BLUECOAT 安全WEB网关产品及解决方案

Bluecat ——保障您的核心基础网络服务Bluecat 公司简介BlueCat公司成立于2001年，总部设在加拿大多伦多，公司在欧洲，北美，南美，澳洲和亚洲均有设立子公司和销售办事处。

目前，BlueCat公司拥有超过300名员工，可365*24为用户提供最专业的基础网络核心服务保障。

BlueCat公司是专注于DDI（DHCP/DNS/IPAM）领域的领先网络管理设备供应商。

BlueCat公司是DDI市场的技术领导者，Bluecat公司在2005年推出了全球第一台IPAM专有硬件平台，2008年第一家支持DNSSEC，2009年率先支持Vmware虚拟化的DDI解决方案，同时也是目前唯一一家支持所有虚拟化解决方案的DDI产品提供商。

Bluecat公司的DDI 解决方案，全面覆盖DDI产品市场，并提供集成化的全面解决方案，连续多年被Gartner 评为“Strong Positive”评级，是无可争议的DDI产品技术领导者。

今天，BlueCat公司和其获奖无数的Proteus IPAM（IP地址管理）平台和Adonis系列的DNS / DHCP设备已经成功部署和满足了包括中小型企业，教育机构，政府，军事，金融服务，零售管理等在内的全球各行各业的需求。

未来，BlueCat公司的使命是向用户提供功能强大的和有预见技术的DNS，DHCP和IPAM（IP地址管理）产品解决方案。

通过产品和技术聚焦，无畏的产品创新和提供业界最好的服务与技术支持，Bluecat将提供智能，简单，可扩展的DNS，DHCP和IPAM的解决方案，使企业降低IT管理成本，加速新IP业务的推出，更好的管理不断发展和变化的企业网络。

一、网络基础服务综述互联网的出现，笔记本、手机、IPAD等移动终端的发明，WEB2.0的发展，使得企业的工作和业务模式也越来越依托于自己的IT网络。

然而，随着IP网络的爆炸性增长和依赖于IP 的各种移动设备的大量普及，在不增加IT人员和成本的前提下，传统的电子表格，手工流程和自主开发的解决方案无法跟上和适应企业IT的迅速发展，企业很难完善的管理他们不断增长的IT网络基础服务和各种移动终端的流动性IP需求。

Blue Coat 产品套件获得全面的应用可视性、加速及安全性您是否需要随时随地为用户交付应用？Blue Coat 应用交付网络 (ADN) 基础架构可以帮助您满足员工的各类需求。

借助应用交付网络，您可以在分布式企业中交付快速、安全且可用的应用，同时控制不断增加的网络管理成本应用程序性能监控、广域网优化与安全 Web 网关技术于一身，可为您提供用户和应用性能的全面可视性和控制能力。

因此，您可以交付出色的关键应用和信息，以便在竞争极其激烈的全球经济环境下获得成功。

应用交付网络是一个 IT 基础层，可以在任意网络上随时随地优化和保护所有用户的信息流。

应用交付网络集应用程序性能监控、广域网优化与安全 Web 网关技术于一身，可为您提供用户和应用性能的全面可视性和控制能力因此，您可以交付出色的关键应用和信息，以便在竞争极其激烈的全球经济环境下获得成功了解更多信息，请点击下面的链接或阅读产品概述手册Blue Coat ProxySGBlue Coat帮助企业保持“好”员工不在互联网上做“坏”事。

Blue Coat公司专注于提供安全的代理专用设备，提供互联网访问的可见性，并据此管理Web通讯，以保护企业网络免受间谍软件侵害的风险，并且能防止员工访问不合适的网页、不恰当地使用即时通讯工具、滥用流媒体及点对点文件下载，从而提高Web的安全及性能。

Blue Coat专用代理设备的使用量已超过20000台，已被许多世界上最具影响力的组织和机构所信任。

Blue Coat全球总部设于美国硅谷的Sunnyvale，成立于1996年。

市场随着企业越来越依赖于互联网与客户、合作伙伴和员工进行通讯，Blue Coat具有巨大的成长机遇。

Web浏览器已成为关键的业务通讯和信息交流的通用工具，但它同时也增加了企业的安全风险，如：∙由于间谍软件导致PC崩溃使支持中心的服务量大幅增加；∙由于员工访问不恰当的Web内容而导致生产力降低及潜在的法律风险；∙由于个人Web邮件的使用，使病毒出入网络有了新的“后门”；∙P2P和流媒体的滥用耗尽了网络的带宽；∙员工工作效率的下降；当企业内所有用户都使用Web浏览器时，不管是有意还是无意，每个用户都有可能而且有办法去访问一些对企业网络基础设施有害的内容。

BlueCoat代理服务器配置指南Blue 国CoatSystems2011年1月目录—、安装设备及安装环境 41.1实施设备清单 41.2实施拓朴结构图4二、实施步骤 416 2.1物理连接4 2.2初始IP 地址配置4 2.3 远程治理软件配置 4 2.4 网络配置 52.4.1 Adapter 1地址配置 5 2.4.2 静态路由配置 5 243配置外网DNS 服务器6 2.4.4配置虚拟IP 地址 62.4.5 配置 Fail Over 6 2.5 配置代理服务端口 7 2.6 配置本地时钟 7 2.7配置Radius 认证服务 7 2.8 内容过滤列表定义及下载 8 2.9 定义病毒扫描服务器 9 2.10 带宽治理定义 10 2.11 策略设置 112.11.1配置DDOS 攻击防备 11 2.11.2 设置缺省策略为 DENY11 2.11.3 配置 Blue Coat An ti-Spyware 策略 11 2.11.4 访咨询操纵策略配置 -VPM 11 2.11.5 病毒扫描策略配置 11 2.11.6 用户认证策略设置 12 2.11.7 带宽治理策略定义 132.11.8 Work_Group 用户组访咨询操纵策略定义152.11.9 Ma nageme nt_Grou 用户组访咨询操纵策略定义 2.11.10 High_Level_Group 用户组访咨询操纵策略定义162.11.11 Normal_Group用户组访咨询操纵策略定义172.11.12 Temp_Group用户组访咨询操纵策略定义171619 2.11.13 IE扫瞄器版本检查策略2.11.14 DNS解析策略设置19安装设备及安装环境实施设备清单Bluecoat安全代理专用设备SG600—10 一台，AV510-A —台，BCWF内容过滤，MCAFEE 防病毒,企业版报表模块。

实施拓朴结构图Bluecoat设备SG600-10-3配置于内网，AV510-A与SG600-10之间通过ICAP 协议建立通信。

正向代理Bluecoat配置最佳实践For SGOS V4.X第七版Bluecoat公司2009年4 月本文档的目的是通过正确的配置及测试步骤，使Blue Coat SG在正向代理测试中达到最佳的效果。

其中包括企业用显式代理和运营商带宽增益类透明代理的测试中达到最佳效果。

建议凡是碰到以运营商带宽节省为目的的测试，严格按照本文档描述的步骤。

文档修订历史目录一、SG配置关于WEB-CACHE基本配置 (5)1.1关于部署方式 (5)1.2关于操作系统版本 (5)1.3基本配置步骤 (5)二、如何调整SG性能和增益效果 (11)2.1在大流量情况下并发处理的优化 (11)2.2避免带宽负增益的最佳测试步骤 (14)2.3执行Cache充满 (14)2.4视频强制缓存 (15)2.5强制缓存没有缓存标记的流量 (17)2.6强制缓存微软的升级包 (17)2.7禁止所有包含Range: bytes header的请求（可选） (18)2.8关于Blue Coat带宽增益统计数据 (18)2.9DNS配置 (18)2.10强制缓存下载网站 (23)2.11消除Trust Destination IP对缓存影响 (25)2.12消除缓存内容过期 (26)三、查看增益效果 (26)四、如何分析流量进而优化 (29)4.1通过日志分析 (29)4.2通过Policy Trace分析 (31)4.2.1增加额外的策略+Trace (31)4.2.2打开策略Trace页面进行分析 (32)4.3检查DNS Worker (32)五、SG透明缓存环境QQ的运行 (34)六、SG和游戏及特定应用的兼容性问题的解决 (37)6.1透明代理下保证游戏能够通过SG访问 (37)6.1.1Reflect-Client-IP保证游戏服务器的认证和记录不出问题 (37)6.1.2保证联众游戏访问可以通过 (39)6.1.3设置MTU保证游戏访问通过 (39)6.2显式代理下保证MSN能够通过SG访问 (39)七、SG压力过载的保护策略 (40)7.1SG流量过载保护策略 (40)7.2CPU突发过载的保护策略 (43)八、C/S软件通过SG代理 (45)8.1Default policy Allow 和CPL中的Allow的区别 (45)8.2保证典型的C/S应用通过代理服务器能够访问 (48)8.3不支持代理的C/S软件通过SG上网的方式 (51)8.4设定放宽HTTP协议的容忍度 (52)九、飞信通过SG代理用户认证的配置 (52)一、SG配置关于Web-Cache基本配置1.1 关于部署方式Bluecoat 的SG-Web-Cache可以通过如下方式部署在网络当中：1．网桥部署方式2．通过WCCP部署方式3．通过L4的设备部署1.2 关于操作系统版本Bluecoat V4最新推荐版本是SG V4.2.8.6或4.2.9.11.3 基本配置步骤设备的基本配置步骤如下：1. STEP-1（测试前最好配置恢复为出厂配置，避免未知的问题）通过Console进入SG后—enable 进入—恢复出厂配置命令restore-defaults factory-defaults或reinitialize—初始配置设备的基本参数（IP,GW,DNS等）2. STEP-2通过HTTPS://SG-IP:8082进入SG的图形界面，进入maintenance->license->View，确认系统的License是否有效如果Licesne过期需要安装Licesne文件3. STEP-3确认设备的时钟（系统时间），由于是Cache设备，系统对时间的要求很高，需要尽可能调准系统时间，并设置适合的Local Time Zone，也可以通过NTP协议和NTP服务器自动同步。