BluecoatproxySG专项方案.doc

1、 江苏移动Bluecoat ProxySG 网络改造目 录序言4一、BLUE COAT SYSTEMS企业介绍6二、互联网出口安全控制改造方案82.1目前网络情况82.2 Blue Coat ProxySG改造提议方案92.2.1 策略修改92.3 方案描述92.3.1用户认证域控制92.3.2 NTLM用户认证域定义112.3.3 NTLM服务器定义112.3.4 IWA通用信息配置122.3.5 LDAP用户认证域定义142.3.6 LDAP服务器定义162.3.7 LDAP DN定义162.3.8 LDAP Base DN举例172.3.9 LDAP检索用户定义182.3.10 LDAP

2、对象类定义202.3.11 LDAP通用信息配置212.3.12 当地用户列表定义222.3.13 VPM配置242.4测试和回退252.5方案特点25三、关键技术及产品描述263.1 Blue Coat互联网代理技术用户认证、授权和统计263.1.1 内容安全控制273.1.2 灵活策略控制29总结32序言Web浏览器作为应用访问和互联网通讯手段，已经完全渗透到桌面环境中；越来越多企业和机构正在实现基于浏览器应用，作为它们业务操作几乎全部应用处理方案；同时，浏览器已经成为职员从互联网获取和传输信息关键手段。所以，建立一个高效、快速、安全互联网访问环境，成为企业及机构网络建设一个关键任务。建设

3、快速高效企业互联网环境，所面正确关键问题在于带宽和互联网连接所造成互联网访问响应速度问题，所以，互联网高速缓存得到广泛应用，而网络安全关键由防火墙提供保护；然而，因为支持多种Web协议浏览器功效多样，而病毒、黑客、“木马”类“间谍”软件能够经过多种路径，在用户进行互联网访问时，在不知不觉中侵入到企业网络中来，通常我们把这一类威胁定义为“应用级威胁”，其破坏力和广为人知网络安全漏洞一样严重。现在病毒、黑客技术更多以消耗网络资源为攻击目标，对保障企业互联网环境高效、快速提出了新挑战，而这些问题不是仅靠缓存能够处理，应用级安全控制和保障成为加速企业互联网访问一个必需选择。防火墙被认为是抵御来自外部威

4、胁（如：病毒、黑客）最好安全处理方法，防火墙被设计在网络边界进行保护，然而，防火墙不能控制进出企业用户通讯，这需要一个基于Proxy处理方案，能够提供对全部网络用户Web通讯进行全方面控制；防火墙保护网络，从而降低企业外部威胁，而Proxy控制Web通讯，从而降低企业“应用级威胁”造成网络性能和效率影响。伴随互联网上应用增加，职员互联网访问压力也在不停提升，江苏移动为各政府机关提供互联网访问出口，网络安全防护是极为关键，提议采取Blue Coat企业代理专用设备ProxySG实现互联网安全策略控制、带宽优化和并实现网关级Web病毒扫描，基于Blue Coat企业技术和产品处理方案，将能够实现：

5、 为江苏移动互联网出口，提供立即带宽优化 增强全网内容安全性 提供高效网关Web病毒保护 为高效内容过滤提供强有力平台 针对基于Web标准应用（如：B/S结构业务应用、Web页面、Streaming），增强内容传输，提升访问速度 内容传输系统基于工业标准协议和应用 在最小网络中止下，升级整个企业网络 便于使用和管理 Blue Coat Systems是业界唯一一家完全致力于提供全方面、安全互联网访问控制和安全保护处理方案企业。Blue Coat Systems产品能够为用户提供一个灵活、可扩展平台，而且便于安装、配置和维护。Blue Coat专用设备提供强大互联网访问代理功效、缓存功效、策略控

6、制功效，使Blue Coat Systems企业含有建立强大企业互联网代理体系能力。一、BLUE COAT SYSTEMS企业介绍Blue Coat帮助企业保持“好”职员不在互联网上做“坏”事。Blue Coat企业专注于提供安全代理专用设备，提供互联网访问可见性，并据此管理Web通讯，以保护企业网络免受间谍软件侵害风险，而且能预防职员访问不适宜网页、不合适地使用即时通讯工具、滥用流媒体及点对点文件下载，从而提升Web安全及性能。Blue Coat专用代理设备使用量已超出0台，已被很多世界上最具影响力组织和机构所信任。Blue Coat全球总部设于美国硅谷Sunnyvale，成立于1996年。

7、背景伴随企业越来越依靠于互联网和用户、合作伙伴和职员进行通讯，Blue Coat含有巨大成长机遇。Web浏览器已成为关键业务通讯和信息交流通用工具，但它同时也增加了企业安全风险，如：l 因为间谍软件造成PC瓦解使支持中心服务量大幅增加；l 因为职员访问不合适Web内容而造成生产力降低及潜在法律风险；l 因为个人Web邮件使用，使病毒出入网络有了新“后门”；l P2P和流媒体滥用耗尽了网络带宽；l 职员工作效率下降；当企业内全部用户全部使用Web浏览器时，不管是有意还是无意，每个用户全部有可能而且有措施去访问部分对企业网络基础设施有害内容。产品优势Blue Coat ProxySG安全代理专用设

8、备产品系列含有完整Web代理功效，能够实现最强大策略控制。这些ICSA Labs认证处理方案基于Blue Coat自主开发专用操作系统SGOS，包含专利策略处理引擎极其灵活Web通讯管理框架结构，实现细致内容策略、应用策略、用户策略。Blue Coat端到端产品系列包含全方面统计汇报软件、策略和配置管了处理方案，满足集中布署和分散布署等不一样要求。Blue Coat助您建立高效、快速互联网通讯环境Blue Coat Systems是建立高效、快速、安全企业互联网通讯环境企业正确选择。对此，Gartner是这么评述：“Blue Coat是企业安全代理用户对外访问互联网正确选择。”二、互联网出口安

9、全控制改造方案2.1目前网络情况SG旁接在关键交换机,经过IP地址进行访问控制限制.2.2 Blue Coat ProxySG改造提议方案2.2.1 策略修改此次改造关键是在原本经过IP进行上网控制基础上,加入第三方用户认证来加强管理内部人员上网行为,关键经过修改策略实现.2.3 方案描述经过Configuration/Authentication选项进入用户认证配置，包含：管理员用户名、密码，上网用户用户认证域定义等。用户能够选择采取当地用户列表、NTLM、LDAP、Radius等多个用户认证方法。2.3.1用户认证域控制从Authentication/Realms进入用户认证域控制页面，以

10、下图示：其中：将显示全部已定义用户认证域，2.3.2 NTLM用户认证域定义IWA用户认证是定义ProxySG使用Windows NT服务器用户认证方法，定义页面以下图示：其中，Realm name定义一个标示名，Primary Server host定义Blue Coat NTLM Agent安装服务器IP地址(也能够直接指定DC地址)，16101为缺省使用端口。2.3.3 NTLM服务器定义IWA服务器定义页面以下图示：其中，能够定义备份IWA服务器。2.3.4 IWA通用信息配置从IWA/IWA General进入配置通用信息配置页面，以下图示：其中，Realm name为IWA认证域名

11、字，Credentials refresh time为认证信息缓存时间，缺省为900秒。Vitual URL用于Origin Redirect认证方法，关键将用户认证请求Redirect到这个虚拟URL上。2.3.5 LDAP用户认证域定义从Authentication/LDAP进入LDAP定义页面，能够定义选择Windows Active Directory、Sun LDAP、Novel LDAP等用户认证域，以下图示：选择New，定义新LDAP用户认证域。页面以下图示：其中： Realm name定义认证域名， Type of LDAP Server选择LDAP服务器类型 Primary

12、server host定义域服务器IP地址 在选择了LDAP服务器类型后，其它选项将对应调整，无需另外定义2.3.6 LDAP服务器定义LDAP Servers配置页面以下图示：其中：包含LDAP服务器类型修改，LDAP Protocal版本修改，能够定义LDAP主服务器和备服务器等信息。2.3.7 LDAP DN定义实现ProxySG和LDAP服务器通讯必需定义LDAP服务器部分基础信息，Base DNs是LDAP域定义，配置页面以下图示：其中，New选项用来定义新Base DNs，Base DNs格式举例：DC=www,DC=bcsi2106,DC=com,DC=cn以下图示：2.3.8

13、LDAP Base DN举例以Windows Active Directory举例，在Windows管理界面进入，Active Directory用户和计算机管理页面，以下图示：其中，在根定义部分能够看到，对应到ProxySG中Base DN定义为DC=www,DC=bcsi2106,DC=com,DC=cn；其中用户SG_adminLDAP标示为：CN=SG_admin,OU=BCSI,DC=www,DC=bcsi2106,DC=com,DC=cn2.3.9 LDAP检索用户定义ProxySG和LDAP服务器通讯需要一个LDAP用户名（一般用户），在LDAP Search & Groups页

14、面中定义，以下图示：其中，对WindowActive Direcotry缺省不支持匿名访问，需选择Search User DN定义用户名LDAP标示，并选择Change Password设定访问密码，页面以下图示：2.3.10 LDAP对象类定义LDAP对象类定义通常无需修改，它会依据LDAP服务器类型自动设定。2.3.11 LDAP通用信息配置LDAP通用信息配置页面以下图示：其中，Credentials refresh time定义LDAP认证信息缓存时间。Vitual URL用于Origin Redirect认证方法，关键将用户认证请求Redirect到这个虚拟URL上。2.3.12 当

15、地用户列表定义能够选择将上网用户用户名、密码和分组等信息定义在ProxySG中，定义页面以下图示：其中：选择New能够生成一个Local用户认证域，并经过Local Main页面定义该认证域使用用户列表，定义页面以下图示：其中，定义了Local_user域和用户列表sl_account_list对应关系，而用户列表生成，和列表中用户名、密码设定需经过命令行进行，命令以下：telnet ProxySG-IPenableconf tsecurity local-user-list create sl_account_list；生成用户列表security local-user-list edit

16、sl_account_list；在用户列表中生成用户user create cutterendsecurity local-user-list edit sl_account_list；设置用户密码user edit cutterpassword 123456exitexit2.3.13 VPM配置在VPM中添加web authentication layer,定义需要进行上网身份认证网段即source处,在action处选set然后new添加新认证对象选择对应realm,图使用是radius第三方上网身份认证,也可使用LDAP，IWA，当地等认证方法2.4测试和回退使用需要进行身份认证用户机

17、经过代理上网，在跳出认证窗口处输入帐密，成功认证后可正常上网，测试经过。假如认证错误，且无法上网，为不影响业务，则进行回退操作，回退步骤为删除VPM中新建web authentication layer或删除该layer具体认证rule。2.5方案特点该改造方案从原本简单IP管理方法转移到IP和用户身份认证混合管理模式,大大加强了上网安全性,追诉性.同时ProxySG运行SGOS操作系统还含有更多关键能力：包含： 简便管理： Blue Coat Systems产品设计为在数分钟内就可安装，几乎没有日常管理工作，它们是自适应、能自愈专用设备。其它厂商处理方案往往要求定时维护和停机，Blue Co

18、at Systems提供是使用简便真正专用设备。 维护简单： 在现存网络体系中使用专用设备首要目标，就是减轻维护服务器和防火墙带来“头疼”问题。Blue Coat Systems专用设备能够经过命令行或浏览器界面进行远程管理。 Web内容安全控制： SGOS是从最底层开发出安全产品，含有高性能操作信托，一直考虑一个功效就是让Web内容快速、安全地经过整个网络。 Blue Coat Systems ProxySG专用设备提供最好用户响应时间，从而确保职员主动性及生产力；SGOS专利特征使Blue Coat ProxySG专用设备成为利用Web服务器体系结构企业网络必备产品三、关键技术及产品描述以

19、下部分简单叙述Blue Coat ProxySG，及其Blue Coat产品，它们经过优化为大型企业系统提供Web 内容缓存和互联网访问控制、管理。3.1 Blue Coat互联网代理技术用户认证、授权和统计有效企业安全基础设施始于3A即认证、授权和统计。这些服务是用户和内容保护、控制起点。每个网络全部已经实施了认证系统，当用户开机后，它们即被要求输入有效用户名和密码以访问网络资源。 Blue Coat ProxySG设备能够和LDAP、Radius和NTLM等认证系统协调工作，在这些系统中保留有效用户信息，当用户访问Web资源时Blue Coat ProxySG设备将提醒用户输入认证信息，并

20、透明和认证服务系统校验；Blue Coat ProxySG设备能够同时支持多个并存认证系统。以下图示：识别一个用户有很多路径，包含： 用户标识: 假如提醒用户输入口令成功，并将输入口令和安全数据库或目录中信息校验，成功认证后就会产生用户标识。认证方法能够多个形式出现，比如密码、证书和令牌。认证凭据传送至安全数据库或目录来进行认证。成功认证可识别用户。 组标识: 和针对某个用户认证类似，基于组标识决定某个用户在一个组织中角色。经典地，这是一个组会员或在一个给定名字空间内属性条件。 网络标识: 基于网络IP地址、子网地址、或其它网络标识。一旦系统确定了访问请求者身份，下一步即开始授权，也就是将策略

21、和认证过程中用户标识勾联起来。简单地说，授权就是一组规则，这些规则决定哪些用户能够访问哪些资源和这些用户可对这些资源实施什么样操作。Blue Coat提供一个简单直观工具Visual Policy Manager （VPM）来帮助您建立这么授权规则，这些规则能够针对现有认证服务中单个用户或一组用户来制订。AAA中最终一个步骤就是统计了。一个许可访问一些资源系统同时也必需有效地跟踪这些资源使用情况。在出现欺诈、恶意使用时，这些统计信息对于审计是必需。Blue Coat ProxySG设备提供丰富、具体访问日志，能够统计用户全部Internet访问。3.1.1 内容安全控制Blue CoatPro

22、xySG互联网通讯控制专用设备还能帮助您分析来自互联网Web和多媒体内容、去除恶意代码和其它安全设备无法屏蔽动态内容，实现用户访问内容安全性控制。Internet为广大用户访问互联网内容和下载软件提供了方便。而在过去，管理员能够轻易地将用户软盘拔掉来“锁住”用户计算机，互联网出现使得任何一个人经过浏览器下载大量内容。这些内容可能是和业务相关信息或软件，也可能是耗时游戏，也可能是盗版电影或MP3文件。为使企业在为职员提供工作所必需上网同时，企业网络不被潜在危险内容所充塞，对网络管理员来说，最根本任务就是建立一套能够控制谁能够从互联网上下载什么内容策略，并用这个策略来管理全部职员对网络访问。尽管企

23、业采取很多方法来提升企业网络安全性，然而很多新移动代码病毒，新出现Nimda和红色代码病毒却以嵌入在网页中可实施代码形式（比如ActiveX, JavaScript, Visual Basic Scripts等）进入内部网络。 不幸是，当今防火墙不是为检验在多个包中传输内容检验而设计，或说不是为防范内容级检验而设计，它不能防御恶意内容级移动代码病毒。 可幸是，内容安全基础设施中出现了一个新层次，它和防火墙结合在一起工作，优化地保护网络免受内容级威胁。 Blue Coat ProxySG设备提供强劲、灵活方法来管理网络上内容级威胁，不管它们来自于防火墙之内，还是来自于防为墙之外。另外，SG800

24、系列 和 SG6000系列 产品提供管理和实施企业Web安全策略所必需可视化、灵活管理策略能力。 利用Blue Coat产品，安全管理员能够： 挡住存在潜在危险活动内容 剥除并替换网页中存在潜在危险活动内容，同时仍然服务网页中其它内容。 基于设定安全策略（比如内容类型、用户名、目标IP地址等），将存在潜在危险活动内容传送到另外一台扫描移动代码病毒服务器。 实现细化活动内容去除。 o 比如，对于全部用户去除Visual Basic脚本代码，但对于一些用户，许可访问ActiveX内容。 对指定用户组用户，挡住含有特定后缀或MIME类型文件 限制用户一些请求方法。 o 比如，一个企业决定只许可某一组

25、职员上传资料至某个合作伙伴Web站点或下载Web邮件中附件。 限制经过表格或Web邮件上传资料，以预防企业知识产权流失。 只许可使用指定类型浏览器，因为一些未经同意浏览器存在潜在安全漏洞。 o 比如，安全管理员可能会强制实施一此安全策略来只许可使用指定版本含有修补某个安全缺点补丁IE浏览器。 限制、去除或替换一些内容包头方便企业网络信息不会泄露不予到互联网上。3.1.2 灵活策略控制Blue Coat独特Web知识架构使企业能够处理全部Web协议，包含HTTP、HTTPS、FTP、Microsoft 流媒体（MMS和HTTP Streaming）、Real流媒体（RTSP和HTTP Strea

26、ming）、QuickTime 流媒体（经过RTSP）、MP3、Flash、和几百种其它Web对象类型。Blue Coat拥有专利策略处理引擎（PPEPolicy Process Engine）提供强大策略定义能力，用户能够定义一系列、全方面规则来保护、控制和加速用户访问，同时将这些规则和任意多个条件联络在一起，能够利用现有目录、数据库访问中用户信息。这个处理方案使用认证标识符来触发全部动作和规则。Web 访问请求能够进行授权，并可基于全部已知标识符任意组合进行管理。下面例子说明使用Blue Coat Systems可实现功效强大策略： 安全管理员面临一个新安全威胁，计划实现一个策略来限制怀疑

27、存在安全漏洞浏览器使用，且对某组用户只许可访问一些对业务运作关键Web站点。有Web访问控制需要网络管理员可能想实现一个策略，只许可市场部用户使用Microsoft媒体播放器，请求.asp文件，访问.com上多媒体内容，时间限制在早8:00至晚5:00之间，也能够使用HTTP协议。Blue CoatWeb病毒扫描使安全管理员和网络管理员能够确保储存在当地缓存中内容是洁净和安全，不含病毒、蠕虫、和其它网络安全威胁。假如不对这些内容进行扫描，现有这些代理服务器只能是将这些危险内容愈加快地传送给用户。全部经过ProxySG专用设备Web事务处理全部会被统计，提供具体统计信息。这为确定Web使用模式、

28、审计用户访问历史、跟踪安全问题、制订全方面Web保护和控制策略提供了清楚明了事实依据。 3.1.1.1 Blue Coat可视化策略管理器Blue Coat Systems 可视化策略管理器Blue Coat ProxySG互联网通讯控制专用设备操作系统集成功效模块，以直观、图形化方法帮助您完成管理一个网络Web安全相关复杂策略。管理基于Web安全问题是一项要求正确工具复杂工作。伴随用户数量和Web应用增加，制订Web安全策略复杂性和因失误带来风险也随之增加。 Blue Coat可视化策略管理器简化安全策略建立和管理。管理员能快速地建立复杂策略规则，并轻易地评定其影响。直观图形用户界面，对安全

29、管理员来说很熟悉，使得在跨越整个Blue Coat ProxySG组成网络上细化、多层安全策略变得很轻易。可视化策略管理器使管理员能够： o 使用强劲策略加强互联网访问安全 o 使用图形界面建立和维护策略 o 在装有Web浏览器任意PC或工作站上开启和使用 o 简化安全策略生成工作 Blue Coat Systems可视化策略管理提供了强劲图形化工具来生成、实现和管理企业安全策略。使用 Blue Coat 可视化策略管理，安全和网络管理员能够快速地为SG系列ProxySG专用设备建立策略规则，这套策略规则可依据 Blue Coat功效强大 Web知识架构所包含每个技术细节来建立，并利用策略处理

30、引擎高性能处理能力进行策略实施。 功效特征 :直观策略生成界面 快速生成复杂基于用户、用户组、网络、目录属性、和内容类型、浏览器类型、协议和其它更多属性Web安全策略和控制策略。 策略分层 将相同策略规则分组有利于简化管理工作。比如，内容过滤策略和病毒扫描策略能合并在一个独立层次，使管理变得简单。另外，如有需要，安全管理员能对一些用户定义例外策略，而不需影响企业统一标准策略。 同时支持多个认证域 定义必需使用哪台认证服务器/认证领域（realm）来进行认证。即使用户信息定义在不一样认证系统中，管理员也能够为这些用户定义一致安全策略。比如，管理员能在企业范围内定义一条策略，哪怕有用户定义在NT域

31、中，有用户定义在LDAP目录中。 策略分发自动化 和 Blue Coat Director集中管理设备结合在一起，管理员就能够依据地域来分发策略，而且，在策略修改时，能够自动化分发修改后策略。 内容策略语言（CPL） 处理可视化策略生成，管理员还能够依据内容策略语言定义内容策略，使用高级宏语言定义策略。 临时严禁 为查错方便，您可临时进行一些策略规则实施，而无需删除它们。 基于浏览器 基于Java用户界面，可运行于任何基于JavaWeb浏览器。 系统需求可视化策略管理器要求 Java Runtime Environment 1.3.1来运行，支持Microsoft 和 Netscape web浏览器。假如没有安装 JRE，那么可视化策略管理器在它第一次运行时，自动下载并安装它。总结此次改建提升了网络安全性，可追诉性，为企业营造了更安全友好上网环境。