install安裝。

2.3DNS服務器定義(Network/DNS)

從Network/DNS選項進入DNS服務器配置，如下圖示:

其中：New可以生成新的DNS服務器定義，可以定義多個，通過Promote

entry和Demoteentry改變次序,

三、服務定義(CONFIGURATION/SERVICES)

通過Configuration/Services選項進入服務定義，需進行配置修改的主要在

ServicePorts定義，沒有特別要求，其它定義項無需修改。

3.1服務端口定義

在Services/ServicePorts頁面中,將顯示所有已有的服務端口定義,如下圖

示：

與BlueCoatManagementConsole-MicrosoftInternetExplorer-|5|x|

FieEditViewFavoritesTookHelp

■Back▼■一③魚。^Search_￡jFavorites@MedaJ\^任回/左備⑥

Adctess痢httpM5:8082/5eajr6/Lo:H/coniol8/nx:Jndex,html-T，/GoLinks

ManagementConsoleHOMEiSUPPORT?DOCUMENTATION?LOGOUT

192.168.1.95.BlueCoatSG400

ConfigurationMaintenanceStatistics

JGeneral

S?rTic?Pdrts

Identification

ClockS?rvicaz

Archive

」NetworkIP

跳>

Adapters>53DHS-ProxynoTraisparenl,explicit

80HTTPyesTransparent/explicit

、

Routing窗

RTSPnoTraxsp^rent/explicit

DNS>

SOCKSExplicit

Advanced然>

>MWSTrftispAren^explicit

JServicesHSI-MTraL%pa*ent/explicit

然>

-ServicePorts>Yahoo-DITroiisparent>explicit

HTTPPro對溫>YMLIHTrusparcn^cxplicit

MJL-IMTraisparent,explicit

FTPProxy>

T■HSJ-IMTrtixparenLexplicit

SOCKSProxy>HI"___________Y”Explicit

IMProxiesMTTP-ConsoleM

StreamingProxiesEditIDelete

ShellProxies

SSHConsole

?ExternalServices

°HealthChecks

?Auth0nticstinn

Internet

其中，IP：指定該服務端U所在的IP地址（一臺ProxySG可以有多個IP地

址），ALL代表所有IP地址;

Port：指定端口號和協(xié)議類型

Yes/No；指示是否打開

Service：定義端口服務屬性

選擇New或Edil進入服務端口編輯頁面，如下圖示:

3BlueCoatManagementConsoleMicrosoftInternetExplorer

□Back▼▼◎團d^Search_jjFavoritesMediaJ|園^3E目/挈區(qū)③

Adless|④5:9082/Secure/Lo:al/con$ole/mc-index.htmlpG。Links

ManagementConsole

5.BlueCoatSG400

ConfigurationMaintenanceStatistEditservice

JGeneralpffTP-

StrvicePortsProtocol!3

Identification

ClockS?rvic?z

IF：

Archive

」NetworkIP

然Port:性則|7Enabled

Adapters

Routing仙

Attributes；

DNS|7Explicit

瑞

Advanced

「Trtnspwnt

JServices器

PAuthenticate-401

?SetvicePorts

al器l

HTTPProxy510溫1rS?nd-cli?nt-IP

FTPProxy

爵

盟

SOCKSProw

IMProxies

StreamingProxies

ShellProxies

OK|Cancel|

SSHConsole

。ExternalServices

。HealthChecks

Warning:AppletWindow

GAiithAnticatinn

II國9internet

其中：

?Protocol：定義服務用的協(xié)議

?IP:定義該服務作用的IP地址

?Port：定義端口號

?Enable：打開服務

?Attributes；

oExplicit：為代理服務

oTransparent：為透明代理服務

oAuthenticate-401：模擬服務器端認證

oSend-client-IP：用Client端IP進行互聯(lián)網(wǎng)訪問，要求網(wǎng)絡是透明

方式，并有網(wǎng)絡設備的配合要求。

四、用戶認證配置

(CONFIGURATION/AUTHENTICATION)

通過Configuration/Autheniication選項進入用戶認證配置，包括：管理員用戶

名、密碼，上網(wǎng)用戶的用戶認證域定義等。用戶可以選擇采用本地用戶列表、

NTLMsLDAPsRadius等多種用戶認證方式。

4.1管理員訪問配置(Authentication/Console

Access)

從Authentication/ConsoleAccess進入管理員配置界面，如下圖示;

其中:UserName定義管理員用戶名，ChangePassword修改管理員密碼,

Enforceauto-logout定義管理界面的自動登出屬性，Auto-logout中定義自動登出的

時延，缺省為900秒。

選擇ConsoleAccess選項，進入管理員訪問控制頁面，如下圖示:

其中：選擇New可以指定該管理員用戶訪問的源IP地址或子網(wǎng)，EnforceACL

forbuilt-inadministration選項啟動該訪問控制。

4.2用戶認證域控制(Authentication/Realms)

從Authentication/Realms進入用戶認證域控制頁面，如下圖示:

其中：將顯示所有已定義的用戶認證域，

?Flushwhenpolicyfileschanges定義在策略修改時自動清除認證信息的緩

存

?Flushentirecachenow選項清除所有認證信息的緩存

?Flushrealm選項清除指定認證信息的緩存，通過下拉菜單選擇用戶認證

域

4.3NTLM用戶認證域定義

NTLM用戶認證是定義ProxySG使用WindowsNT服務器的用戶認證的方

法，要求在NT服務器上安裝BlueCoat公司NTLM認證的Agent程序。定義頁面

如下圖示:

其中，Realmname定義一個標示名，PrimaryServerhost定義BlueCoat

NTLMAgent安裝的服務器IP地址，16101為缺省使用的端口。

4.3.1NTLM服務器定義(NTLM/NTLMServers)

NTLM服務器定義頁面如下圖示:

其中，可以定義備份的NTLM服務器（也需安裝Agem軟件）。

4.3.2NTLM通用信息配置(NTLM/NTLMGeneral)

從NTLM/NTLMGeneral進入配置通用信息配置頁面，如下圖示:

其中，Realmname為NTLM認證域的名字，Cachecredemiak為認證信息緩存

的時間,缺省為900秒。

4.4LDAP用戶認證域定義

(Authentication/LDAP)

從Aulhemicalion/LDAP進入LDAP定義頁面，可以定義選擇WindowsActive

DirectorySunLDAP>NovelLDAP等用戶認證域，如下圖示:

選擇New,定義新的LDAP用戶認證域。頁面如下圖示:

其中:

?Realmname定義認證域名，

?TypeofLDAPServer選擇LDAP服務器類型

?Primaryserverhost定義域服務器IP地址

?在選擇了LDAP服務器類型后，其它選項將相應調(diào)整，無需另外定義

4.4.1LDAP服務器定義(LDAP/LDAPServers)

LDAPServers配置頁面如下圖示:

其中：包括LDAP服務器類型的修改，LDAPProtocal版本的修改，可以定義

LDAP主服務器和備服務器等信息。

4.4.2LDAPDN定義

實現(xiàn)ProxySG與LDAP服務器的通訊必須定義LDAP服務器的一些基本信

息，BaseDN§是LDAP域的定義，配置頁面如下圖示：

其中，New選項用來定義新的BaseDNs,BaseDNs的格式舉例:

DC=www,DC=bcsi2106,DC=com,DC=cn

如下圖示：

4.4.3LDAPBaseDN舉例

以Windows2000ActiveDirectory舉例，在Windows2000管理界面進入,

ActiveDirectory用戶和計算機管理頁面，如下圖示：

其中，在根定義部分可以看到,對應到ProxySG中的

BaseDN定義為DC二www,DC=bcsi2IO6,DC=com,DC=cn；其中用戶SG_admin的

LDAP標示為：CN=SG_admin,0U=BCSI,DC=www,DC=bcsi2106,DC=com,DC=cn

4.4.4LDAP檢索用戶定義(LDAP/LDAP

Search&Groups)

ProxySG與LDAP服務器的通訊需耍一個LDAP用戶名（普通用戶），在

LDAPSearch&Groups頁面中定義，如下圖示:

其中，對Window2000的ActiveDirecotry缺省不支持匿名訪問，需選擇Search

UserDN定義用戶名的LDAP標示，并選擇ChangePassword設定訪問密碼，頁面

如下圖示;

4.4.5LDAP對象類定義(LDAP/LdapObjectclasses)

LDAP對象類定義一般無需修改，它會根據(jù)LDAP服務器類型自動設定。

4.4.6LDAP通用信息配置(LDAP/LDAPGeneral)

LDAP通用信息配置頁面如下圖示:

其中，Cachecredentials定義LDAP認證信息緩存時間。

4.5本地用戶列表定義(Authentication/Local)

可以選擇將上網(wǎng)用戶的用戶名、密碼和分組等信息定義在ProxySG中，定義頁

面如下圖示；

其中：選擇New可以生成一個Local用戶認證域，并通過LocalMain頁面定義

該認證域使用的用戶列表，定義頁面如下圖示:

.151x1

其中，定義了Local_user域與用戶列表sl_account」ist的對應關(guān)系，而用戶列

表的生成，以及列表中用戶名、密碼的設定需通過命令行進行，命令如下:

telnetProxySG-IP

enable

conft

securitylocal-user-listcreatesl_account_list；生成用戶列表

securitylocal-user-listedit"sI_account_listH；在用戶列表中生成用戶

usercreateliuweidong

end

securitylocal-user-listedit"sLaccountJist0；設置用戶密碼

usereditliuweidong

password0000

exit

exit

五、策略配置(CONFIGURATION/POLICY)

用戶上網(wǎng)的所有訪問均由策略來進行控制，前面定義的均為系統(tǒng)信息，均通過

策略作用到用戶的訪問上來。通過Configuration/Policy進入策略配置頁面，其中包

括：

?PolciyOptions：策略選項

?PolicyFiles；策略文件，所有策略配置均在系統(tǒng)中對應到一個策略文

件，該選項包括對文件方式的配置和備份、恢復等

?VisualPolicyManager：可視化策略管理器，通過可視化界面配置訪問

控制策略

?Exceptions；修改缺省的出錯頁面

5.1策略選項(Policy/PolicyOptions)

從Policy/PolicyOptions進入策略選項頁面，如下圖示:

其中，PolicyEvaluationOrder定義了ProxySG中三個策略配置文件中策略的優(yōu)

先次序，排在前面的優(yōu)先級最低；VPM為通過可視化界面配置的策略，Local為通

過本地文件配置的策略，Central為通過中心文件配置的策略。

DefaultProxyPolicy選項定義缺省的策略，如果選擇Deny,表示沒有定義為允

許的訪問將被禁止。

Traceallpolicyexecution：是一個Debugging的選項，為查錯準備的。

5.2策略文件管理(Policy/PolicyFiles)

從Policy/PolicyFiles進入黃略文件管理頁面，如下圖示:

其中，ViewPolicy可以顯示各個策略文件的內(nèi)容，并可以SaveAs為文本文

件。

通常的策略配置均可通過VPM進行，對于批量的定義可以采用LocalFile方式

定義，在InstallLocalFileFrom中選擇TextEditor,如下圖示:

然后選擇Install,進入Local策略編輯頁面，如卜'圖示:

3BlueCoatSystems-EditandInstallFile-MicrosoftInternetExplorerJnlxl

FifeEditViewFavoritesToolsHelp

.Back▼.▼◎目理^SearchFavorites@MediaQ昌V匕I_*《&

Address|5:8082/Seajre/Locai/con5ote/instal_upioad_from_editor.htcn?file-/locai_pofccy_$curce.txtLinks?

3.Oncetheinstdlationiscompletedtheresultswillbedisplayedin&newpage.Closetheres^spage▲

onceyouhavefinishedviewmgtheresults

;SettingsresetbyadministratorfVed,17Nov200407:19:02U7C

〈Proxy〉response.header.Location=rtA(-a-z]十；”

response.header.Location=rrA(https?|ftp|nrn3[ut]?|rtsp):frOK

DENY(RBlockedsuspiciousLocationheader:seeCERTvu#713878H)

definejavascriptJDisplayDest

onload?EOF

if(document.forms.length>0)(

varp,docuroenc.creaceEleroenc(frpw);

p.innerHTML=

'〈cableborder=2bgcolor^^QOOOBQ^XtrxtdXfontsizeaTS>,+

'<fontcolor?#FFrFFF>Youareat</font>1+

1<fontcolor^SFrFF^^1+dDcuroenc.location.hoscnaroe+,</font>1+

1</￡onc></table>1;

document.body.ixisertBefore(p,docunenc.body.firstChild);

EOF

end

defineactionaDisplayDest

transformjDlsplayDest二J

Close|

Copyright02002?2004.Blu。Sysioms.In。.AHlightsreserved.

30Internet

具體的Policy定義說明請參照BlueCoat公司Policy語言(CPL)手冊。綁定

IP和用戶名的定義格式舉例如下：

〈proxy〉

user="zhouyongchun"allow

user="niyuanyuan"client.address=1allow

client.address=7allow

其中：

?定義用戶zhouyongchun不綁定IP地址,

?定義用戶niyuanyuan綁定地址為1

?定義IP地址7不綁定用戶

最后選擇Install實現(xiàn)配置安裝。

5.3可視化策略管理器(Policy/VisualPolicy

Manager)

從Policy/VisualPolicyManager進入可視化策略管理器界面，該頁面將調(diào)用

Java運行環(huán)境，如果該PC未裝JRE,將會自動下載安裝。

其中，Launch將啟動策略管理器。界面如下圖示:

5.3.1生成策略層

ProxySG中的策略均定義在相應的策略層中，策略層有8種類型，相同類型的

策略層可以有多個：在同一層的策略中，排在前面的具有較高優(yōu)先級：不同層的策

略中，排在后面的具有較高優(yōu)先級。

在VPM的Policy菜單中選擇策略類型，如下圖示;

FieEdit

口Back?

Adtiessfc

Blue

192.168.1

其中，包括：

?AdminAuthenticationLayer：管理員用戶認證層，定義更多的管

理員用戶

?AdminAccessLayer：管理員訪問控制層，控制管理員訪問的權(quán)限

?DNSAccessLayer-DNS訪問控制層，如果設置該ProxySG為

DNS服務器時，可以控制域名解析

?SOCKSAuthenticationLayer：用戶SOCKS代理訪問時的用戶認

證定義

?WebAuthenticationLayer；用戶Web代理訪問時的用戶認證

?WebAccessLayer：用戶Web訪問控制層

?WebContentLayer*Web訪問內(nèi)容控制層，控制ProxySG到源服

務器獲取內(nèi)容的方式

?ForwardingLayer：轉(zhuǎn)發(fā)控制層，可以根據(jù)條件設定將用戶訪問請

求轉(zhuǎn)發(fā)到指定目標的策略。

5.3.2Web用戶認證定義⑴

根據(jù)策略層生成菜單，選擇生成WebAuthenticationLayer,生成頁面如下圖

示:

其中：缺省生成一條黃略，為從任何源(Source:Any)到任何目標

(Destiantion:Any)不做控制(Action:None)。

在Aclion欄中使用鼠標右鍵，將看到Action配置菜單，如下圖示：

選擇Set,進入Action定義頁面，如下圖示:

選擇New,出現(xiàn)兩個選項：

?Authenticate...：用戶認證

?ForceAuthenticate...：強制用戶認證，后續(xù)策略中如果定義了無需認

證，將無法覆蓋用戶認證定義。

選擇Authenticate選項，VPM將與ProxySG通訊獲取系統(tǒng)配置的用戶認證域定

義信息，獲得信息后將出現(xiàn)用戶認證域選擇頁面，如下圖示:

其中，從Realm下拉菜單中可以選擇用戶認證域，其中顯示的名字與ProxySG

的Web管理頁面中Authentication定義的Realm名相同，從中可以選擇將使用的用

戶認證域。

從Mode菜單中可以選擇用戶認證的方式，如下圖示;

其中，缺省為Aulo模式，ProxySG將按照Sessions進行用戶認證，即每個新

開的IE瀏覽器需重新輸入：可以選擇OriginIP或OriginCookie方式，在通過用戶

認證后，認證信息緩存時間內(nèi)（缺省為900秒）無需在輸入用戶名和密碼；Origin

IP方式時，用戶認證通過則該用戶的IP地址可以上網(wǎng)，包括其它機器通過它進行

代理訪問：如果選擇OriginCookie,則用戶認證通過后僅該機器的瀏覽器可以上

網(wǎng)，并在900秒（缺省）內(nèi)無需再輸用戶名密碼。

認證域定義完成后，從以下頁面可以選擇使用的認證域;

選定使用的用戶認證域，選擇0K,實現(xiàn)Web用戶認證策略定義，如下圖示:

其中：定義了所有Web訪問必須進行用戶認證。

5.3.3用戶認證策略定義（2）

如需定義對特定用戶無需用戶認證，可以在該用戶認證策略層中增加策略，選

擇AddRules,頁面顯示如下圖示：

通過MoveUp選項，將新增策略上移到第一行，并在Source欄中使用鼠標右

鍵，如下圖示；

選擇Set進入Source定義界面，如下圖示:

選擇New,菜單中顯示所有Source定義條件，其中：

?ClientIPAddress/Subnet：定義用戶端IP地址或網(wǎng)段

?ClientHostname：客戶端機器名

?ProxyIPaddress/Port；代理用的IP地址和端口

?UserAgent：客戶端瀏覽器類型

?RequestHeader：客戶端請求的HTTP頭信息

?CombinedSourceObject；以上各種定義的組合

選擇ClientIPAddress/Subnet,定義頁面如下圖示:

其中，如果指定一個IP地址,SubnetMask使用55；選擇Add,

完成定義，如下圖示:

選擇定義Client端信息，點擊0K；然后，在Action欄中，使用鼠標右鍵，并

選擇Set,進入Action定義頁面，如下圖示:

直接選擇DoNotAuthcnticale,選擇OK,完成策略定義，如下圖示:

其中，第一條策略定義ClientIP地址為8的用戶不進行用戶認證。

5.3.4用戶認證策略定義（3）

如需定義對特定目標的訪問無需用戶認證，可以在該用戶認證策略層中增加策

略，選擇AddRules,并通過MoveUp移動到第一行，然后在Destiantion欄中,使

用鼠標右鍵，頁面顯示如下圖示：

選擇Set,進入Destionation定義頁面，如下圖示:

其中：訪問目標(Destination)定義包括

?DestinationIPAddress/Subnet：目標IP地址或網(wǎng)段

?DestiantionHost/Pon：目標主機/端口

?URL；目標URL

?Category：網(wǎng)站分類

?CombinedDestinationObject：以上定義的組合

選擇URL定義，進入URL定義頁面，如下圖示；

當由ueCoat

QBlueCoatVisualPolicyManner(192,168,1.95-BlueCodtSG400),|q|x|,|g|x|

E

FileEditPolicy「八八力。"，訃”口立

JBack▼■

Add總面

Blue

192.168.1

。4

SApplet^

其中，有三種定義方式:

?SimpleMatch：通過URL或URL域進行定義

?RegularExpressionMatch：采用統(tǒng)配符方式定義

?AdvancedMatch；根據(jù)URL的不同部分進行匹配定義

選擇SimpleMatch定義URL的域名，選擇Add,增加訪問目標定義，選擇

Close,結(jié)束定義，回到訪問目標定義頁面，如下圖示:

選擇定義的訪問目標，選擇0K,結(jié)束訪問目標選擇；然后在Action欄中用鼠

標右鍵，選擇Set,并選擇DoNotAuthenticate,完成策略定義，如下圖示:

其中，第一條定義了到S無需用戶認證°

注：（1）所有策略必須在選擇了InstallPolicy后才能生效

（2）在用戶認證策略層中，僅定義是否進行認證，是否可以訪問還需在

WebAccess策略層中定義

5.3.5策略刪除

如需刪除策略，在N。欄中使用右鍵，并選擇DeleteRule,完成該策略的刪

除。

5.3.6SOCKS認證策略層

如用戶需通過SOCKS代理進行互聯(lián)網(wǎng)訪問，定義其用戶認證策略，需通過策

略層定義選擇AddSOCKSAuthenticationLayer,如下圖示：

將出現(xiàn)一條空的SOCKS認證策略，在Action欄中用鼠標右鍵，并選擇Set,

進入Action選擇頁面，如下圖示;

選擇New,有兩個選項：

?SOCKSAuthenticate...：SOCKS用戶認證定義

?ForceSOCKSAuthenticate...：SOCKS強制用戶認證定義，強制用戶認

證將不會被其它策略覆蓋

選擇SOCKSAuthenticate,VPM將與ProxySG通訊獲取認證域定義信息，如

卜圖示:

由下拉式菜單中選擇使用的認證域，然后選擇0K,完成定義，如下圖示:

其中，策略定義所有通過SOCKS的訪問均需進行用戶認證。

5.3.7Web訪問控制策略層

通過策略層定義菜單，選擇AddWebAccessLayer,增加Web訪問控制策略,

如下圖示：

將生成一條空的訪問控制策略，通過AddRule,MoveUp,MoveDown等可以

定義多個策略，以及改變順序；每個Web訪問控制策略由；Source、Destination.

ServicesTime和Action五部分組成,缺省為any、any、any、any、DENY,如下

圖示；

Source條件定義

在Source欄使用鼠標右鍵，并選擇Set進入Source選擇頁面，選擇New,將

列出所有條件選項，如下圖示:

其中包括各種Source條件定義：

?ClientIPAddress/Subnet：客戶端IP地址或子網(wǎng)

?ClientHostname：客戶端主機名

?ProxyIPAddress/Port；代理用IP地址和端口

?User：用戶名

?Group：用戶組名

?Attribute；用戶在認證域中的屬性

?UserAgent：用戶端軟件定義（Agent）

?IMUserAgent：用戶端IM軟件定義

?RequestHeader；用戶請求的HTTP頭信息

?SOCKSVersion：用戶使用的SOCKS版本

?IMUser：IM用戶名

?ClientNegotiatedCipher：與HTTPS用戶證書相關(guān)

?ClientNegotiatedCipherStrength：與HTTPS用戶證書相關(guān)

?CombinedSourceObject：以上條件的組合

Source用戶定義

選擇User,如下圖示;

將進入用戶定義頁面，如下圖示:

其中，下拉式菜單中可以選擇從哪個用戶認證域選擇用戶，選擇的用戶認證域

必須是在用戶認證策略層中用來進行用戶認證的認證域。如果使用的是Local用戶

列表認證域，在User中直接輸入用戶名，并選擇0K,完成定義；如果使用的是

NTLM或LDAP認證域，將出現(xiàn)用戶瀏覽Browser選項，如下圖示；

AppletsQaHinnerotriot/odfirnmDrnwQAUnnlionro4QO1AQ*1QG

選擇Browser,將列出認證域中所有用戶，以便選擇，如下圖示:

選定用戶后，選擇0K,并在用戶定義頁面中再選擇0K,完成用戶定義，如

下圖示:

如果需對該用戶綁定IP地址，在Source欄中，使用鼠標右鍵，并選擇

Set/New,選擇CombinedSourceObject,如下圖示:

進入組合定義頁面，如下圖示:

當由ueCoat

JBack?

Adciess

Blue

192.168.1

0

Qottinnorofrioi/adfrnmPrcwQCUnnltonro4001AQiQM

其中，Source框中顯示所有已有的Source條件定義，可以通過New再增加更

多的Source條件定義，通過Add按鈕可以將Source條件加到組合條件中，組合條

件有兩個框，兩個框中的條件以“AND”方式組合，同一框中的條件以“OR”方

式組合，Negate為框中定義取“反”值。

上圖中，定義用戶BCSI2106\dufeng和IP地址192.l68.L18l組合成綁定關(guān)

系，選擇0K完成組合定義，并在Source條件定義頁面中選擇該定義，然后選擇

0K,完成Source條件選擇，如下圖示；

如果將Action欄中定義為ALLOW,則定義了用戶和IP地址的綁定上網(wǎng)許

可。

Source用戶端軟件(Agent)定義

瀏覽器的低版本都具有一定的安全漏洞，還有一下其它上網(wǎng)軟件和“木馬”均

可以進行互聯(lián)網(wǎng)訪問，定義嚴格的瀏覽器類型和版本限制，將有效改善網(wǎng)絡安全，

在Source選擇頁面中，New菜單下選擇UserAgeni,如下圖示，

將列出所有預定義的UserAgent種類，可以從中進行選擇，如下圖示:

口BlueCoat|岡,|g|x|-lalxi

?eEdit

FileEditPolicyExistingSourceObjects

JBack▼■M

^rjAddRule