1、BlueCoat代理服務(wù)器配置指南2011年1月目 錄TOC o 1-3 h z HYPERLINK l _Toc129063755 一、 安裝設(shè)備及安裝環(huán)境 PAGEREF _Toc129063755 h 4 HYPERLINK l _Toc129063756 1.1 實(shí)施設(shè)備清單 PAGEREF _Toc129063756 h 4 HYPERLINK l _Toc129063757 1.2 實(shí)施拓樸結(jié)構(gòu)圖 PAGEREF _Toc129063757 h 4 HYPERLINK l _Toc129063758 二、 實(shí)施步驟 PAGEREF _Toc129063758 h 5 HYPERLI

2、NK l _Toc129063759 2.1 物理連接 PAGEREF _Toc129063759 h 5 HYPERLINK l _Toc129063760 2.2 初始IP地址配置 PAGEREF _Toc129063760 h 5 HYPERLINK l _Toc129063761 2.3 遠(yuǎn)程管理軟件配置 PAGEREF _Toc129063761 h 5 HYPERLINK l _Toc129063762 2.4 網(wǎng)絡(luò)配置 PAGEREF _Toc129063762 h 6 HYPERLINK l _Toc129063763 2.4.1 Adapter 1地址配置 PAGEREF _

3、Toc129063763 h 6 HYPERLINK l _Toc129063764 2.4.2 靜態(tài)路由配置 PAGEREF _Toc129063764 h 7 HYPERLINK l _Toc129063765 2.4.3 配置外網(wǎng)DNS服務(wù)器 PAGEREF _Toc129063765 h 9 HYPERLINK l _Toc129063766 2.4.4 配置虛擬IP地址 PAGEREF _Toc129063766 h 9 HYPERLINK l _Toc129063767 2.4.5 配置Fail Over PAGEREF _Toc129063767 h 10 HYPERLINK l

4、 _Toc129063768 2.5 配置代理服務(wù)端口 PAGEREF _Toc129063768 h 12 HYPERLINK l _Toc129063769 2.6 配置本地時(shí)鐘 PAGEREF _Toc129063769 h 13 HYPERLINK l _Toc129063770 2.7 配置Radius認(rèn)證服務(wù) PAGEREF _Toc129063770 h 13 HYPERLINK l _Toc129063771 2.8 內(nèi)容過濾列表定義及下載 PAGEREF _Toc129063771 h 16 HYPERLINK l _Toc129063772 2.9 定義病毒掃描服務(wù)器 PA

5、GEREF _Toc129063772 h 18 HYPERLINK l _Toc129063773 2.10 帶寬管理定義 PAGEREF _Toc129063773 h 22 HYPERLINK l _Toc129063774 2.11 策略設(shè)置 PAGEREF _Toc129063774 h 23 HYPERLINK l _Toc129063775 2.11.1 配置DDOS攻擊防御 PAGEREF _Toc129063775 h 23 HYPERLINK l _Toc129063776 2.11.2 設(shè)置缺省策略為DENY PAGEREF _Toc129063776 h 23 HYPE

6、RLINK l _Toc129063777 2.11.3 配置Blue Coat Anti-Spyware策略 PAGEREF _Toc129063777 h 24 HYPERLINK l _Toc129063778 2.11.4 訪問控制策略配置-VPM PAGEREF _Toc129063778 h 25 HYPERLINK l _Toc129063779 2.11.5 病毒掃描策略配置 PAGEREF _Toc129063779 h 25 HYPERLINK l _Toc129063780 2.11.6 用戶認(rèn)證策略設(shè)置 PAGEREF _Toc129063780 h 27 HYPERL

7、INK l _Toc129063781 2.11.7 帶寬管理策略定義 PAGEREF _Toc129063781 h 29 HYPERLINK l _Toc129063782 2.11.8 Work_Group用戶組訪問控制策略定義 PAGEREF _Toc129063782 h 34 HYPERLINK l _Toc129063783 2.11.9 Management_Group用戶組訪問控制策略定義 PAGEREF _Toc129063783 h 36 HYPERLINK l _Toc129063784 2.11.10 High_Level_Group用戶組訪問控制策略定義 PAGER

8、EF _Toc129063784 h 36 HYPERLINK l _Toc129063785 2.11.11 Normal_Group用戶組訪問控制策略定義 PAGEREF _Toc129063785 h 37 HYPERLINK l _Toc129063786 2.11.12 Temp_Group用戶組訪問控制策略定義 PAGEREF _Toc129063786 h 37 HYPERLINK l _Toc129063787 2.11.13 IE瀏覽器版本檢查策略 PAGEREF _Toc129063787 h 39 HYPERLINK l _Toc129063788 2.11.14 DNS

9、解析策略設(shè)置 PAGEREF _Toc129063788 h 41安裝設(shè)備及安裝環(huán)境實(shí)施設(shè)備清單Bluecoat安全代理專用設(shè)備SG60010一臺，AV510-A一臺，BCWF內(nèi)容過濾，MCAFEE防病毒,企業(yè)版報(bào)表模塊。實(shí)施拓樸結(jié)構(gòu)圖Bluecoat設(shè)備SG600-103配置于內(nèi)網(wǎng)，AV510-A與SG600-10之間通過ICAP協(xié)議建立通信。連接方法有以下幾種，網(wǎng)絡(luò)示意結(jié)構(gòu)如下圖：旁路模式：實(shí)施步驟物理連接兩臺Bluecoat SG8002的Adapter0_Interface 0和Adapter1_Interface0通過以太網(wǎng)雙絞線連接于兩臺Radware CID交換機(jī)。初始IP地址配

10、置通過設(shè)備前控制面板可以設(shè)置ProxySG800-2的Adapter0_Interface0的地址為：第一臺SG8002：(IP) 24(Mask) (Default Gateway)第二臺SG8002：1(IP) 24(Mask) (Default Gateway)遠(yuǎn)程管理軟件配置Bluecoat安全代理專用設(shè)備通過IE瀏覽器和SSH命令進(jìn)行管理，瀏覽器管理端口為8082，管理用的PC機(jī)需安裝了Java運(yùn)行環(huán)境。管理界面的URL為： HYPERLINK :8082和1:8082 :8082和1:8082網(wǎng)絡(luò)配置在xxxxx網(wǎng)絡(luò)環(huán)境中，(1)ProxySG800-2兩個(gè)端口均需配置IP地址；(

11、2)除缺省路由指向防火墻，還需一條靜態(tài)路由，作為內(nèi)網(wǎng)通訊的路由，(3)配置外網(wǎng)DNS，以便ProxySG到互聯(lián)網(wǎng)的訪問，(4) 每臺另外需要一個(gè)虛擬IP地址，作為內(nèi)部員工的DNS解析服務(wù)器IP地址；(5)對虛擬IP地址配置Fail Over，當(dāng)一臺ProxySG停止工作，其虛擬IP將切換到另外一臺。Adapter 1地址配置從Web管理界面Management Console/Configuration/Network/Adapter進(jìn)入，在Adapters下拉框中選擇Adapter1，并在IP address for Interface 0和 Subnet mask for Interfac

12、e 0中配置IP地址和子網(wǎng)掩碼，如下圖示：第一臺ProxySG800-2的IP地址為：0，掩碼：24第二臺ProxySG800-2的IP地址為：2，掩碼：24點(diǎn)擊Apply使配置生效。靜態(tài)路由配置從Web管理界面Management Console/Configuration/Network/Routing進(jìn)入，在窗口上部選項(xiàng)中選擇Routing，并在Install Routing table from下拉框中選擇Text Editor，如下圖示：點(diǎn)擊Install，并在彈出窗口中輸入靜態(tài)路由： 如下圖示：點(diǎn)擊Install使配置生效。配置外網(wǎng)DNS服務(wù)器從Web管理界面Management

13、Console/Configuration/Network/DNS進(jìn)入，如下圖示：點(diǎn)擊New增加外網(wǎng)DNS服務(wù)器IP地址，并點(diǎn)擊Apply使配置生效。配置虛擬IP地址從Web管理界面Management Console/Configuration/Network/Advanced進(jìn)入，在窗口上部選項(xiàng)中選擇VIPs，如下圖示：點(diǎn)擊New配置虛擬IP地址，并點(diǎn)擊Apply使配置生效。第一臺ProxySG800-2的虛擬IP地址為：3第二臺ProxySG800-2的虛擬IP地址為：4配置Fail Over從Web管理界面Management Console/Configuration/Network

14、/Advanced進(jìn)入，在窗口上部選項(xiàng)中選擇Failover，如下圖示：點(diǎn)擊New配置Failover組，如下圖示：在彈出窗口中，選擇Existing IP，并在下拉框中選擇已定義的虛擬IP地址：3（第一臺ProxySG800），4（第二臺ProxySG800），在Group Setting中，選擇Enable，并在Relative Priority中選中Master，點(diǎn)擊OK完成配置。并點(diǎn)擊Apply使配置生效。點(diǎn)擊New配置另一個(gè)Failover組，如下圖示：在彈出窗口中，選擇New IP，指定虛擬IP地址：4（第一臺ProxySG800），3（第二臺ProxySG800），在Group

15、Setting中，選擇Enable，點(diǎn)擊OK完成配置。并點(diǎn)擊Apply使配置生效。配置代理服務(wù)端口在xxxxx網(wǎng)絡(luò)中ProxySG將提供HTTP（80端口）、SOCKS（1080端口）、DNS(53端口)的代理服務(wù)，其它通訊如：MSN、流媒體等均通過HTTP或SOCKS代理實(shí)現(xiàn)。從Web管理界面Management Console/Configuration/Services/Service Ports進(jìn)入，如下圖示：其中，SSH-Console（22）、Telnet-Console（23）、HTTP-Console（8081）是為系統(tǒng)管理提供服務(wù)的端口，可以根據(jù)網(wǎng)絡(luò)管理要求選擇是否開放；DN

16、S-Proxy（53）、HTTP（80）和SOCKS（1080）必須Enable（Yes），并且包括Explicit屬性，HTTP（80）需要包括Transparent屬性。并點(diǎn)擊Apply使配置生效。配置本地時(shí)鐘從Web管理界面Management Console/Configuration/General/Clock進(jìn)入，如下圖示：選擇本地時(shí)鐘定義為8區(qū)，并點(diǎn)擊Apply使配置生效。配置Radius認(rèn)證服務(wù)互聯(lián)網(wǎng)訪問用戶將采用Radius進(jìn)行用戶認(rèn)證，用戶分組通過Radius的屬性進(jìn)行定義，分組與屬性對應(yīng)關(guān)系如下：工作組Login(1)管理組Framed(2)高級組Call Back lo

17、gin(3)普通組Call Back Framed(4)臨時(shí)組Outbound(5)從Web管理界面Management Console/Configuration/Authentication/RADIUS進(jìn)入，如下圖示：點(diǎn)擊New生成RADIUS配置，在彈出窗口中定義Radius服務(wù)器地址，如下圖示：其中，Real Name定義為RADIUS，Primary server host中定義RADIUS服務(wù)器IP地址：2（暫定），Port為1812，Secret為RADIUS中定義的通訊密碼；點(diǎn)擊OK完成定義。并點(diǎn)擊Apply使配置生效。注：Port和Secret的定義必須與RADIUS服務(wù)器

18、中定義保持一致。如需定義備份的RADIUS服務(wù)器，在上部選項(xiàng)中選擇RADIUS Servers，如下圖示：在Alternate Server定義中，定義備用的RADIUS服務(wù)器IP地址，及通訊密碼。從Web管理界面Management Console/Configuration/Authentication/Transparent Proxy進(jìn)入，如下圖示：其中，Method選定IP，在IP TTL中定義240分鐘（4個(gè)小時(shí)），用戶認(rèn)證一次將保持4小時(shí)；并點(diǎn)擊Apply使配置生效。內(nèi)容過濾列表定義及下載在ProxySG中加載Blue Coat分類列表作為互聯(lián)網(wǎng)訪問控制及Anti-Spyware

19、策略的基礎(chǔ)。從Web管理界面Management Console/Configuration/Content Filtering/Bluecoat進(jìn)入，如下圖示：輸入用戶名/密碼，選擇Force Full Update，并點(diǎn)擊Apply使配置生效，然后點(diǎn)擊Download Now開始下載分類列表庫。分類列表下載結(jié)束后（第一次下載超過80Mbypes數(shù)據(jù)，所需時(shí)間與網(wǎng)絡(luò)和帶寬有關(guān)），定義自動下載更新，在上部選項(xiàng)中選擇Automatic Download，如下圖示：其中：選擇每天UTC時(shí)間下午4:00（本地時(shí)間晚上12:00）自動下載更新，并點(diǎn)擊Apply使配置生效。啟動動態(tài)分類模式，在上部菜單選

20、擇Dynamic Categorization，如下圖示：選擇Enable Dynamic Categorization和Categorize dynamically in the background，并點(diǎn)擊Apply使配置生效。選定使Blue Coat分類列表生效，從Web管理界面Management Console/Configuration/Content Filtering/General進(jìn)入，如下圖示：選定Use Blue Coat Web Filter，并點(diǎn)擊Apply使配置生效。定義病毒掃描服務(wù)器對所有通過ProxySG的HTTP、FTP通訊進(jìn)行病毒掃描，病毒掃描服務(wù)器采用Mc

21、Afee，ProxySG通過ICAP協(xié)議實(shí)現(xiàn)與McAfee病毒掃描服務(wù)器通訊。從Web管理界面Management Console/Configuration/External Services/ICAP進(jìn)入，點(diǎn)擊New生成ICAP服務(wù)配置，如下圖示：Service名為McAfee_1和McAfee_2，選擇服務(wù)名McAfee_1，并點(diǎn)擊Edit，進(jìn)入服務(wù)配置窗口，如下圖示：在Service URL中，定義icap:/5，并點(diǎn)擊Sense settings從McAfee獲取病毒掃描參數(shù)配置，點(diǎn)擊Register定義進(jìn)行健康檢查，點(diǎn)擊OK完成定義，并點(diǎn)擊Apply使配置生效。選擇服務(wù)名McAfe

22、e_2，并點(diǎn)擊Edit，重復(fù)以上過程，并在Service URL中定義icap:/6。從Web管理界面Management Console/Configuration/External Services/Serice-Group進(jìn)入，將兩臺McAfee服務(wù)器定義為一個(gè)Group，點(diǎn)擊New生成Service Group配置如下圖示：Service Group名定義為McAfee_Group，點(diǎn)擊Edit進(jìn)行服務(wù)器組定義，如下圖示：通過點(diǎn)擊New將McAfee_1和McAfee_2加入McAfee_Group中，點(diǎn)擊Edit可以改變Group成員的權(quán)重，選擇OK完成配置，并點(diǎn)擊Apply使配置生

23、效。帶寬管理定義根據(jù)帶寬管理策略要求，定義七個(gè)帶寬類，其中Work_Group_Bandwidth、Management_Group_Bandwidth、High_Level_Group_Bandwidth、Normal_Group_Bandwidth、Temp_Group_Bandwidth分別對應(yīng)工作組、管理組、高級組、普通組、臨時(shí)組的帶寬管理要求，Limit_App_Bandwidth對應(yīng)高帶寬消耗應(yīng)用的帶寬管理策略，Key_App_Bandwidth對應(yīng)關(guān)鍵應(yīng)用網(wǎng)站的帶寬管理策略。從Web管理界面Management Console/Configuration/Bandwidth Mg

24、mt./BWM Classes進(jìn)入，點(diǎn)擊New定義帶寬類，如下圖示：其中，需選中Enable Bandwidth Management，定義帶寬類，并點(diǎn)擊Apply使配置生效。策略設(shè)置配置DDOS攻擊防御通過Telnet、SSH或Console進(jìn)入ProxySG的命令行管理界面，進(jìn)入enable狀態(tài)，通過命令conf t進(jìn)入配置狀態(tài)，通過以下命令啟動DDOS防御：attack-detectionclientenable-limits設(shè)置缺省策略為DENY從Web管理界面Management Console/configuration/Policy/Policy Options進(jìn)入缺省策略設(shè)置，

25、如下圖示：其中，選擇DENY，并點(diǎn)擊Apply使配置生效。配置Blue Coat Anti-Spyware策略從Web管理界面Management Console/configuration/Policy/Policy Files進(jìn)入缺省策略設(shè)置，如下圖示：在Install Local File From的下拉框中選擇Local File，點(diǎn)擊Install，如下圖示：在彈出的窗口中，點(diǎn)擊瀏覽，并選定Blue Coat發(fā)布的Anti-Spyware策略，選擇Install將策略加載到ProxySG中。訪問控制策略配置-VPM訪問控制策略通過Blue Coat圖視化界面VPM進(jìn)行配置，從Web管

26、理界面Management Console/configuration/Policy/ Visual Policy Manager進(jìn)入，并點(diǎn)擊Launch，即可啟動VPM界面，如下圖示：病毒掃描策略配置定義對所有通過ProxySG的流量進(jìn)行病毒掃描，使用病毒掃描服務(wù)器組McAfee_Group。從VPM的Policy菜單選擇Add Web Content Layer，生成Web內(nèi)容控制策略層，名字定義為Web AV，并在第一條規(guī)則中，Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定Set ICAP Response Service，彈出窗口如下圖示：在Use ICAP re

27、sponse service的下拉框中選擇McAfee_Group，并選定Continure without further ICAP response，點(diǎn)擊OK，退到上一層，在窗口中選擇ICAPResponseService1，并點(diǎn)擊OK，完成規(guī)則設(shè)置；如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。用戶認(rèn)證策略設(shè)置從VPM的Policy菜單選擇Add Web Authentication Layer，生成Web訪問用戶認(rèn)證層，名字定義為Web_Radius_Auth，并在第一條規(guī)則中，Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定

28、Authenticate，彈出窗口如下圖示：在彈出的窗口中，Realm欄選定radius(RADIUS)，Mode中選定Proxy IP，點(diǎn)擊OK，退到上一層，在窗口中選擇Authenticate1，并點(diǎn)擊OK，完成規(guī)則設(shè)置；如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。從VPM的Policy菜單選擇Add SOCKS Authentication Layer，生成SOCKS訪問用戶認(rèn)證層，名字定義為SOCKS_Radius_Auth，并在第一條規(guī)則中，Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定SOCKS Authenticat

29、e，彈出窗口如下圖示：其中，Realm中選定radius(RADIUS)，點(diǎn)擊OK，退到上一層，在窗口中選擇SOCKSAuthenticate1，并點(diǎn)擊OK，完成規(guī)則設(shè)置；如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。帶寬管理策略定義從VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Bandwidth_Management，并在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定Attribute，彈出窗口如下圖示：其中，定義Name為Work_Group，Authent

30、ication Realm選定RADIUS(RADIUS)，RADIUS Attribute選定Login(1)，選擇OK，完成屬性定義。重復(fù)以上過程分別定義Name為Management_Group、High_Level_Group、Normal_Group、Temp1_Group，Temp0_Group，Temp2_Group分別對應(yīng)RADIUS Attribute為Framed(2)、Call Back login(3)、Call Back Framed(4)、Outbound(5)、NAS Prompt(7)、Administrative(6)。在第一條規(guī)則的Services欄用鼠標(biāo)右

31、鍵，選擇Set，在彈出的窗口中選擇New，選定Client Protocol，彈出窗口如下圖示：其中，選定P2P和All P2P，并選擇OK，完成定義。在第一條規(guī)則的Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定URL，彈出窗口如下圖示：在Simple Match中指定關(guān)鍵業(yè)務(wù)的域名，選擇Add增加定義，選擇Close結(jié)束定義。在第一條規(guī)則的Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定Manage Bandwidth，彈出窗口如下圖示：其中，Name定義為Key_App_Bandwidth，Limit Bandwidth on中選定Ser

32、ver Side和Inbound，在Bandwidth Class中選定Key_App_Bandwidth，選擇OK完成定義；重復(fù)以上過程，定義名Name為Limit_App_Bandwidth_in，屬性為Server Side Inbound，Bandwidth Class為Limit_App_Bandwidth；定義名Name為Limit_App_Bandwidth_out，屬性為Server Side Outbound，Bandwidth Class為Limit_App_Bandwidth；定義名Name為Work_Group_Bandwidth，屬性為Server Side Inbo

33、und，Bandwidth Class為Work_Group_Bandwidth；定義名Name為Management_Group_Bandwidth，屬性為Server Side Inbound，Bandwidth Class為Management_Group_Bandwidth；定義名Name為High_Level_Group_Bandwidth，屬性為Server Side Inbound，Bandwidth Class為High_Level_Group_Bandwidth；定義名Name為Normal_Group_Bandwidth，屬性為Server Side Inbound，Ban

34、dwidth Class為Normal_Group_Bandwidth；定義名Name為Temp_Group_Bandwidth，屬性為Server Side Inbound，Bandwidth Class為Temp_Group_Bandwidth。在VPM界面點(diǎn)擊Add Rule增加七條規(guī)則，總共八條規(guī)則，第一條規(guī)則定義：在Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇以上定義的關(guān)鍵業(yè)務(wù)URL，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Key_App_Bandwidth；第二條規(guī)則定義：在Service欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇All P2P，

35、在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Limit_App_Bandwidth_in；第三條規(guī)則定義：在Service欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇All P2P，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Limit_App_Bandwidth_out；第四條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Work_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Work_Group_Bandwidth；第五條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Management_Group，在Ac

36、tion欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Management_Group_Bandwidth；第六條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇High_Level_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇High_Level_Group_Bandwidth；第七條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Normal_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Normal_Group_Bandwidth；第八條規(guī)則定義：在Source欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Temp

37、_Group，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出窗口中選擇Temp_Group_Bandwidth。完成定義如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。Work_Group用戶組訪問控制策略定義從VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Work_Group_Policy，通過Add Rule增加兩條規(guī)則。在第一條規(guī)則的Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定Client Protocol，彈出窗口如下圖示：其中，選定SOCKS和All SOCKS，

38、并選擇OK，完成定義。再選擇New，選定Client Protocol，在彈出窗口中選定Streaming和All Streaming。在VPM菜單選擇Add Rule增加兩條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Work_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定All SOCKS，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Work_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定All Streaming，在A

39、ction欄用鼠標(biāo)右鍵，選擇Deny。在第三條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Work_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。Management_Group用戶組訪問控制策略定義從VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Management_Group_Policy。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Management_Group，在Actio

40、n欄用鼠標(biāo)右鍵，選擇Allow。在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。High_Level_Group用戶組訪問控制策略定義從VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為High_Level_Group_Policy。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇High_Level_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。Normal_Group用戶組訪問控制策略定義從VPM的Po

41、licy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Normal_Group_Policy。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Normal_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定All Streaming，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Normal_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。Temp1_Group

42、用戶組訪問控制策略定義從VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Temp1_Group_Policy。在第一條規(guī)則的Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選定Client Protocol，彈出窗口如下圖示：其中，選定FTP和All FTP，并選擇OK，完成定義。在VPM菜單選擇Add Rule增加四條規(guī)則，共五條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定All SOCKS，在Act

43、ion欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定All Streaming，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第三條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定All FTP，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第四條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Destination欄

44、用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定New，選擇URL，定義Simple Match中域名為，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第五條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp1_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。Temp0_Group用戶組訪問控制策略定義從VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Temp0_Group_Policy。在第一條規(guī)則中，Source欄用

45、鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp0_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。Temp2_Group用戶組訪問控制策略定義從VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Temp2_Group_Policy。在VPM菜單選擇Add Rule增加二條規(guī)則，共三條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp2_Group，在Services欄用鼠標(biāo)右鍵，選擇Set，在彈出的

46、窗口中選定All SOCKS，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp2_Group，在Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選定New，選擇URL，定義Simple Match中域名為，在Action欄用鼠標(biāo)右鍵，選擇Deny。在第三條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇Temp2_Group，在Action欄用鼠標(biāo)右鍵，選擇Allow。完成規(guī)則定義，如下圖示：在VPM菜單中點(diǎn)擊Install Policy將策略加載到ProxySG中。IE瀏覽器版本檢查策略從

47、VPM的Policy菜單選擇Add Web Access Layer，生成Web訪問控制層，名字定義為Browser_Version_Check，通過Add Rule增加一條規(guī)則，共兩條規(guī)則。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，選擇Request Header，彈出窗口如下圖示：其中，Name定義為RequestHeader_IE6，在Header Name下拉框中選擇User-Agent，在Header Regex中輸入.*MSIE6.*，點(diǎn)擊OK完成定義。在第一條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇RequestHeader_IE6，在Destination欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中點(diǎn)擊New，選擇URL，定義，在Action欄用鼠標(biāo)右鍵，選擇Allow。在第二條規(guī)則中，Source欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇RequestHeader_IE6，在Action欄用鼠標(biāo)右鍵，選擇Set，在彈出的窗口中選擇New，并選擇Deny，彈出窗口如下圖示：選定Force Deny，Details提示為：Please upgrade your Browser to I