BlueCoat代理服务器配置指南

BluecatDNSUserGuideV1.0.1 Bluecat DNS User GuideBluecat DNS⽤户配置⼿册Document No: Bluecat-20140620VERSION: 1.0Modify Date: 2014/06/202014-8-12 Bluecat机密，未经许可不得扩散第1页, 共70页⽬录⽬录 (2)1 DNS简介 (5)1.1DNS概述 (5)1.2DNS组⽹ (6)1.2.1 主辅DNS组⽹（Master & Slave） (6)1.2.2 Cache DNS组⽹ (8)1.2.3 DNS Anycast⽅式组⽹ (9)1.2.4 DNS XHA组⽹ (10)1.3Bluecat版本信息 (12)2 硬件安装 (13)2.1认识硬件 (13)2.1.1 Adonis系列前⾯板 (13)2.1.2 Adonis系列后⾯板 (13)2.1.3 Proteus系列前⾯板 (13)2.1.4 Proteus系列后⾯板 (14)接⼝说明 (14)2.22.3BlueCat DDI解决⽅案简介 (15)2.3.1 DDI架构 (15)2.3.2 Proteus 对象结构说明 (15)2.3.3 防⽕墙端⼝设定： (17)3 CLI基础配置 (18)2014-8-12 Bluecat机密，未经许可不得扩散第2页, 共70页CLI概述 (18)3.13.2IP/Network配置 (19)3.3时间配置 (20)3.4设备名称配置 (21)Adonis no-proteus-control设置 (21)3.53.6Proteus管理平台的HTTPS/HTTP配置 (22)3.7开启独⽴⽹管接⼝Eth2 (23)开启Querylog功能 (24)3.83.9其它常⽤CLI配置 (25)4 Proteus常规配置 (28)4.1Proteus 配置过程概述 (28)WEB登录Proteus GUI管理配置接⼝ (28)4.24.3创建配置⽂件 (29)4.4添加Adonis Server (31)4.5开启SNMP监控功能 (32)4.6添加DNS View、Zone、资源记录（RR） (35)4.7创建其他常⽤资源记录 (38)4.8更新资源记录以及快速部署（Quick Deploy） (40)4.9指定DNS Deployment Roles (42)添加DNS Deployment Option (43)4.104.11DNS配置部署 (44)4.12DNS 反向解析 (45)5 DNS组⽹配置 (48)5.1组⽹前的配置 (48)5.2主辅DNS组⽹（Master & Slave）配置 (48)5.3Cache DNS组⽹ (49)5.4DNS Anycast⽅式组⽹ (50)5.4.1 前期配置 (50)2014-8-12 Bluecat机密，未经许可不得扩散第3页, 共70页5.4.2 Adonis Anycast配置 (50)5.4.3 路由器Anycast配置 (52)5.5DNS XHA组⽹ (53)6 Proteus系统⽇常管理 (56)6.1My IPAM (56)Adonis Server运⾏情况 (57)6.26.3⽇志查看 (58)6.3.1 ⽤户会话⽇志 (58)6.3.2 管理操作⽇志 (59)6.3.3 查看DNS query历史记录 (60)6.4配置恢复（Data Restore） (60)6.5数据库管理 (61)6.5.1 数据库备份与恢复 (61)6.5.2 历史信息归档 (63)6.5.3 数据库重排序（Re-Index） (64)7 附件1：DNS Deployment Options (65)2014-8-12 Bluecat机密，未经许可不得扩散第4页, 共70页2014-8-12Bluecat 机密，未经许可不得扩散第5页, 共70页1DNS 简介DNS 概述1.1 DNS 是域名系统 (Domain Name System) 的缩写，它是由解析器和域名服务器组成的。

Blue Coat 产品配置及使用入门北京东华合创数码科技股份有限公司李东2007年12月目录一、ＳＧ初始化配置 (3)1.1使用console线登录ＳＧ (3)1.2配置SG端口属性 (4)1.3console 管理SG (6)二、SG注册 .....................................................错误！未定义书签。

2.1登录webpower ..........................................................错误！未定义书签。

2.2产品注册向导............................................................错误！未定义书签。

2.3通过web浏览器导入license ...................................错误！未定义书签。

三、使用WEB 浏览器管理SG (8)3.1Web browser 登录SG (8)3.2认识SG Configuration (10)3.3认识SG Maintenance (13)3.4认识SG Statistics (13)四、SG REPORTER 使用入门 (15)4.1SG 的配置 (15)4.2认识Reporter (19)4.3使用Reporter (20)4.3.1Access-log来源于本地/远地（FTP）硬盘配置 (20)4.3.2进入创建的模板 (23)4.4配置和SG进行实时Access-log通信 (24)4.4.1点击Create New Data Profile ，创建新的模板： (24)4.4.2进入创建的模板 (26)五、SGCLIENT使用入门 ..................................错误！未定义书签。

5.1配置SG ......................................................................错误！未定义书签。

正向代理Bluecoat配置最佳实践For SGOS V4.X第七版Bluecoat公司2009年4 月本文档的目的是通过正确的配置及测试步骤，使Blue Coat SG在正向代理测试中达到最佳的效果。

其中包括企业用显式代理和运营商带宽增益类透明代理的测试中达到最佳效果。

建议凡是碰到以运营商带宽节省为目的的测试，严格按照本文档描述的步骤。

文档修订历史目录一、SG配置关于WEB-CACHE基本配置 (5)1.1关于部署方式 (5)1.2关于操作系统版本 (5)1.3基本配置步骤 (5)二、如何调整SG性能和增益效果 (11)2.1在大流量情况下并发处理的优化 (11)2.2避免带宽负增益的最佳测试步骤 (14)2.3执行Cache充满 (14)2.4视频强制缓存 (15)2.5强制缓存没有缓存标记的流量 (17)2.6强制缓存微软的升级包 (17)2.7禁止所有包含Range: bytes header的请求（可选） (18)2.8关于Blue Coat带宽增益统计数据 (18)2.9DNS配置 (18)2.10强制缓存下载网站 (23)2.11消除Trust Destination IP对缓存影响 (25)2.12消除缓存内容过期 (26)三、查看增益效果 (26)四、如何分析流量进而优化 (29)4.1通过日志分析 (29)4.2通过Policy Trace分析 (31)4.2.1增加额外的策略+Trace (31)4.2.2打开策略Trace页面进行分析 (32)4.3检查DNS Worker (32)五、SG透明缓存环境QQ的运行 (34)六、SG和游戏及特定应用的兼容性问题的解决 (37)6.1透明代理下保证游戏能够通过SG访问 (37)6.1.1Reflect-Client-IP保证游戏服务器的认证和记录不出问题 (37)6.1.2保证联众游戏访问可以通过 (39)6.1.3设置MTU保证游戏访问通过 (39)6.2显式代理下保证MSN能够通过SG访问 (39)七、SG压力过载的保护策略 (40)7.1SG流量过载保护策略 (40)7.2CPU突发过载的保护策略 (43)八、C/S软件通过SG代理 (45)8.1Default policy Allow 和CPL中的Allow的区别 (45)8.2保证典型的C/S应用通过代理服务器能够访问 (48)8.3不支持代理的C/S软件通过SG上网的方式 (51)8.4设定放宽HTTP协议的容忍度 (52)九、飞信通过SG代理用户认证的配置 (52)一、SG配置关于Web-Cache基本配置1.1 关于部署方式Bluecoat 的SG-Web-Cache可以通过如下方式部署在网络当中：1．网桥部署方式2．通过WCCP部署方式3．通过L4的设备部署1.2 关于操作系统版本Bluecoat V4最新推荐版本是SG V4.2.8.6或4.2.9.11.3 基本配置步骤设备的基本配置步骤如下：1. STEP-1（测试前最好配置恢复为出厂配置，避免未知的问题）通过Console进入SG后—enable 进入—恢复出厂配置命令restore-defaults factory-defaults或reinitialize—初始配置设备的基本参数（IP,GW,DNS等）2. STEP-2通过HTTPS://SG-IP:8082进入SG的图形界面，进入maintenance->license->View，确认系统的License是否有效如果Licesne过期需要安装Licesne文件3. STEP-3确认设备的时钟（系统时间），由于是Cache设备，系统对时间的要求很高，需要尽可能调准系统时间，并设置适合的Local Time Zone，也可以通过NTP协议和NTP服务器自动同步。

Proxy Edition SG 硬件平台指标参数Model CPU RAM HDD Included OptionCards SWGBWWAN BW ConcurrentConnectionsMax SimultaneousIPsProxy SG210-5Single512M80GB (IDE)2xPT2512K1050 Proxy SG210-10Single1GB250GB IDE SSL, 2xPT6250150 Proxy SG210-25Single1GB250GB IDE SSL, 2xPT62Unlimited UnlimitedProxy SG510-5Single1GB2x80GB SATA none20250200 Proxy SG510-10Single2GB2x350GB SATA SSL, 2xPT3412100500 Proxy SG510-20Single2GB2x350GB SATA SSL, 2xPT34123001200 Proxy SG510-25Single2GB2x350GB SATA SSL, 2xPT3412Unlimited UnlimitedProxy SG810-5Single2GB2x73GB SCSI none45125002500 Proxy SG810-10Dual4GB2x300GB SCSI SSL, 2xPT90307003500 Proxy SG810-20Dual6GB4x300GB SCSI SSL, 2xPT1554510005000 Proxy SG810-25Dual6GB4x300GB SCSI SSL, 2xPT15545Unlimited UnlimitedProxy SG8100-5Single4GB2x300GB SCSI2xGigE9030Unlimited UnlimitedProxy SG8100-10Single6GB4x300GB SCSI SSL, 4xPT15552Unlimited UnlimitedProxy SG8100-20Dual8GB8x300GB SCSI SSL, 4xPT25090Unlimited UnlimitedAVAV510-A1x2.0Ghz P41Gb1x80Gb SATA 2 x 10/100/1000 Base-T1000AV810-A1x2.8Ghz Xeon2Gb2x73Gb SCSI 2 x 10/100/1000 Base-T1000-4000AV810-B2x2.8Ghz Xeon3Gb2x73Gb SCSI 2 x 10/100/1000 Base-T4000-8000RARA510-A1x2.0Ghz P41Gb1x80Gb SATA 2 x 10/100/1000 Base-T1000RA810-A1x2.8Ghz Xeon2Gb2x73Gb SCSI 2 x 10/100/1000 Base-TRA810-B2x2.8Ghz Xeon3Gb2x73Gb SCSI 2 x 10/100/1000 Base-TDIRECTORDIRECTOR-5101x2.0Ghz P41Gb1x80Gb SATA 2 x 10/100/1000 Base-T注意：1、表中的HTTP性能是正向代理性能，如果作为CDN或反向代理使用，通常性能会提升一倍2、建议用户数为作Internet网关（正向代理情况下）单台设备支持的并发用户数3、吞吐量指的是作Internet网关（正向代理情况下）典型的数据输出能力4、如果在Internet网关上增加AV防病毒业务，用户数和吞吐量要按减少大约三分之一算.5、如果在Internet网关上增加内容过滤业务，用户数要按减少大约三分之一算.6、由于AV环境较复杂，建议咨询Bluecoat或者SINOGRID 战略产品部7、Director是内容分发设备和集中网管设备Blue Coat 若有不详之处请与我们联系。

Blue Coat资料目录Blue Coat公司规模、服务、培训等综合实力 (2)Blue Coat公司概况 (2)SWG安全Web网关产品线 (2)24X7“日不落”全球技术服务支持能力 (3)Gartner眼中Blue Coat的综合实力 (3)Blue Coat培训与认证 (4)Blue Coat公司产品研发与技术支持能力 (5)ProxySG代理服务器产品成熟度 (5)产品销售的全球业绩 (5)客户的评价 (6)典型客户列表 (7)业界的评价 (7)全球超过2800名技术合作伙伴 (7)Blue Coat 公司产品技术的先进性 (8)备受业界认可的技术领先实力 (8)13年网络应用层协议的深入分析和网络应用的长期经验积累 (8)15,000位客户案例证明的高性能可扩展代理服务器架构 (8)业内享有声誉的深入探知网络应用的第七层（L7）数据流监控 (9)与外部URL过滤（Websense等）和防病毒扫描对接的成熟接口 (9)强大的专业中文日志统计报表能力 (9)近两年ProxySG产品的获奖情况 (10)Blue Coat公司规模、服务、培训等综合实力Blue Coat公司概况Blue Coat Systems（NASDAQ: BCSI）于1996年成立，1999年成为上市公司，旨在为企业客户提供Web通讯安全防护，并保障和加速企业内部关键业务应用。

作为应用交付网络技术的领导者，Blue Coat 的产品和解决方案（部署于分布式企业的数据中心、分公司、互联网网关出口以及移动办公用户终端）通过整合网络应用可视化，网络应用加速和网络应用安全技术，可以为全球任何地点，使用任何基础网络的企业用户，提供网络应用信息流的优化和安全服务，为分布式企业提供了强有力的竞争优势。

时至今日，Blue Coat全球有1400多名员工。

其中Blue Coat亚太区就有200多名员工，主要负责亚太区的销售服务及客户支持。

BlueCoat代理服务器配置指南Blue 国CoatSystems2011年1月目录—、安装设备及安装环境 41.1实施设备清单 41.2实施拓朴结构图4二、实施步骤 416 2.1物理连接4 2.2初始IP 地址配置4 2.3 远程治理软件配置 4 2.4 网络配置 52.4.1 Adapter 1地址配置 5 2.4.2 静态路由配置 5 243配置外网DNS 服务器6 2.4.4配置虚拟IP 地址 62.4.5 配置 Fail Over 6 2.5 配置代理服务端口 7 2.6 配置本地时钟 7 2.7配置Radius 认证服务 7 2.8 内容过滤列表定义及下载 8 2.9 定义病毒扫描服务器 9 2.10 带宽治理定义 10 2.11 策略设置 112.11.1配置DDOS 攻击防备 11 2.11.2 设置缺省策略为 DENY11 2.11.3 配置 Blue Coat An ti-Spyware 策略 11 2.11.4 访咨询操纵策略配置 -VPM 11 2.11.5 病毒扫描策略配置 11 2.11.6 用户认证策略设置 12 2.11.7 带宽治理策略定义 132.11.8 Work_Group 用户组访咨询操纵策略定义152.11.9 Ma nageme nt_Grou 用户组访咨询操纵策略定义 2.11.10 High_Level_Group 用户组访咨询操纵策略定义162.11.11 Normal_Group用户组访咨询操纵策略定义172.11.12 Temp_Group用户组访咨询操纵策略定义171619 2.11.13 IE扫瞄器版本检查策略2.11.14 DNS解析策略设置19安装设备及安装环境实施设备清单Bluecoat安全代理专用设备SG600—10 一台，AV510-A —台，BCWF内容过滤，MCAFEE 防病毒,企业版报表模块。

实施拓朴结构图Bluecoat设备SG600-10-3配置于内网，AV510-A与SG600-10之间通过ICAP 协议建立通信。

文件编号：LZYQ-2011-Q1-6772-007Blue Coat Proxy SG基本配置及巡检版本：1.2XX网络2011年3月文件说明本程序文件对公司为客户提供的系统集成及相关服务、网络安全服务的实施过程进行了策划和控制。

文件修订记录目录1设备配置 (5)1.1Console初始化 (5)1.2Web基本配置 (10)1.2.1Hostname配置 (10)1.2.2NTP配置 (10)1.2.3Network配置 (13)1.2.4Proxy配置 (16)1.2.5Policy配置 (18)2设备巡检 (21)2.1巡检内容 (21)2.1.1设备信息 (21)2.1.2CPU利用率 (22)2.1.3Memory利用率 (23)2.1.4Disk利用率 (23)2.1.5当前用户数统计 (24)2.1.6缓存内容统计 (24)2.1.7设备健康自检 (25)2.1.8代理流量统计 (26)2.1.9详细协议代理统计 (27)2.1.10会话统计 (27)2.1.11日志查看 (28)2.2巡检命令 (29)1设备配置1.1 Console初始化设备接通电源——加电开机——Console口输出启动信息如下：The default boot system is:1: Version: SGOS 6.1.3.1, Release id: 56222Press the space key to select an alternate system to boot.Seconds remaining until the default system is booted: 0Booting Version: SGOS 6.1.3.1, Release id: 56222Completed major version system upgrade.Press "enter" three times to activate the serial console //连续敲入3次回车键可以激活Console口进行配置Executing image: Version: SGOS 6.1.3.1, Release id: 56222Interface 0:0: MAC address 00:E0:81:77:20:AF, half duplex, 100 megabits/secInterface 1:0: MAC address 00:E0:81:77:20:B0, no linkWelcome to the SG Appliance Serial ConsoleVersion: SGOS 6.1.3.1, Release id: 56222//连续敲入三次回车键，会弹出菜单，如下：------------------------- MENU -----------------------------1) Command Line Interface2) Setup Console------------------------------------------------------------Enter Option：2 //选择2 ，使用Console向导进行设置--------------- CONFIGURATION START ------------------Welcome to the Blue Coat ProxySG 510 configuration wizard.This appliance's serial number: 2107102111---------------------------------------------------------------------You can get field help by entering a question mark ? in the fields.You can move backwards through the steps by pressing the UP arrow.You can exit the wizard without saving your entries by pressing ESC.---------------------------------------------------------------------//注意这里的提示：输入？可以查看每个选项的功能含义解释；输入ESC 可以不保存并退出配置向导。

BlueCoat反向代理方案一、用户需求分析用户目前的网站站点设计有HTTP Apache服务器，主要服务的内容是大量新闻和图片及一些Flash视频类的节目。

采用Apache服务器带来的主要挑战有三方面，一方面系统运行在通用操作系统上，网站安全性存在风险。

另一方面Apache服务器的性能受限，通常一台服务器只能处理3000-5000个并发HTTP客户连接。

性能上存在瓶颈。

最后还有在后台存储用户使用基于FC SAN的磁盘阵列。

当为了提升网站性能而增加前面的Apache 服务器时，后台存储的共享也成为了一个复杂的技术问题。

为了解决上述的一些实际问题。

用户需要在HTTP Web Server前端增加硬件反向代理服务器，利用其安全和高性能的特性来降低Apache服务器的负载和被黑客攻击的风险。

同时由于主要的负载都被反向代理服务器所承担，源服务器只需要保持一个基本的HA服务器就可以，也无需涉及复杂的FC SAN共享问题。

二、方案设计原则考虑用户的实际情况，在方案设计时需要遵循如下原则：1．标准性现在构建的HTTP反向代理网络应当符合网络业界的主流标准，保证系统和已有的Web Server的兼容性。

2．合理的性能价格比在满足当前的业务需求的同时，还考虑到今后业务发展的需求，确保在未来扩容时能够扩展到更多的性能和容量支持。

同时尽量选择经济的设备，做到最优的性价比。

3．高可靠性在确保系统可靠工作和数据的可靠性的原则基础上，尽可能的做到高起点，选用先进的技术和设备，使构建的反向代理系统有较高的可靠性，以适应今后的发展。

4．可管理性和可维护性反向代理设备可以通过多种技术和方式实现了高可靠性，同时也增加了系统的复杂性，从而容易导致维护和管理的复杂性。

因此在方案设计中在提供高可靠性的同时，也要注重提供反向代理系统的可管理性和可维护性。

整个系统应该能够采用基于Web的界面对存储设备进行配置管理。

系统配置工作应该简单明了，流程清晰。