BlueCoat互联网代理安全网关功能需求文档.doc

互联网代理安全网关功能需求文档 2011年1月 目 录 一、 安装设备及安装环境 4 1.1 实施设备清单 4 1.2 实施拓朴结构图 4 二、 实施步骤 5 2.1 物理连接 5 2.2 初始IP地址配置 5 2.3 远程管理软件配置 5 2.4 网络配置 6 2.4.1 Adapter 1地址配置 6 2.4.2 静态路由配置 7 2.4.3 配置外网DNS服务器 9 2.4.4 配置虚拟IP地址 9 2.4.5 配置Fail Over 10 2.5 配置代理服务端口 12 2.6 配置本地时钟 13 2.7 配置Radius认证服务 13 2.8 内容过滤列表定义及下载 16 2.9 定义病毒扫描服务器 18 2.10 带宽管理定义 22 2.11 策略设置 23 2.11.1 配置DDOS攻击防御 23 2.11.2 设置缺省策略为DENY 23 2.11.3 配置Blue Coat Anti-Spyware策略 24 2.11.4 访问控制策略配置-VPM 25 2.11.5 病毒扫描策略配置 25 2.11.6 用户认证策略设置 27 2.11.7 带宽管理策略定义 29 2.11.8 Work_Group用户组访问控制策略定义 34 2.11.9 Management_Group用户组访问控制策略定义 36 2.11.10 High_Level_Group用户组访问控制策略定义 36 2.11.11 Normal_Group用户组访问控制策略定义 37 2.11.12 Temp_Group用户组访问控制策略定义 37 2.11.13 IE浏览器版本检查策略 39 2.11.14 DNS解析策略设置 41 安装设备及安装环境 实施设备清单 Bluecoat安全代理专用设备SG600－10一台，AV510-A一台，BCWF内容过滤，MCAFEE防病毒,企业版报表模块。 实施拓朴结构图 Bluecoat设备SG600-10－3配置于内网，AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种，网络示意结构如下图： 旁路模式： 实施步骤 物理连接 两台Bluecoat SG800－2的Adapter0_Interface 0和Adapter1_Interface0通过以太网双绞线连接于两台Radware CID交换机。 初始IP地址配置 通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为： 第一台SG800－2：(IP) 24(Mask) (Default Gateway) 第二台SG800－2：1(IP) 24(Mask) (Default Gateway) 远程管理软件配置 Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理，浏览器管理端口为8082，管理用的PC机需安装了Java运行环境。管理界面的URL为： :8082和1:8082 网络配置 在xxxxx网络环境中，(1)ProxySG800-2两个端口均需配置IP地址；(2)除缺省路由指向防火墙，还需一条静态路由，作为内网通讯的路由，(3)配置外网DNS，以便ProxySG到互联网的访问，(4) 每台另外需要一个虚拟IP地址，作为内部员工的DNS解析服务器IP地址；(5)对虚拟IP地址配置Fail Over，当一台ProxySG停止工作，其虚拟IP将切换到另外一台。 Adapter 1地址配置 从Web管理界面Management Console/Configuration/Network/Adapter进入，在Adapters下拉框中选择Adapter1，并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码，如下图示： 第一台ProxySG800-2的IP地址为：0，掩码：24 第二台ProxySG800-2的IP地址为：2，掩码：24 点击Apply使配置生效。 静态路由配置 从Web管理界面Management Console/Configuration/Network/Routing进入，在窗口上部选项中选择Routing，并在Install Routing table from下拉框中选择Text Editor，如下图示： 点击Install，并在弹出窗口中输入静态路由： 如下图示： 点击Install使配置生效。 配置外网DNS服务器 从Web管理界面Management Console/Configuration/Network/DNS进入，如下图示： 点击New增加外网