BlueCoat代理服務(wù)器配置說明

...wd......wd......wd...互聯(lián)網(wǎng)代理安全網(wǎng)關(guān)功能需求文檔2011年1月目錄TOC\o"1-3"\h\z一、安裝設(shè)備及安裝環(huán)境41.1實(shí)施設(shè)備清單41.2實(shí)施拓樸構(gòu)造圖4二、實(shí)施步驟52.1物理連接52.2初始IP地址配置52.3遠(yuǎn)程管理軟件配置52.4網(wǎng)絡(luò)配置62.4.1Adapter1地址配置62.4.2靜態(tài)路由配置72.4.3配置外網(wǎng)DNS服務(wù)器92.4.4配置虛擬IP地址92.4.5配置FailOver102.5配置代理服務(wù)端口122.6配置本地時鐘132.7配置Radius認(rèn)證服務(wù)132.8內(nèi)容過濾列表定義及下載162.9定義病毒掃描服務(wù)器182.10帶寬管理定義222.11策略設(shè)置232.11.1配置DDOS攻擊防御232.11.2設(shè)置缺省策略為DENY232.11.3配置BlueCoatAnti-Spyware策略242.11.4訪問控制策略配置-VPM252.11.5病毒掃描策略配置252.11.6用戶認(rèn)證策略設(shè)置272.11.7帶寬管理策略定義292.11.8Work_Group用戶組訪問控制策略定義342.11.9Management_Group用戶組訪問控制策略定義362.11.10High_Level_Group用戶組訪問控制策略定義362.11.11Normal_Group用戶組訪問控制策略定義372.11.12Temp_Group用戶組訪問控制策略定義372.11.13IE瀏覽器版本檢查策略392.11.14DNS解析策略設(shè)置41安裝設(shè)備及安裝環(huán)境實(shí)施設(shè)備清單Bluecoat安全代理專用設(shè)備SG600－10一臺，AV510-A一臺，BCWF內(nèi)容過濾，MCAFEE防病毒,企業(yè)版報表模塊。實(shí)施拓樸構(gòu)造圖Bluecoat設(shè)備SG600-10－3配置于內(nèi)網(wǎng)，AV510-A與SG600-10之間通過ICAP協(xié)議建設(shè)通信。連接方法有以下幾種，網(wǎng)絡(luò)示意構(gòu)造如以下列圖：旁路模式：實(shí)施步驟物理連接兩臺BluecoatSG800－2的Adapter0_Interface0和Adapter1_Interface0通過以太網(wǎng)雙絞線連接于兩臺RadwareCID交換機(jī)。初始IP地址配置通過設(shè)備前控制面板可以設(shè)置ProxySG800-2的Adapter0_Interface0的地址為：第一臺SG800－2：(IP) 24(Mask) (DefaultGateway)第二臺SG800－2：1(IP) 24(Mask) (DefaultGateway) 遠(yuǎn)程管理軟件配置Bluecoat安全代理專用設(shè)備通過IE瀏覽器和SSH命令進(jìn)展管理，瀏覽器管理端口為8082，管理用的PC機(jī)需安裝了Java運(yùn)行環(huán)境。管理界面的URL為：s://:8082和s://1:8082網(wǎng)絡(luò)配置在xxxxx網(wǎng)絡(luò)環(huán)境中，(1)ProxySG800-2兩個端口均需配置IP地址；(2)除缺省路由指向防火墻，還需一條靜態(tài)路由，作為內(nèi)網(wǎng)通訊的路由，(3)配置外網(wǎng)DNS，以便ProxySG到互聯(lián)網(wǎng)的訪問，(4)每臺另外需要一個虛擬IP地址，作為內(nèi)部員工的DNS解析服務(wù)器IP地址；(5)對虛擬IP地址配置FailOver，當(dāng)一臺ProxySG停頓工作，其虛擬IP將切換到另外一臺。Adapter1地址配置從Web管理界面ManagementConsole/Configuration/Network/Adapter進(jìn)入，在Adapters下拉框中選擇Adapter1，并在IPaddressforInterface0和SubnetmaskforInterface0中配置IP地址和子網(wǎng)掩碼，如以下列圖示： 第一臺ProxySG800-2的IP地址為：0，掩碼：24 第二臺ProxySG800-2的IP地址為：2，掩碼：24點(diǎn)擊Apply使配置生效。靜態(tài)路由配置從Web管理界面ManagementConsole/Configuration/Network/Routing進(jìn)入，在窗口上部選項(xiàng)中選擇Routing，并在InstallRoutingtablefrom下拉框中選擇TextEditor，如以下列圖示：點(diǎn)擊Install，并在彈出窗口中輸入靜態(tài)路由：如以下列圖示：點(diǎn)擊Install使配置生效。配置外網(wǎng)DNS服務(wù)器從Web管理界面ManagementConsole/Configuration/Network/DNS進(jìn)入，如以下列圖示：點(diǎn)擊New增加外網(wǎng)DNS服務(wù)器IP地址，并點(diǎn)擊Apply使配置生效。配置虛擬IP地址從Web管理界面ManagementConsole/Configuration/Network/Advanced進(jìn)入，在窗口上部選項(xiàng)中選擇VIPs，如以下列圖示：點(diǎn)擊New配置虛擬IP地址，并點(diǎn)擊Apply使配置生效。第一臺ProxySG800-2的虛擬IP地址為：3第二臺ProxySG800-2的虛擬IP地址為：4配置FailOver從Web管理界面ManagementConsole/Configuration/Network/Advanced進(jìn)入，在窗口上部選項(xiàng)中選擇Failover，如以下列圖示：點(diǎn)擊New配置Failover組，如以下列圖示：在彈出窗口中，選擇ExistingIP，并在下拉框中選擇已定義的虛擬IP地址：3〔第一臺ProxySG800〕，4〔第二臺ProxySG800〕，在GroupSetting中，選擇Enable，并在RelativePriority中選中Master，點(diǎn)擊OK完成配置。并點(diǎn)擊Apply使配置生效。點(diǎn)擊New配置另一個Failover組，如以下列圖示：在彈出窗口中，選擇NewIP，指定虛擬IP地址：4〔第一臺ProxySG800〕，3〔第二臺ProxySG800〕，在GroupSetting中，選擇Enable，點(diǎn)擊OK完成配置。并點(diǎn)擊Apply使配置生效。配置代理服務(wù)端口在xxxxx網(wǎng)絡(luò)中ProxySG將提供〔80端口〕、SOCKS〔1080端口〕、DNS(53端口)的代理服務(wù)，其它通訊如：MSN、流媒體等均通過或SOCKS代理實(shí)現(xiàn)。從Web管理界面ManagementConsole/Configuration/Services/ServicePorts進(jìn)入，如以下列圖示：其中，SSH-Console〔22〕、Telnet-Console〔23〕、-Console〔8081〕是為系統(tǒng)管理提供服務(wù)的端口，可以根據(jù)網(wǎng)絡(luò)管理要求選擇是否開放；DNS-Proxy〔53〕、〔80〕和SOCKS〔1080〕必須Enable〔Yes〕，并且包括Explicit屬性，〔80〕需要包括Transparent屬性。并點(diǎn)擊Apply使配置生效。配置本地時鐘從Web管理界面ManagementConsole/Configuration/General/Clock進(jìn)入，如以下列圖示：選擇本地時鐘定義為＋8區(qū)，并點(diǎn)擊Apply使配置生效。配置Radius認(rèn)證服務(wù)互聯(lián)網(wǎng)訪問用戶將采用Radius進(jìn)展用戶認(rèn)證，用戶分組通過Radius的屬性進(jìn)展定義，分組與屬性對應(yīng)關(guān)系如下：工作組 Login(1)管理組 Framed(2)高級組 CallBacklogin(3)普通組 CallBackFramed(4)臨時組 Outbound(5)從Web管理界面ManagementConsole/Configuration/Authentication/RADIUS進(jìn)入，如以下列圖示：點(diǎn)擊New生成RADIUS配置，在彈出窗口中定義Radius服務(wù)器地址，如以下列圖示：其中，RealName定義為RADIUS，Primaryserverhost中定義RADIUS服務(wù)器IP地址：2〔暫定〕，Port為1812，Secret為RADIUS中定義的通訊密碼；點(diǎn)擊OK完成定義。并點(diǎn)擊Apply使配置生效。注：Port和Secret的定義必須與RADIUS服務(wù)器中定義保持一致。如需定義備份的RADIUS服務(wù)器，在上部選項(xiàng)中選擇RADIUSServers，如以下列圖示：在AlternateServer定義中，定義備用的RADIUS服務(wù)器IP地址，及通訊密碼。從Web管理界面ManagementConsole/Configuration/Authentication/TransparentProxy進(jìn)入，如以下列圖示：其中，Method選定IP，在IPTTL中定義240分鐘〔4個小時〕，用戶認(rèn)證一次將保持4小時；并點(diǎn)擊Apply使配置生效。內(nèi)容過濾列表定義及下載在ProxySG中加載BlueCoat分類列表作為互聯(lián)網(wǎng)訪問控制及Anti-Spyware策略的根基。從Web管理界面ManagementConsole/Configuration/ContentFiltering/Bluecoat進(jìn)入，如以下列圖示：輸入用戶名/密碼，選擇ForceFullUpdate，并點(diǎn)擊Apply使配置生效，然后點(diǎn)擊DownloadNow開場下載分類列表庫。分類列表下載完畢后〔第一次下載超過80Mbypes數(shù)據(jù)，所需時間與網(wǎng)絡(luò)和帶寬有關(guān)〕，定義自動下載更新，在上部選項(xiàng)中選擇AutomaticDownload，如以下列圖示：其中：選擇每天UTC時間下午4:00〔本地時間晚上12:00〕自動下載更新，并點(diǎn)擊Apply使配置生效。啟動動態(tài)分類模式，在上部菜單項(xiàng)選擇擇DynamicCategorization，如以下列圖示：選擇EnableDynamicCategorization和Categorizedynamicallyinthebackground，并點(diǎn)擊Apply使配置生效。選定使BlueCoat分類列表生效，從Web管理界面ManagementConsole/Configuration/ContentFiltering/General進(jìn)入，如以下列圖示：選定UseBlueCoatWebFilter，并點(diǎn)擊Apply使配置生效。定義病毒掃描服務(wù)器對所有通過ProxySG的、FTP通訊進(jìn)展病毒掃描，病毒掃描服務(wù)器采用McAfee，ProxySG通過ICAP協(xié)議實(shí)現(xiàn)與McAfee病毒掃描服務(wù)器通訊。從Web管理界面ManagementConsole/Configuration/ExternalServices/ICAP進(jìn)入，點(diǎn)擊New生成ICAP服務(wù)配置，如以下列圖示：Service名為McAfee_1和McAfee_2，選擇服務(wù)名McAfee_1，并點(diǎn)擊Edit，進(jìn)入服務(wù)配置窗口，如以下列圖示：在ServiceURL中，定義icap://5，并點(diǎn)擊Sensesettings從McAfee獲取病毒掃描參數(shù)配置，點(diǎn)擊Register定義進(jìn)展安康檢查，點(diǎn)擊OK完成定義，并點(diǎn)擊Apply使配置生效。選擇服務(wù)名McAfee_2，并點(diǎn)擊Edit，重復(fù)以上過程，并在ServiceURL中定義icap://6。從Web管理界面ManagementConsole/Configuration/ExternalServices/Serice-Group進(jìn)入，將兩臺McAfee服務(wù)器定義為一個Group，點(diǎn)擊New生成ServiceGroup配置如以下列圖示：ServiceGroup名定義為McAfee_Group，點(diǎn)擊Edit進(jìn)展服務(wù)器組定義，如以下列圖示：通過點(diǎn)擊New將McAfee_1和McAfee_2參加McAfee_Group中，點(diǎn)擊Edit可以改變Group成員的權(quán)重，選擇OK完成配置，并點(diǎn)擊Apply使配置生效。帶寬管理定義根據(jù)帶寬管理策略要求，定義七個帶寬類，其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、Normal_Group_Bandwidth、Temp_Group_Bandwidth分別對應(yīng)工作組、管理組、高級組、普通組、臨時組的帶寬管理要求，Limit_App_Bandwidth對應(yīng)高帶寬消耗應(yīng)用的帶寬管理策略，Key_App_Bandwidth對應(yīng)關(guān)鍵應(yīng)用網(wǎng)站的帶寬管理策略。從Web管理界面ManagementConsole/Configuration/BandwidthMgmt./BWMClasses進(jìn)入，點(diǎn)擊New定義帶寬類，如以下列圖示：其中，需選中EnableBandwidthManagement，定義帶寬類，并點(diǎn)擊Apply使配置生效。策略設(shè)置配置DDOS攻擊防御通過Telnet、SSH或Console進(jìn)入ProxySG的命令行管理界面，進(jìn)入enable狀態(tài)，通過命令conft進(jìn)入配置狀態(tài)，通過以下命令啟動DDOS防御：attack-detectionclientenable-limits設(shè)置缺省策略為DENY從Web管理界面ManagementConsole/configuration/Policy/PolicyOptions進(jìn)入缺省策略設(shè)置，如以下列圖示：其中，選擇DENY，并點(diǎn)擊Apply使配置生效。配置BlueCoatAnti-Spyware策略從Web管理界面ManagementConsole/configuration/Policy/PolicyFiles進(jìn)入缺省策略設(shè)置，如以下列圖示：在InstallLocalFileFrom的下拉框中選擇LocalFile，點(diǎn)擊Install，如以下列圖示：在彈出的窗口中，點(diǎn)擊瀏覽，并選定BlueCoat發(fā)布的Anti-Spyware策略，選擇Install將策略加載到ProxySG中。訪問控制策略配置-VPM訪問控制策略通過BlueCoat圖視化界面VPM進(jìn)展配置，從Web管理界面ManagementConsole/configuration/Policy/VisualPolicyManager進(jìn)入，并點(diǎn)擊Launch，即可啟動VPM界面，如以下列圖示：病毒掃描策略配置定義對所有通過ProxySG的流量進(jìn)展病毒掃描，使用病毒掃描服務(wù)器組McAfee_Group。從VPM的Policy菜單項(xiàng)選擇擇AddWebContentLayer，生成Web內(nèi)容控制策略層，名字定義為WebAV，并在第一條規(guī)則中，Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定SetICAPResponseService，彈出窗口如以下列圖示：在UseICAPresponseservice的下拉框中選擇McAfee_Group，并選定ContinurewithoutfurtherICAPresponse，點(diǎn)擊OK，退到上一層，在窗口中選擇ICAPResponseService1，并點(diǎn)擊OK，完成規(guī)則設(shè)置；如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。用戶認(rèn)證策略設(shè)置從VPM的Policy菜單項(xiàng)選擇擇AddWebAuthenticationLayer，生成Web訪問用戶認(rèn)證層，名字定義為Web_Radius_Auth，并在第一條規(guī)則中，Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定Authenticate，彈出窗口如以下列圖示：在彈出的窗口中，Realm欄選定radius(RADIUS)，Mode中選定ProxyIP，點(diǎn)擊OK，退到上一層，在窗口中選擇Authenticate1，并點(diǎn)擊OK，完成規(guī)則設(shè)置；如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。從VPM的Policy菜單項(xiàng)選擇擇AddSOCKSAuthenticationLayer，生成SOCKS訪問用戶認(rèn)證層，名字定義為SOCKS_Radius_Auth，并在第一條規(guī)則中，Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定SOCKSAuthenticate，彈出窗口如以下列圖示：其中，Realm中選定radius(RADIUS)，點(diǎn)擊OK，退到上一層，在窗口中選擇SOCKSAuthenticate1，并點(diǎn)擊OK，完成規(guī)則設(shè)置；如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。帶寬管理策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Bandwidth_Management，并在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定Attribute，彈出窗口如以下列圖示：其中，定義Name為Work_Group，AuthenticationRealm選定RADIUS(RADIUS)，RADIUSAttribute選定Login(1)，選擇OK，完成屬性定義。重復(fù)以上過程分別定義Name為Management_Group、High_Level_Group、Normal_Group、Temp1_Group，Temp0_Group，Temp2_Group分別對應(yīng)RADIUSAttribute為Framed(2)、CallBacklogin(3)、CallBackFramed(4)、Outbound(5)、NASPrompt(7)、Administrative(6)。在第一條規(guī)則的Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定ClientProtocol，彈出窗口如以下列圖示：其中，選定P2P和AllP2P，并選擇OK，完成定義。在第一條規(guī)則的Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定URL，彈出窗口如以下列圖示：在SimpleMatch中指定關(guān)鍵業(yè)務(wù)的域名，選擇Add增加定義，選擇Close完畢定義。在第一條規(guī)則的Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定ManageBandwidth，彈出窗口如以下列圖示：其中，Name定義為Key_App_Bandwidth，LimitBandwidthon中選定ServerSide和Inbound，在BandwidthClass中選定Key_App_Bandwidth，選擇OK完成定義；重復(fù)以上過程，定義名Name為Limit_App_Bandwidth_in，屬性為ServerSideInbound，BandwidthClass為Limit_App_Bandwidth；定義名Name為Limit_App_Bandwidth_out，屬性為ServerSideOutbound，BandwidthClass為Limit_App_Bandwidth；定義名Name為Work_Group_Bandwidth，屬性為ServerSideInbound，BandwidthClass為Work_Group_Bandwidth；定義名Name為Management_Group_Bandwidth，屬性為ServerSideInbound，BandwidthClass為Management_Group_Bandwidth；定義名Name為High_Level_Group_Bandwidth，屬性為ServerSideInbound，BandwidthClass為High_Level_Group_Bandwidth；定義名Name為Normal_Group_Bandwidth，屬性為ServerSideInbound，BandwidthClass為Normal_Group_Bandwidth；定義名Name為Temp_Group_Bandwidth，屬性為ServerSideInbound，BandwidthClass為Temp_Group_Bandwidth。在VPM界面點(diǎn)擊AddRule增加七條規(guī)則，總共八條規(guī)則，第一條規(guī)則定義：在Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇以上定義的關(guān)鍵業(yè)務(wù)URL，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Key_App_Bandwidth；第二條規(guī)則定義：在Service欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇AllP2P，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Limit_App_Bandwidth_in；第三條規(guī)則定義：在Service欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇AllP2P，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Limit_App_Bandwidth_out；第四條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Work_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Work_Group_Bandwidth；第五條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Management_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Management_Group_Bandwidth；第六條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇High_Level_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇High_Level_Group_Bandwidth；第七條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Normal_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Normal_Group_Bandwidth；第八條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Temp_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Temp_Group_Bandwidth。完成定義如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。Work_Group用戶組訪問控制策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Work_Group_Policy，通過AddRule增加兩條規(guī)則。在第一條規(guī)則的Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定ClientProtocol，彈出窗口如以下列圖示：其中，選定SOCKS和AllSOCKS，并選擇OK，完成定義。再選擇New，選定ClientProtocol，在彈出窗口中選定Streaming和AllStreaming。在VPM菜單項(xiàng)選擇擇AddRule增加兩條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Work_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定AllSOCKS，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Work_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定AllStreaming，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第三條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Work_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。Management_Group用戶組訪問控制策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Management_Group_Policy。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Management_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。High_Level_Group用戶組訪問控制策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為High_Level_Group_Policy。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇High_Level_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。Normal_Group用戶組訪問控制策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Normal_Group_Policy。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Normal_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定AllStreaming，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Normal_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。Temp1_Group用戶組訪問控制策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Temp1_Group_Policy。在第一條規(guī)則的Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定ClientProtocol，彈出窗口如以下列圖示：其中，選定FTP和AllFTP，并選擇OK，完成定義。在VPM菜單項(xiàng)選擇擇AddRule增加四條規(guī)則，共五條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定AllSOCKS，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定AllStreaming，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第三條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定AllFTP，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第四條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定New，選擇URL，定義SimpleMatch中域名為passport，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第五條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。Temp0_Group用戶組訪問控制策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Temp0_Group_Policy。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp0_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。Temp2_Group用戶組訪問控制策略定義從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Temp2_Group_Policy。在VPM菜單項(xiàng)選擇擇AddRule增加二條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp2_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定AllSOCKS，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp2_Group，在Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定New，選擇URL，定義SimpleMatch中域名為passport，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第三條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp2_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。IE瀏覽器版本檢查策略從VPM的Policy菜單項(xiàng)選擇擇AddWebAccessLayer，生成Web訪問控制層，名字定義為Browser_Version_Check，通過AddRule增加一條規(guī)則，共兩條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選擇RequestHeader，彈出窗口如以下列圖示：其中，Name定義為RequestHeader_IE6，在HeaderName下拉框中選擇User-Agent，在HeaderRegex中輸入.*MSIE6.*，點(diǎn)擊OK完成定義。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇RequestHeader_IE6，在Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中點(diǎn)擊New，選擇URL，定義microsoft，在Action欄用鼠標(biāo)右鍵，選擇Allow。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇RequestHeader_IE6，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，并選擇Deny，彈出窗口如以下列圖示：選定ForceDeny，Details提示為：PleaseupgradeyourBrowsertoIE6.x，點(diǎn)擊OK完成定義，并在返回的窗口中選定Deny1，點(diǎn)擊OK，完成定義。如以下列圖示：在VPM菜單中點(diǎn)擊InstallPolicy將策略加載到ProxySG中。DNS解析策略設(shè)置ProxySG將為用戶提供DNS解析服務(wù)，將對解析請求應(yīng)答ProxySG的IP地址，配置過程如下：從VPM的Policy菜單項(xiàng)選擇擇AddDNSAccessLayer，生成DNS訪問控制層，在第一條規(guī)則的Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇New，選擇SendDNSResponse，如以下列圖示：其中