互联网代理安全网关功能需求文档2011年1月目 录一、 安装设备及安装环境41.1 实施设备清单41.2 实施拓朴结构图4二、 实施步骤52.1 物理连接52.2 初始IP地址配置52.3 远程管理软件配置52.4 网络配置62.4.1 Adapter 1地址配置62.4.2 静态路由配置72.4.3 配置外网DNS服务器92.4.4 配置虚拟IP地址92.4.5 配置Fail Over102.5 配置代理服务端口122.6 配置本地时钟132.7 配置Radius认证服务132.8 内容过滤列表定义及下载162.9 定义病毒扫描服务器182.10 带宽管理定义222.11 策略设置232.11.1 配置DDOS攻击防御232.11.2 设置缺省策略为DENY232.11.3 配置Blue Coat Anti-Spyware策略242.11.4 访问控制策略配置-VPM252.11.5 病毒扫描策略配置252.11.6 用户认证策略设置272.11.7 带宽管理策略定义292.11.8 Work_Group用户组访问控制策略定义342.11.9 Management_Group用户组访问控制策略定义362.11.10 High_Level_Group用户组访问控制策略定义362.11.11 Normal_Group用户组访问控制策略定义372.11.12 Temp_Group用户组访问控制策略定义372.11.13 IE浏览器版本检查策略392.11.14 DNS解析策略设置41一、 安装设备及安装环境1.1 实施设备清单Bluecoat安全代理专用设备SG60010一台，AV510-A一台，BCWF内容过滤，MCAFEE防病毒,企业版报表模块。1.2 实施拓朴结构图Bluecoat设备SG600-103配置于内网，AV510-A与SG600-10之间通过ICAP协议建立通信。连接方法有以下几种，网络示意结构如下图：旁路模式：二、 实施步骤2.1 物理连接两台Bluecoat SG8002的Adapter0_Interface 0和Adapter1_Interface0通过以太网双绞线连接于两台Radware CID交换机。2.2 初始IP地址配置通过设备前控制面板可以设置ProxySG800-2的Adapter0_Interface0的地址为：第一台SG8002：191.32.1.9(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)第二台SG8002：191.32.1.11(IP) 255.255.255.224(Mask) 191.32.1.1(Default Gateway)2.3 远程管理软件配置Bluecoat安全代理专用设备通过IE浏览器和SSH命令进行管理，浏览器管理端口为8082，管理用的PC机需安装了Java运行环境。管理界面的URL为：https:/191.32.1.9:8082和https:/191.32.1.11:80822.4 网络配置在xxxxx网络环境中，(1)ProxySG800-2两个端口均需配置IP地址；(2)除缺省路由指向防火墙，还需一条静态路由，作为内网通讯的路由，(3)配置外网DNS，以便ProxySG到互联网的访问，(4) 每台另外需要一个虚拟IP地址，作为内部员工的DNS解析服务器IP地址；(5)对虚拟IP地址配置Fail Over，当一台ProxySG停止工作，其虚拟IP将切换到另外一台。2.4.1 Adapter 1地址配置从Web管理界面Management Console/Configuration/Network/Adapter进入，在Adapters下拉框中选择Adapter1，并在IP address for Interface 0和 Subnet mask for Interface 0中配置IP地址和子网掩码，如下图示：第一台ProxySG800-2的IP地址为：191.32.1.10，掩码：255.255.255.224第二台ProxySG800-2的IP地址为：191.32.1.12，掩码：255.255.255.224点击Apply使配置生效。2.4.2 静态路由配置从Web管理界面Management Console/Configuration/Network/Routing进入，在窗口上部选项中选择Routing，并在Install Routing table from下拉框中选择Text Editor，如下图示：点击Install，并在弹出窗口中输入静态路由：191.0.0.0 255.0.0.0 191.32.1.5 如下图示：点击Install使配置生效。2.4.3 配置外网DNS服务器从Web管理界面Management Console/Configuration/Network/DNS进入，如下图示：点击New增加外网DNS服务器IP地址，并点击Apply使配置生效。2.4.4 配置虚拟IP地址从Web管理界面Management Console/Configuration/Network/Advanced进入，在窗口上部选项中选择VIPs，如下图示：点击New配置虚拟IP地址，并点击Apply使配置生效。第一台ProxySG800-2的虚拟IP地址为：191.32.1.13第二台ProxySG800-2的虚拟IP地址为：191.32.1.142.4.5 配置Fail Over从Web管理界面Management Console/Configuration/Network/Advanced进入，在窗口上部选项中选择Failover，如下图示：点击New配置Failover组，如下图示：在弹出窗口中，选择Existing IP，并在下拉框中选择已定义的虚拟IP地址：191.32.1.13（第一台ProxySG800），191.32.1.14（第二台ProxySG800），在Group Setting中，选择Enable，并在Relative Priority中选中Master，点击OK完成配置。并点击Apply使配置生效。点击New配置另一个Failover组，如下图示：在弹出窗口中，选择New IP，指定虚拟IP地址：191.32.1.14（第一台ProxySG800），191.32.1.13（第二台ProxySG800），在Group Setting中，选择Enable，点击OK完成配置。并点击Apply使配置生效。2.5 配置代理服务端口在xxxxx网络中ProxySG将提供HTTP（80端口）、SOCKS（1080端口）、DNS(53端口)的代理服务，其它通讯如：MSN、流媒体等均通过HTTP或SOCKS代理实现。从Web管理界面Management Console/Configuration/Services/Service Ports进入，如下图示：其中，SSH-Console（22）、Telnet-Console（23）、HTTP-Console（8081）是为系统管理提供服务的端口，可以根据网络管理要求选择是否开放；DNS-Proxy（53）、HTTP（80）和SOCKS（1080）必须Enable（Yes），并且包括Explicit属性，HTTP（80）需要包括Transparent属性。并点击Apply使配置生效。2.6 配置本地时钟从Web管理界面Management Console/Configuration/General/Clock进入，如下图示：选择本地时钟定义为8区，并点击Apply使配置生效。2.7 配置Radius认证服务互联网访问用户将采用Radius进行用户认证，用户分组通过Radius的属性进行定义，分组与属性对应关系如下：工作组Login(1)管理组Framed(2)高级组Call Back login(3)普通组Call Back Framed(4)临时组Outbound(5)从Web管理界面Management Console/Configuration/Authentication/RADIUS进入，如下图示：点击New生成RADIUS配置，在弹出窗口中定义Radius服务器地址，如下图示：其中，Real Name定义为RADIUS，Primary server host中定义RADIUS服务器IP地址：191.32.1.22（暂定），Port为1812，Secret为RADIUS中定义的通讯密码；点击OK完成定义。并点击Apply使配置生效。注：Port和Secret的定义必须与RADIUS服务器中定义保持一致。如需定义备份的RADIUS服务器，在上部选项中选择RADIUS Servers，如下图示：在Alternate Server定义中，定义备用的RADIUS服务器IP地址，及通讯密码。从Web管理界面Management Console/Configuration/Authentication/Transparent Proxy进入，如下图示：其中，Method选定IP，在IP TTL中定义240分钟（4个小时），用户认证一次将保持4小时；并点击Apply使配置生效。2.8 内容过滤列表定义及下载在ProxySG中加载Blue Coat分类列表作为互联网访问控制及Anti-Spyware策略的基础。从Web管理界面Management Console/Configuration/Content Filtering/Bluecoat进入，如下图示：输入用户名/密码，选择Force Full Update，并点击Apply使配置生效，然后点击Download Now开始下载分类列表库。分类列表下载结束后（第一次下载超过80Mbypes数据，所需时间与网络和带宽有关），定义自动下载更新，在上部选项中选择Automatic Download，如下图示：其中：选择每天UTC时间下午4:00（本地时间晚上12:00）自动下载更新，并点击Apply使配置生效。启动动态分类模式，在上部菜单选择Dynamic Categorization，如下图示：选择Enable Dynamic Categorization和Categorize dynamically in the background，并点击Apply使配置生效。选定使Blue Coat分类列表生效，从Web管理界面Management Console/Configuration/Content Filtering/General进入，如下图示：选定Use Blue Coat Web Filter，并点击Apply使配置生效。2.9 定义病毒扫描服务器对所有通过ProxySG的HTTP、FTP通讯进行病毒扫描，病毒扫描服务器采用McAfee，ProxySG通过ICAP协议实现与McAfee病毒扫描服务器通讯。从Web管理界面Manag