bluecoat操作手册

BlueCoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeBlueCoatSGOSBlueCoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOS启动GetStart开始安装BlueCoatProxySG专用设备前，先确定安装设备初始IP地址等信息的设置，并且该IP是可以通过网络可访问的，初始IP地址信息的设置是一个简单的过程，要求配置四个参数：•·静态IP地址•·IP的子网掩码•·网关•·DNS服务器IP地址BlueCoat设备提供了两种配置这些参数的方法:•使用串口线通过传统的串口通讯•通过SG前面板的LCD串口方式串行电缆:DB9-fDB9-f2-3(transmit-receive)3-2(receive-transmit)5-5(ground-ground)三次Enter后出现以下：选择2，如果4个主要参数未配，将直接进人SetupConsole前面板方式在使用前面板时，步骤如下：Enter按钮：模式之间转换和存储变化的配置Menu按钮：从模式返回，并Cancel变化的配置•按Enter按钮切换到配置模式，检查LCD中光标形状•按Up或Down按钮，来修改LCD上可修改的四个参数•按Enter按钮切换到Edit模式，检查LCD中光标的形状•按Left或Right箭头按钮，移动数字下的光标到需修改的参数•按Up或Down箭头按钮来改变数字•重复步骤四和五修改每个参数的数字•按Enter按钮存储修改的值，并回到配置模式为每个可配置参数重复以上步骤LCDMenu可以配置：Interface0:IP地址掩码缺省网关DNSconsolepasswordenablepasswordsecureserial（Yes/No）BlueCoatTrainingDu,FengSystemEngineerBlueCoatShangHaiOfficeSGOSGUI及基本配置GUI:•JAVAGUI界面可以从任何系统方便地进行访问–Browser:IE5.0&6.0(SP1orlater),Netscape4.7(4.78orlater)&7.1–OS:Windows98,NT4.0(SP6orlater),2000(SP2orlater),XP(SP1a)–JREforPolicyManager:1.4.2或1.5的版本•Notes:–浏览器可能缓存了Java(如果有问题，点击Refresh或清除浏览器缓存)–JAVA是会被代理的，在测试和管理时，浏览器不要设置代理–建议在访问该页面时，等状态栏中指示所有Java类下载结束后，再进行后续操作–Java界面有可能要求在输入一次用户名和密码GUI首页进入管理界面用户端浏览器配置建议网站链接网站链接产品型号IP地址（Int0）软件版本硬件序列号General配置设备名定义时钟定义配置备份/恢复可以修改设备名序列号不可修改时钟设置显示UTC时间显示本地时间选择时区中国：＋8启动NTP对时对时间隔立即对时暂停时钟对时服务器设置如果要手动修改时钟，必须停止NTP对时，并暂停时钟，然后进行修改对时服务器设置对时服务器增加修改删除上移下移尽量使用本地的对时服务配置备份及恢复选择配置类型显示配置选择配置安装方式安装配置选择配置类型PostSetup：当前所有配置，包括从console配置的，和List配置的Brief：所有从console配置的设置，不包括从List配置的Expanded：最完整的配置，包括系统专用的部分，无法放到其它系统ResultsofConfigurationLoad：上次加载配置的结果选择配置安装方式本地文件方式文本编辑方式Network配置网卡配置路由配置DNS配置高级配置网卡配置选择网卡选择网卡接口部分网卡有多接口IP地址子网掩码网桥配置网卡接口高级配置网卡接口高级配置接受Inbound连接拒绝Inbound连接将拒绝用网络发起到该接口的连接，包括管理端口的请求，只有使用多端口时才选用网口自适应手工配置网口参数双工/半双工选择Speed选择MAC地址改变浏览器提示（在首页）改变浏览器提示直接设定ProxyIP使用SG中缺省的PAC文件进行Proxy设置使用加速的PAC文件进行Proxy设置使用URL指定的PAC文件进行代理设置用户端浏览器配置建议PAC文件•DefaultPACfile,URL:(url,host){if(url.substring(0,5)==http:){returnPROXY192.168.1.95:8080;DIRECT;}elseif(url.substring(0,6)==https:){returnPROXY192.168.1.95:8080;DIRECT;}elseif(url.substring(0,4)==ftp:){returnPROXY192.168.1.95:8080;DIRECT;}else{returnDIRECT;}}•AcceleratedPacFile,URL:通过inlineaccelerated-pac命令，可以设置该PAC文件路由配置Gateways配置静态路由配置RIP配置Gateways配置已有Gateway生成编辑编辑删除启动IPForwardingGateway编辑界面：由New和Edit生成Gateway的IP地址分组号越小优先级越高，高优先级的Gateway全部失效，才选用低优先级的权重：按权重比例分配负载静态路由配置选择静态路由设置方式URL本地文件文本编辑安装显示路由表显示源路由设置文件静态路由表是一个文本文件，每行包含：IP地址、子网掩码、网关IP，例如：192.168.1.0255.255.255.0192.168.1.1DNS配置名字添加查询已有DNS服务器设置生成编辑删除上移下移Primary/Alternative选择查问第一个PrimaryDNSServer返回结果为IP地址?获得IP地址Yes查问第一个AlternateDNSServer是否定义了Alternate?Yes无法解析No返回结果为域名不存在?NoYes无出错、无应答?NoYes返回结果为IP地址?YesNo按顺序查问后面的PrimaryDNSServerNo……SplitDNS的应用需使用Primary和AlternateDNSServerDNS服务器使用次序AttackDetection配置为减少DDOS攻击和端口扫描的影响，SG能够限制从同一ClientIP来的并发连接数，也可以限制到超载的服务的并发连接数只能通过命令行配置：enableconftattack-detectionclientservercreateclientip_addressorip_and_lengthcreatehostnameedithostnameaddhostnameremovehostnamerequest-limit……Services定义•一个Service将为一种协议产生一个侦听的端口和IP地址•Service=Protocol+IP(InterfaceIP,VIP,orAll)+Port+Attribute(s)•同一端口上的多个Service可以生成在不同的IP上Service名代理协议IP地址SOCKSProxy参数Intercept/BypassServices定义修改属性：Explicit：指定代理Transparent：透明代理Authenticate-401：服务器认证响应Send-Client-IP：用ClientIP到源站点取信息，要求网络配合策略配置PolicyOptions：策略选项PolicyFiles：策略文件，所有策略配置均在系统中对应到一个策略文件，该选项包括对文件方式的配置和备份、恢复等VisualPolicyManager：可视化策略管理器，通过可视化界面配置访问控制策略Exceptions：修改缺省的出错页面策略选项策略执行次序（越前面优先级越低）上移下移缺省策略设置跟踪所有策略执行（用于Debugging）•BlueCoat策略结构File1Layer1Rule1Layer2Rule1Rule2Rule3File2Layer1Rule1Rule2File3File4•Layer=ACL•第一个规则匹配=进入下一层•可能有多条规则匹配•最后一个规则获胜策略说明策略选项策略执行次序（越前面优先级越低）上移下移缺省策略设置跟踪所有策略执行（用于Debugging）跟踪策略执行starttransactionCPLEvaluationTrace:ProxyMATCH:authenticate(islandldap)ProxyMATCH:ALLOWcondition=realstreamscondition=GROUP2ProxyMATCH:condition=realstreamscondition=GROUP2max_bitrate(700K)ProxyMATCH:trace_request(yes)trace_rules(yes)trace_destination(trace.html)connection:client_address=192.168.0.196proxy_port=1091time:2002-03-2910:02:45UTCrequest:RTSP_PLAYrtsp://192.168.0.138/rush.rmuser:name=user0.internetrealm=islandldapAuth-Requiredrealm=proxy_realm\islandldap(basic)Set-Max-Bitrate:700000endtransaction策略文件VPM文件管理策略文件安装Central文件变化时自动安装Central文件变化时Email通知显示当前策略文件（可以在显示窗口存为文本）安装方式可视化策略管理器－－VPM该页面将启动JRE，如果没有JRE环境，浏览器将自动从网络下载安装启动VPM管理界面安装策略文件改变Layer次序VPM—Policy菜单AdminAuthenticationLayer：管理员用户认证层，定义更多的管理员用户AdminAccessLayer：管理员访问控制层，控制管理员访问的权限DNSAccessLayer：DNS访问控制层，如果设置该ProxySG为DNS服务器时，可以控制域名解析SOCKSAuthenticationLayer：用户SOCKS代理访问时的用户认证定义WebAuthenticationLayer：用户Web代理访问时的用户认证WebAccessLayer：用户Web访问控制层WebContentLayer：Web访问内容控制层，控制ProxySG到源服务器获取内容的方式ForwardingLayer：转发控制层，可以根据条件设定将用户访问请求转发到指定目标的策略。生成策略层VPM—WebAuthenticationLayer其中：缺省生成一条策略，为从任何源（Source:Any）到任何目标（Destination:Any）不做控制（Action:None）。VPM—SOCKSAuthenticationLayer其中：缺省生成一条策略，为从任何源（Source:Any）不做控制（Action:None）。VPM—WebAccessLayer每个Web访问控制策略由：源、目标、服务、时间和操作五部分组成VPM—WebAccessLayer—Source定义VPM—WebAccessLayer—Destination定义V