当前位置: 首页 > >

bluecoat操作手册

发布时间:

Blue Coat
Training

Blue Coat SGOS

Du,Feng

System Engineer Blue Coat ShangHai Office

Blue Coat
Training

SGOS 启动
Du,Feng
System Engineer Blue Coat ShangHai Office

Get Start
开始安装Blue Coat ProxySG专用设备前,先确定安装设备初始IP地址等信 息的设置,并且该IP是可以通过网络可访问的,初始IP地址信息的设置是 一个简单的过程,要求配置四个参数:


?· ?· ?·

静态IP地址
IP的子网掩码 网关 DNS服务器IP地址

Blue Coat设备提供了两种配置这些参数的方法: ?使用串口线通过传统的串口通讯 ?通过SG前面板的LCD

串口方式
串行电缆: DB9-f DB9-f 2 - 3 (transmit - receive) 3 - 2 (receive - transmit) 5 - 5 (ground - ground)
三次<Enter>后出现以下:

选择2,如果4个主要参数未配 ,将直接进人Setup Console

前面板方式
在使用前面板时,步骤如下: Enter按钮:模式之间转换和存储变化的配置

Menu按钮:从模式返回,并Cancel变化的配置
?按Enter按钮切换到配置模式,检查LCD 中光标形状 ?按Up或Down按钮,来修改LCD上可修 改的四个参数
可以配置: Interface 0: IP地址 掩码 缺省网关 DNS console password enable password secure serial (Yes/No)

LCD Menu

?按Enter按钮切换到Edit模式,检查LCD 中光标的形状 ?按Left或Right箭头按钮,移动数字下的 光标到需修改的参数 ?按Up或Down箭头按钮来改变数字 ?重复步骤四和五修改每个参数的数字 ?按Enter按钮存储修改的值,并回到配置 模式 为每个可配置参数重复以上步骤

Blue Coat
Training

SGOS GUI及基本配置
Du,Feng
System Engineer Blue Coat ShangHai Office

GUI:
?

https://x.x.x.x:8082

JAVA GUI界面可以从任何系统方便地进行访问
– Browser: IE 5.0 & 6.0 (SP1 or later), Netscape 4.7 (4.78 or later) & 7.1

– OS: Windows 98, NT 4.0 (SP6 or later), 2000 (SP2 or later), XP (SP1a)
– JRE for Policy Manager: 1.4.2或1.5的版本

?

Notes:
– 浏览器可能缓存了Java (如果有问题,点击Refresh或清除浏览器缓存) – JAVA是会被代理的,在测试和管理时,浏览器不要设置代理 – 建议在访问该页面时,等状态栏中指示所有Java类下载结束后,再进行后续操作 – Java界面有可能要求在输入一次用户名和密码

GUI首页
进入管理界面

用户端浏览器配 置建议

网站链接

网站链接

产品型号

IP地址(Int0)

软件版本

硬件序列号

General配置
设备名定义 时钟定义 配置备份/恢复

可以修改设备名

序列号不可修改

时钟设置
对时服务器设置 显示UTC时间 显示本地时间 选择时区

中国:+8

如果要手动修改时钟, 必须停止NTP对时,并 暂停时钟,然后进行修 改 启动NTP对时 对时间隔 立即对时 暂停时钟

对时服务器设置

对时服务器

增加 修改 删除 上移

下移 尽量使用本地的对时服务

配置备份及恢复

选择配置类型

显示配置

选择配置安装方式

安装配置

选择配置类型

Post Setup:当前所有配置, 包括从console配置的,和List 配置的 Brief:所有从console配置的 设置,不包括从List配置的 Expanded:最完整的配置, 包括系统专用的部分,无法放 到其它系统 Results of Configuration Load:上次加载配置的结果

选择配置安装方式

本地文件方式 文本编辑方式

Network配置

网卡配置

路由配置

DNS配置

高级配置

网卡配置
选择网卡

选择网卡接口 部分网卡有多接口

IP地址 子网掩码

网桥配置

网卡接口高级配置

网卡接口高级配置
接受Inbound连接 拒绝Inbound连接 将拒绝用网络发起到 该接口的连接,包括管 理端口的请求,只有使 用多端口时才选用 网口自适应 手工配置网口参数 双工/半双工选择 Speed选择 改变浏览器提示 (在首页) MAC地址

改变浏览器提示
直接设定Proxy IP 使用SG中缺省的PAC文 件进行Proxy设置 使用加速的PAC文件进 行Proxy设置 使用URL指定的PAC文 件进行代理设置

用户端浏览器配 置建议

PAC文件
?Default PAC file, URL: https://x.x.x.x:8082/proxy_pac_file
function FindProxyForURL(url, host) { if( url.substring(0, 5) == "http:" ) { return "PROXY 192.168.1.95:8080; DIRECT"; } else if( url.substring(0, 6) == "https:" ) { return "PROXY 192.168.1.95:8080; DIRECT"; } else if( url.substring(0, 4) == "ftp:" ) { return "PROXY 192.168.1.95:8080; DIRECT"; } else { return "DIRECT"; } }

?Accelerated Pac File, URL: https://x.x.x.x:8082/accelerated_pac_base.pac

通过inline accelerated-pac命令,可以设置该PAC文件

路由配置

Gateways配置

静态路由配置

RIP配置

Gateways配置

已有Gateway 生成 编辑 编辑删除 启动IP Forwarding

分组号 越小优先级越高,高 优先级的Gateway全部失 效,才选用低优先级的

Gateway编辑界面 :由New和Edit生 成

Gateway的IP地址

权重:按权重 比例分配负载

静态路由配置

选择静态路由设置方式
URL 本地文件 文本编辑 安装 显示路由表 显示源路由设置文件

静态路由表是一个文本文件,每行包含:IP地址、子网掩码、网关IP, 例如:192.168.1.0 255.255.255.0 192.168.1.1

DNS配置

名字添加查询 已有DNS服务器设置 生成 编辑 删除

上移
下移 Primary/Alternative选择

DNS服务器使用次序
Yes 查问第一个 Primary DNS Server 获得IP地址 No

返回结果为 IP地址?

无法解析

No
返回结果为 域名不存在 ?

No Yes
是否定义了 Alternate ?

Yes

Yes

查问第一个 Alternate DNS Server

返回结果为 IP地址?

No
无出错、无 应答?

Yes

No

按顺序查问后 面的Primary DNS Server

……

Split DNS的应用需使用Primary和Alternate DNS Server

Attack Detection配置
为减少DDOS攻击和端口扫描的影响,SG能够限制从同一Client IP来的并发连接数 ,也可以限制到超载的服务的并发连接数 只能通过命令行配置: enable conf t attack-detection client create client ip_address or ip_and_length server create hostname edit hostname

add hostname
remove hostname request-limit ……

Services定义
Service 名 代理协议 IP地址 SOCKS Proxy参数 Intercept/Bypass

? ?

一个Service将为一种协议产生一个侦听的端口和IP地址 Service = Protocol + IP (Interface IP, VIP, or All) + Port + Attribute(s)

?

同一端口上的多个Service可以生成在不同的IP上

Services定义修改

属性: Explicit:指定代理 Transparent:透明代理 Authenticate-401:服务 器认证响应

Send-Client-IP:用Client IP到源站点取信息,要求网 络配合

策略配置
? Policy Options:策略选项
? Policy Files:策略文件,所 有策略配置均在系统中对应 到一个策略文件,该选项包 括对文件方式的配置和备份 、恢复等 ? Visual Policy Manager:可 视化策略管理器,通过可视 化界面配置访问控制策略

Exceptions:修改缺省的出错 页面

策略选项
策略执行次序

(越前面优先级越低)
上移 下移

缺省策略设置

跟踪所有策略执行 (用于Debugging)

策略说明
? Blue Coat 策略结构
File1 Layer1 Rule1 Layer2 Rule1 Rule2 Rule3 File2 Layer1 Rule1 Rule2 File3 File4

? ? ? ?

Layer = ACL 第一个规则匹配 = 进入下一层 可能有多条规则匹配 最后一个规则获胜

策略选项
策略执行次序

(越前面优先级越低)
上移 下移

缺省策略设置

跟踪所有策略执行 (用于Debugging)

跟踪策略执行
start transaction
CPL Evaluation Trace: <Proxy>

MATCH:
MATCH:

authenticate(islandldap)
ALLOW condition=realstreams condition=GROUP2

<Proxy> <Proxy>

MATCH: condition=realstreams condition=GROUP2 max_bitrate(700K)
<Proxy> MATCH: trace_request(yes) trace_rules(yes) trace_destination(trace.html) connection: client_address=192.168.0.196 proxy_port=1091

time: 2002-03-29 10:02:45 UTC
request: RTSP_PLAY rtsp://192.168.0.138/rush.rm user: name=user0.internet realm=islandldap Auth-Required realm=proxy_realm\islandldap (basic) Set-Max-Bitrate: 700000

end transaction

策略文件
VPM文件管理

策略文件安装
Central文件变化时 自动安装 Central文件变化时 Email通知

显示当前策略文件 (可以在显示窗口 存为文本)

安装方式

可视化策略管理器--VPM
该页面将启动JRE,如果没有JRE环境,浏览器将自动从网络下载安装

启动

VPM管理界面

安装策略文件

改变Layer次序

VPM—Policy菜单
生成策略层

Admin Authentication Layer:管理员 用户认证层,定义更多的管理员用户 Admin Access Layer:管理员访问控 制层,控制管理员访问的权限 DNS Access Layer:DNS访问控制层 ,如果设置该ProxySG为DNS服务器 时,可以控制域名解析 SOCKS Authentication Layer: 用 户 SOCKS代理访问时的用户认证定义 Web Authentication Layer:用户Web 代理访问时的用户认证 Web Access Layer:用户Web访问控 制层 Web Content Layer:Web访问内容控 制层,控制ProxySG到源服务器获取 内容的方式 Forwarding Layer:转发控制层,可 以根据条件设定将用户访问请求转发 到指定目标的策略。

VPM—Web Authentication Layer

其中:缺省生成一条策略,为从任何源(Source:Any)到任何目标(Destination:Any) 不做控制(Action:None)。

VPM—SOCKS Authentication Layer

其中:缺省生成一条策略,为从任何源(Source:Any)不做控制(Action:None)。

VPM—Web Access Layer

每个Web访问控制策略由:源、目标、服务、时间和操作五部分组成

VPM—Web Access Layer—Source定义

VPM—Web Access Layer—Destination定义

VPM—Web Access Layer—Service定义

VPM—Web Access Layer—Time定义

VPM—Web Access Layer—Action定义

出错页面

Blue Coat
Training

SGOS 维护和统计
Du,Feng
System Engineer Blue Coat ShangHai Office

维护
普通维护 OS升级

Licensing
事件日志设置 SNMP设置 Heartbeats设置 Core Images设置 Service信息采集

普通维护
选择软件启动 选择硬件启动 转换系统 *舳

恢复缺省设置
删除DNS缓存 删除系统缓存 (采用时间标签的方式实现)

Service信息定义

发送系统信息
“快照” “抓包”

发送系统信息

Service Request Number

发送 自动发送

(将故障报到support.cn@bluecoat.com,将 获得一个Number,来跟踪整个过程)

“快照”

“抓包”

开始抓包 停止 下载 显示统计

抓包过滤
大小 抓Bridge的包 抓所有包 第几次满足条件,开始抓包 第几次满足条件,停止抓包

统计

Traffic Mix 报告

Traffic History 报告

Protocol Detail报告

System报告

Active Sessions报告

Authentication报告

Advance URL

https://x.x.x.x:8082/SYSInfo

Blue Coat
Training

定义出错页面

Du,Feng
System Engineer Blue Coat ShangHai Office

出错页面定义

?ProxySG已经内置多个出错页面

?可以通过管理界面定义个性化的出错页面
?通过策略定义,不同的情况选择不同的出错页面 ?出错页面采用HTTP语法进行定义

生成出错页面
?通过console界面,定义出错页面,命令如下: ?Enable ?Conf t ?Exceptions ?Create my_deny ?Edit my_deny

?Inline http format <end>
?…… ?<end> ?其中,my_deny为出错页面名,在Policy中引用 ? ……为出错页面内容

出错页面内容举例
?以下出错页面将请求转向到www.sohu.com ?可通过前述inline命令定义为my_deny的内容。
<html> <head> <title>Redirector</title>

</head>
Your request will now be redirected to your requested site. <SCRIPT language=javascript> document.write('<meta http-equiv="refresh" content="0; URL=http://www.sohu.com/')

document.write(window.location.hostname);
document.write(window.location.pathname); document.write('">'); </SCRIPT> </html>

通过策略选用定义的出错页面
?在VPM的Web Access策略中, 需要使用定义的出错页面进行 DENY时 ?在Action栏中,使用鼠标右键, 选择Set/New/Return Exceptions

?在弹出窗口中,选定Userdefined exception:,并选择 my_deny。
?点击OK完成定义

?该定义可以通过弹出窗口中定义 的Name,被其他策略引用。

Blue Coat
Training

SGOS 带宽管理策略
Du,Feng
System Engineer Blue Coat ShangHai Office

带宽限制策略配置—定义带宽类
建议将工具下载、流媒体等大流量的通讯限制在指定带宽范围类,初始为 30Mbps,以后可以根据带宽状况进行调整。 定义带宽类:SG的web管理界面configuration/bandwidth management/BWM Classes进入定义页面,定义一个带宽类,名字为limit,最大带宽30Mbps,优 先级为3,如下图示:

带宽限制策略配置—定义带宽控制策略
<cache> delete_on_abandonment(yes) <Proxy> url.scheme=http condition=Limit limit_bandwidth.server.inbound(limit) <proxy> url.domain=sandai.net deny url.domain=xunlei.com deny <proxy> url.domain=sohu.com http.server.recv.timeout(80)

?该策略将对下载超过1M大小、下载工具使 用的续传、视频及语音信息访问进行带宽限 制
?屏蔽迅雷相关的域名:
sandai.net
xunlei.com 在原策略中,没有屏蔽sandai.net

define condition NO_or_LARGE_CONTENT_LENGTH response.header.Content-Length=!"" response.header.Content-Length=!"^[0-9]{1,6}$" end condition NO_or_LARGE_CONTENT_LENGTH

define condition MEDIA_MIME_TYPES response.header.Content-Type="video/" response.header.Content-Type="application/streamingmedia" response.header.Content-Type="application/x-streamingmedia" response.header.Content-Type="application/vnd.rn" response.header.Content-Type="application/ogg" response.header.Content-Type="application/x-ogg" response.header.Content-Type="audio/" response.header.Content-Type="multipart/x-mixed-replace" end condition MEDIA_MIME_TYPES

define condition Byte_range request.header.Range="bytes.*" end Byte_range

define condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH condition=NO_or_LARGE_CONTENT_LENGTH condition=MEDIA_MIME_TYPES end condition VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH

define condition Limit condition=VIDEO_AUDIO_with_NO_or_LARGE_CONTENT_LENGTH condition=Byte_range end condition Limit

带宽限制策略配置—带宽控制策略安装
?从Web管理界面configuration/Policy/Policy files进入,选择Local policies 的安装方式为Text Editor,如下图示:
?请将弹出窗口中的原 策略备份下来,以便 以后启动AV扫描时使 用 ?用上一页的策略覆盖 窗口中的所有内容 ?然后Install

Blue Coat
Training

用户认证介绍
Du,Feng
System Engineer Blue Coat ShangHai Office

用户认证类型
? Blue Coat SG 安全
– Console访问
– 物理访问 (front panel, serial port)

? Blue Coat SG用户认证
– 在允许访问前确认用户

? 资源认证请求

Blue Coat SG安全
? 控制对SG专用设备的访问
– 根据IP地址或地址范围进行限制 – 配置终端的Password保护 – 前面板操作的 PIN

– 串口访问的Password保护

? 基于角色的安全控制
– 使用基于认证域的认证
– 细粒化的操作选择

VPM—Admin Authentication Layer
认证系统管理员

VPM—Admin Access Layer

用户认证
? 基于用户和用户分组的策略 ? 细粒化的报告 ? 管理提示页面

指定代理用户认证

常见问题1:
在Reporter的报告中,用户“-”排第一?
Access Log Tail The current time is Tue Jul 22, 2008 09:42:11 UTC #Software: SGOS 4.2.4.1 #Version: 1.0 #Start-Date: 2008-07-22 09:42:11 #Date: 2008-07-04 08:25:29 #Fields: date time time-taken c-ip cs-username cs-auth-group x-exception-id sc-filter-result cs-categories cs(Referer) sc-status s-action cs-method rs(Content-Type) cs-uri-scheme cs-host cs-uri-port cs-uri-path cs-uri-query cs-uri-extension cs(User-Agent) s-ip sc-bytes cs-bytes x-virus-id #Remark: (not available) "192.168.1.98 - Blue Coat SG110" 2008-07-22 09:42:36 4448 192.168.1.140 - - authentication_failed PROXIED "News/Media" - 407 TCP_DENIED GET - http news.sina.com.cn 80 / - - "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" 192.168.1.98 1081 789 – 2008-07-22 09:43:00 1654 192.168.1.140 test1 - - PROXIED "Search Engines/Portals" http://news.sina.com.cn/ 304 TCP_MISS GET application/x-javascript http woocall.sina.com.cn 80 /rls/pusher/stable.js - js "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)" 192.168.1.98 474 516 -

常见问题2:
某些软件无法通过SG的用户认证?

1、该软件是否支持代理的用户认证? 2、不做用户认证时,是否能通过? 3、检查访问日志、Policy Trace、PCAP 4、Walk around
? 配置对特定端口不做用户认证

? 采用Socks代理方式
? 选择基于IP的认证方式

案例分析:“同花顺”
1、支持代理用户认证

2、无用户认证时,通过SG的HTTP代理 没问题
3、现象:有的用户可以上,有的不行

检查访问日志:
2008-07-23 05:32:59 2 192.168.1.60 407 TCP_DENIED 1084 428 GET http www.10jqka.com.cn 80 /docookie.php ?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083 111 - - NONE - - - "Cookie Session" PROXIED "none" - 192.168.1.97 2008-07-23 05:33:05 530 192.168.1.60 200 TCP_NC_MISS 1053 496 GET http www.10jqka.com.cn 80 /docookie.php ?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083 111 test1 - DIRECT www.10jqka.com.cn text/html;%20charset=gb2312 - "Cookie Session" PROXIED "none" - 192.168.1.97 2008-07-23 05:33:06 88 192.168.1.60 200 TCP_NC_MISS 1053 496 GET http www.10jqka.com.cn 80 /docookie.php ?uname=dufeng_cf&passwd=b8c58e7cc2c644d06fa11daa5d36447e&signvalid=2008083 111 test1 - DIRECT www.10jqka.com.cn text/html;%20charset=gb2312 - "Cookie Session" PROXIED "none" - 192.168.1.97 2008-07-23 05:33:09 5 192.168.1.60 400 TCP_DENIED 177 111 CONNECT tcp 61.151.247.212 8601 / - - NONE - - - - PROXIED "none" - 192.168.1.97 2008-07-23 05:33:10 18 192.168.1.60 400 TCP_DENIED 177 109 CONNECT tcp 60.217.234.35 8601 / - - NONE - - - - PROXIED "none" - 192.168.1.97 2008-07-23 05:33:10 23 192.168.1.60 400 TCP_DENIED 177 109 CONNECT tcp 202.104.106.6 8601 / - - NONE - - - - PROXIED "none" - 192.168.1.97

检查Policy Trace :
start transaction ------------------CPL Evaluation Trace: transaction ID=1137 <Proxy> MATCH: ALLOW <Proxy> MATCH: authenticate(ad) authenticate.force(no) authenticate.mode(proxy-ip) <Proxy> MATCH: socks.authenticate(ad) socks.authenticate.force(no) <Proxy> MATCH: response.raw_headers.tolerate(continue) connection: client.address=192.168.1.60 proxy.port=8080 time: 2008-07-23 05:33:06 UTC CONNECT tcp://61.151.247.212:8601/ RDNS lookup was unrestricted user: unauthenticated EXCEPTION(bad_credentials): Request could not be handled url.category: none stop transaction --------------------

检查PCAP :
被Deny时:用户名:test1,密码:test123

正常的HTTP访问:用户名:test1,密码:test123

正常的HTTP访问:用户名:test2,密码:test1234

Workaround:对特定端口不做用户认证

Workaround:采用Socks代理方式
1、Socks是非Web应用通过代理的常用 方式 2、“同花顺”可能会跳出很多认证窗口 3、“同花顺”会调用IE的模块获取一些 控件 4、需要设置全部通过Socks代理

Workaround:选择基于IP的认证方式

“同花顺”中不能再设置用户名和密码




友情链接: