《BlueCoatSG配置手册精品资料.doc》由会员分享,可在线阅读,更多相关《BlueCoatSG配置手册精品资料.doc(194页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、Bluecoat SGOS系统操作说明Blue Coat ProxySG 专用设备通过IE浏览器和Telnet命令进行管理,浏览器管理 端口为8082,管理用的PC机需安装了Java运行环境。管理用的PC机需安装了Java运行环境。Web管理访问的URL为:https:/SG-IP:8082 ,访问该URL将要求输入管理员用户名和密码。注:(1)建议在访问该页面时,等状态栏中指示所有Java类下载结束后,在进行后续操作。 (2)Java界面有可能要求再输入一次用户名和密码。该页面中, Management Console选项进入管理配置 Browser Configuration包含对用户端(
2、非管理员)浏览器的配置建议 Documentation包含详细的配置手册一、 GENERAL配置在Web管理的首页选择Management Console,进入配置管理界面,如下图示:General配置页面中包括: Identification:设备名定义 Clock:时钟定义 Archive:配置备份/恢复其中,Identification中,Name项可定义该设备名,任意字符串;Serial Number不可修改,已固化在设备中,应与设备后部的Serial Number一致。任何配置修改在点击最下方的Apply后生效。1.1 时钟设置(General/Clock)选择General下的Cl
3、ock,进入时钟设置,如下图示:UTC为国际标准时,Local为本地时钟,在TimeZone中选择8区,Local时钟将变为本地时间;其中Enable NTP选项将启动网络对时,NTP为网络对时协议;保持时钟同步,对ProxySG的缓存极为重要。1.2 配置备份及恢复选择General/Archive进入配置备份及恢复页面,如下图示:其中,View File将显示配置,其中Configuration-expanded为全配置,View后选择Save As,可将其保存为本地文件。其中Install Configration from可以选择从本地文件恢复配置。注:对于由VPM生成的Policy配
4、置,建议通过Policy配置管理的中的备份和恢复方式。二、 网络配置(CONFIGURATION/NETWORK)从配置页面的Network进入网络配置页面,如下图示:任何配置修改在点击最下方的Apply后生效。2.1 网卡配置(Network/Adapters)从Network/Adapaters选项进入网卡配置,如下图示:其中,通过Adapters选项的下拉菜单可以选择不同的网卡,缺省网卡为:Adapater0、Adapater1;Interfaces选项可以选择网卡的不同端口,系统缺省配置的10/100BaseT以太网卡只有一个Interface为Interface0。在IP Addre
5、ss中可以设置IP地址,Subnet Mask中设置子网掩码。注:不要修改Web管理页面连接的端口IP地址。2.1.1 网卡端口详细配置在网卡配置页面的Interface选项中选定要做详细配置的端口,然后选择右边的Setting按钮,进入以下页面:其中:Security选项,Reject inbound connection将屏蔽所有从网络中发起的到该端口的连接。Link Settings:选择端口的物理特性,自适应或指定Speed和Duplex。建议:如果有专门用来进行互联网连接的端口,可将其设为Reject inbound connections,这样,从互联网发起的通讯无法进入设备和内网
6、。2.2 网络路由配置(Network/Routing)从Network/Routing选项进入网卡配置,如下图示:其中:Gateways定义互联网访问用的网关,Routing定义内部路由,RIP定义RIP路由协议信息。2.2.1 Gateways定义在Network/Routing/Gatways页面,选择New可以定义互联网出口的网关,如下图示:其中:Gateway为网关IP地址,ProxySG支持多网关配置,Group代表多个网关的分组,分组数越小、优先级越高,Weight定义在同一个组中不同网关的负载分配比例。2.2.2 静态路由配置(Network/Routing/Routing)在
7、Network/Routing/Routing页面中,通过下拉菜单可以选择静态路由定义方式;如下图示:选择Text Editor,点击Install,进入以下路由编辑界面:将内部路由定义其中,并Install安装。2.3 DNS服务器定义(Network/DNS)从Network/DNS选项进入DNS服务器配置,如下图示:其中:New可以生成新的DNS服务器定义,可以定义多个,通过Promote entry和Demote entry改变次序。三、 服务定义(CONFIGURATION/SERVICES)通过Configuration/Services选项进入服务定义,需进行配置修改的主要在Se
8、rvice Ports定义,没有特别要求,其它定义项无需修改。3.1 服务端口定义在Services/Service Ports页面中,将显示所有已有的服务端口定义,如下图示:其中,IP:指定该服务端口所在的IP地址(一台ProxySG可以有多个IP地址),ALL代表所有IP地址; Port:指定端口号和协议类型 Yes/No:指示是否打开 Service:定义端口服务属性选择New或Edit进入服务端口编辑页面,如下图示:其中: Protocol:定义服务用的协议 IP:定义该服务作用的IP地址 Port:定义端口号 Enable:打开服务 Attributes:o Explicit:为代理
9、服务o Transparent:为透明代理服务o Authenticate-401:模拟服务器端认证o Send-client-IP:用Client端IP进行互联网访问,要求网络是透明方式,并有网络设备的配合要求。四、 用户认证配置(CONFIGURATION/AUTHENTICATION)通过Configuration/Authentication选项进入用户认证配置,包括:管理员用户名、密码,上网用户的用户认证域定义等。用户可以选择采用本地用户列表、NTLM、LDAP、Radius等多种用户认证方式。4.1 管理员访问配置(Authentication/Console Access)从Au
10、thentication/Console Access进入管理员配置界面,如下图示:其中:User Name定义管理员用户名,Change Password修改管理员密码,Enforce auto-logout定义管理界面的自动登出属性,Auto-logout中定义自动登出的时延,缺省为900秒。选择Console Access选项,进入管理员访问控制页面,如下图示:其中:选择New可以指定该管理员用户访问的源IP地址或子网,Enforce ACL for built-in administration选项启动该访问控制。4.2 用户认证域控制(Authentication/Realms)从A
11、uthentication/Realms进入用户认证域控制页面,如下图示:其中:将显示所有已定义的用户认证域, Flush when policy files changes定义在策略修改时自动清除认证信息的缓存 Flush entire cache now选项清除所有认证信息的缓存 Flush realm选项清除指定认证信息的缓存,通过下拉菜单选择用户认证域4.3 NTLM用户认证域定义NTLM用户认证是定义ProxySG使用Windows NT服务器的用户认证的方法,要求在NT服务器上安装Blue Coat公司NTLM认证的Agent程序。定义页面如下图示:其中,Realm name定义一
12、个标示名,Primary Server host定义Blue Coat NTLM Agent安装的服务器IP地址,16101为缺省使用的端口。4.3.1 NTLM服务器定义(NTLM/NTLM Servers)NTLM服务器定义页面如下图示:其中,可以定义备份的NTLM服务器(也需安装Agent软件)。4.3.2 NTLM通用信息配置(NTLM/NTLM General)从NTLM/NTLM General进入配置通用信息配置页面,如下图示:其中,Realm name为NTLM认证域的名字,Cache credentials为认证信息缓存的时间,缺省为900秒。4.4 LDAP用户认证域定义(
13、Authentication/LDAP)从Authentication/LDAP进入LDAP定义页面,可以定义选择Windows Active Directory、Sun LDAP、Novel LDAP等用户认证域,如下图示:选择New,定义新的LDAP用户认证域。页面如下图示:其中: Realm name定义认证域名, Type of LDAP Server选择LDAP服务器类型 Primary server host定义域服务器IP地址 在选择了LDAP服务器类型后,其它选项将相应调整,无需另外定义4.4.1 LDAP服务器定义(LDAP/LDAP Servers)LDAP Servers
14、配置页面如下图示:其中:包括LDAP服务器类型的修改,LDAP Protocal版本的修改,可以定义LDAP主服务器和备服务器等信息。4.4.2 LDAP DN定义实现ProxySG与LDAP服务器的通讯必须定义LDAP服务器的一些基本信息,Base DNs是LDAP域的定义,配置页面如下图示:其中,New选项用来定义新的Base DNs,Base DNs的格式举例:DC=www,DC=bcsi2106,DC=com,DC=cn如下图示:4.4.3 LDAP Base DN举例以Windows2000 Active Directory举例,在Windows2000管理界面进入,Active D
15、irectory用户和计算机管理页面,如下图示:其中,在根定义部分可以看到,对应到ProxySG中的Base DN定义为DC=www,DC=bcsi2106,DC=com,DC=cn;其中用户SG_admin的LDAP标示为:CN=SG_admin,OU=BCSI,DC=www,DC=bcsi2106,DC=com,DC=cn4.4.4 LDAP检索用户定义(LDAP/LDAP Search&Groups)ProxySG与LDAP服务器的通讯需要一个LDAP用户名(普通用户),在LDAP Search & Groups页面中定义,如下图示:其中,对Window2000的Active Direc
16、otry缺省不支持匿名访问,需选择Search User DN定义用户名的LDAP标示,并选择Change Password设定访问密码,页面如下图示:4.4.5 LDAP对象类定义(LDAP/Ldap Objectclasses)LDAP对象类定义一般无需修改,它会根据LDAP服务器类型自动设定。4.4.6 LDAP通用信息配置(LDAP/LDAP General)LDAP通用信息配置页面如下图示:其中,Cache credentials定义LDAP认证信息缓存时间。4.5 本地用户列表定义(Authentication/Local)可以选择将上网用户的用户名、密码和分组等信息定义在Prox
17、ySG中,定义页面如下图示:其中:选择New可以生成一个Local用户认证域,并通过Local Main页面定义该认证域使用的用户列表,定义页面如下图示:其中,定义了Local_user域与用户列表sl_account_list的对应关系,而用户列表的生成,以及列表中用户名、密码的设定需通过命令行进行,命令如下:telnet ProxySG-IPenableconf tsecurity local-user-list create sl_account_list;生成用户列表security local-user-list edit sl_account_list;在用户列表中生成用户user
18、 create liuweidongendsecurity local-user-list edit sl_account_list;设置用户密码user edit liuweidongpassword 0000exitexit五、 策略配置(CONFIGURATION/POLICY)用户上网的所有访问均由策略来进行控制,前面定义的均为系统信息,均通过策略作用到用户的访问上来。通过Configuration/Policy进入策略配置页面,其中包括: Polciy Options:策略选项 Policy Files:策略文件,所有策略配置均在系统中对应到一个策略文件,该选项包括对文件方式的配置和
19、备份、恢复等 Visual Policy Manager:可视化策略管理器,通过可视化界面配置访问控制策略 Exceptions:修改缺省的出错页面5.1 策略选项(Policy/Policy Options)从Policy/Policy Options进入策略选项页面,如下图示:其中,Policy Evaluation Order定义了ProxySG中三个策略配置文件中策略的优先次序,排在前面的优先级最低;VPM为通过可视化界面配置的策略,Local为通过本地文件配置的策略,Central为通过中心文件配置的策略。Default Proxy Policy选项定义缺省的策略,如果选择Deny,
20、表示没有定义为允许的访问将被禁止。Trace all policy execution:是一个Debugging的选项,为查错准备的。5.2 策略文件管理(Policy/Policy Files)从Policy/Policy Files进入策略文件管理页面,如下图示:其中,View Policy可以显示各个策略文件的内容,并可以Save As为文本文件。通常的策略配置均可通过VPM进行,对于批量的定义可以采用Local File方式定义,在Install Local File From中选择Text Editor,如下图示:然后选择Install,进入Local策略编辑页面,如下图示:具体的P
21、olicy定义说明请参照Blue Coat公司Policy语言(CPL)手册。绑定IP和用户名的定义格式举例如下:user=zhouyongchun allowuser=niyuanyuan client.address=10.26.32.51 allowclient.address=10.26.32.37 allow其中: 定义用户zhouyongchun不绑定IP地址, 定义用户niyuanyuan绑定地址为10.26.32.51 定义IP地址10.26.32.27不绑定用户最后选择Install实现配置安装。5.3 可视化策略管理器(Policy/Visual Policy Manage
22、r)从Policy/Visual Policy Manager进入可视化策略管理器界面,该页面将调用Java运行环境,如果该PC未装JRE,将会自动下载安装。其中,Launch将启动策略管理器。界面如下图示:5.3.1 生成策略层ProxySG中的策略均定义在相应的策略层中,策略层有8种类型,相同类型的策略层可以有多个;在同一层的策略中,排在前面的具有较高优先级;不同层的策略中,排在后面的具有较高优先级。在VPM的Policy菜单中选择策略类型,如下图示:其中,包括: Admin Authentication Layer:管理员用户认证层,定义更多的管理员用户 Admin Access Lay
23、er:管理员访问控制层,控制管理员访问的权限 DNS Access Layer:DNS访问控制层,如果设置该ProxySG为DNS服务器时,可以控制域名解析 SOCKS Authentication Layer:用户SOCKS代理访问时的用户认证定义 Web Authentication Layer:用户Web代理访问时的用户认证 Web Access Layer:用户Web访问控制层 Web Content Layer:Web访问内容控制层,控制ProxySG到源服务器获取内容的方式 Forwarding Layer:转发控制层,可以根据条件设定将用户访问请求转发到指定目标的策略。5.3.2
24、 Web用户认证定义(1)根据策略层生成菜单,选择生成Web Authentication Layer,生成页面如下图示:其中:缺省生成一条策略,为从任何源(Source:Any)到任何目标(Destiantion:Any)不做控制(Action:None)。在Action栏中使用鼠标右键,将看到Action配置菜单,如下图示:选择Set,进入Action定义页面,如下图示:选择New,出现两个选项: Authenticate:用户认证 Force Authenticate:强制用户认证,后续策略中如果定义了无需认证,将无法覆盖用户认证定义。选择Authenticate选项,VPM将与Prox
25、ySG通讯获取系统配置的用户认证域定义信息,获得信息后将出现用户认证域选择页面,如下图示:其中,从Realm下拉菜单中可以选择用户认证域,其中显示的名字与ProxySG的Web管理页面中Authentication定义的Realm名相同,从中可以选择将使用的用户认证域。从Mode菜单中可以选择用户认证的方式,如下图示:其中,缺省为Auto模式,ProxySG将按照Sessions进行用户认证,即每个新开的IE浏览器需重新输入;可以选择Origin IP或Origin Cookie方式,在通过用户认证后,认证信息缓存时间内(缺省为900秒)无需在输入用户名和密码;Origin IP方式时,用户认
26、证通过则该用户的IP地址可以上网,包括其它机器通过它进行代理访问;如果选择Origin Cookie,则用户认证通过后仅该机器的浏览器可以上网,并在900秒(缺省)内无需再输用户名密码。认证域定义完成后,从以下页面可以选择使用的认证域:选定使用的用户认证域,选择OK,实现Web用户认证策略定义,如下图示:其中:定义了所有Web访问必须进行用户认证。5.3.3 用户认证策略定义(2)如需定义对特定用户无需用户认证,可以在该用户认证策略层中增加策略,选择Add Rules,页面显示如下图示:通过Move Up选项,将新增策略上移到第一行,并在Source栏中使用鼠标右键,如下图示:选择Set进入S
27、ource定义界面,如下图示:选择New,菜单中显示所有Source定义条件,其中: Client IP Address/Subnet:定义用户端IP地址或网段 Client Hostname:客户端机器名 Proxy IP address/Port:代理用的IP地址和端口 User Agent:客户端浏览器类型 Request Header:客户端请求的HTTP头信息 Combined Source Object:以上各种定义的组合选择Client IP Address/Subnet,定义页面如下图示:其中,如果指定一个IP地址,Subnet Mask使用255.255.255.255;选择
28、Add,完成定义,如下图示:选择定义Client端信息,点击OK;然后,在Action栏中,使用鼠标右键,并选择Set,进入Action定义页面,如下图示:直接选择Do Not Authenticate,选择OK,完成策略定义,如下图示:其中,第一条策略定义Client IP地址为192.168.1.18的用户不进行用户认证。5.3.4 用户认证策略定义(3)如需定义对特定目标的访问无需用户认证,可以在该用户认证策略层中增加策略,选择Add Rules,并通过Move Up移动到第一行,然后在Destiantion栏中,使用鼠标右键,页面显示如下图示:选择Set,进入Destionation定
29、义页面,如下图示:其中:访问目标(Destination)定义包括 Destination IP Address/Subnet:目标IP地址或网段 Destiantion Host/Port:目标主机/端口 URL:目标URL Category:网站分类 Combined Destination Object:以上定义的组合选择URL定义,进入URL定义页面,如下图示:其中,有三种定义方式: Simple Match:通过URL或URL域进行定义 Regular Expression Match:采用统配符方式定义 Advanced Match:根据URL的不同部分进行匹配定义选择Simple
30、 Match定义URL的域名,选择Add,增加访问目标定义,选择Close,结束定义,回到访问目标定义页面,如下图示:选择定义的访问目标,选择OK,结束访问目标选择;然后在Action栏中用鼠标右键,选择Set,并选择Do Not Authenticate,完成策略定义,如下图示:其中,第一条定义了到S无需用户认证。注:(1)所有策略必须在选择了Install Policy后才能生效 (2)在用户认证策略层中,仅定义是否进行认证,是否可以访问还需在Web Access策略层中定义5.3.5 策略删除如需删除策略,在No栏中使用右键,并选择Delete Rule,完成该策略的删除。5.3.6 S
31、OCKS认证策略层如用户需通过SOCKS代理进行互联网访问,定义其用户认证策略,需通过策略层定义选择Add SOCKS Authentication Layer,如下图示:将出现一条空的SOCKS认证策略,在Action栏中用鼠标右键,并选择Set,进入Action选择页面,如下图示:选择New,有两个选项: SOCKS Authenticate:SOCKS用户认证定义 Force SOCKS Authenticate:SOCKS强制用户认证定义,强制用户认证将不会被其它策略覆盖选择SOCKS Authenticate,VPM将与ProxySG通讯获取认证域定义信息,如下图示:由下拉式菜单中选
32、择使用的认证域,然后选择OK,完成定义,如下图示:其中,策略定义所有通过SOCKS的访问均需进行用户认证。5.3.7 Web访问控制策略层通过策略层定义菜单,选择Add Web Access Layer,增加Web访问控制策略,如下图示:将生成一条空的访问控制策略,通过Add Rule,Move Up,Move Down等可以定义多个策略,以及改变顺序;每个Web访问控制策略由:Source、Destination、Service、Time和Action五部分组成,缺省为any、any、any、any、DENY,如下图示:Source条件定义在Source栏使用鼠标右键,并选择Set进入Sou
33、rce选择页面,选择New,将列出所有条件选项,如下图示:其中包括各种Source条件定义: Client IP Address/Subnet:客户端IP地址或子网 Client Hostname:客户端主机名 ProxyIP Address/Port:代理用IP地址和端口 User:用户名 Group:用户组名 Attribute:用户在认证域中的属性 User Agent:用户端软件定义(Agent) IM User Agent:用户端IM软件定义 Request Header:用户请求的HTTP头信息 SOCKS Version:用户使用的SOCKS版本 IM User:IM用户名 Cl
34、ient Negotiated Cipher:与HTTPS用户证书相关 Client Negotiated Cipher Strength:与HTTPS用户证书相关 Combined Source Object:以上条件的组合Source用户定义选择User,如下图示:将进入用户定义页面,如下图示:其中,下拉式菜单中可以选择从哪个用户认证域选择用户,选择的用户认证域必须是在用户认证策略层中用来进行用户认证的认证域。如果使用的是Local用户列表认证域,在User中直接输入用户名,并选择OK,完成定义;如果使用的是NTLM或LDAP认证域,将出现用户浏览Browser选项,如下图示:选择Brow
35、ser,将列出认证域中所有用户,以便选择,如下图示:选定用户后,选择OK,并在用户定义页面中再选择OK,完成用户定义,如下图示:如果需对该用户绑定IP地址,在Source栏中,使用鼠标右键,并选择Set/New,选择Combined Source Object,如下图示:进入组合定义页面,如下图示:其中,Source框中显示所有已有的Source条件定义,可以通过New再增加更多的Source条件定义,通过Add按钮可以将Source条件加到组合条件中,组合条件有两个框,两个框中的条件以“AND”方式组合,同一框中的条件以“OR”方式组合,Negate为框中定义取“反”值。上图中,定义用户BC
36、SI2106dufeng和IP地址192.168.1.181组合成绑定关系,选择OK完成组合定义,并在Source条件定义页面中选择该定义,然后选择OK,完成Source条件选择,如下图示:如果将Action栏中定义为ALLOW,则定义了用户和IP地址的绑定上网许可。Source用户端软件(Agent)定义浏览器的低版本都具有一定的安全漏洞,还有一下其它上网软件和“木马”均可以进行互联网访问,定义严格的浏览器类型和版本限制,将有效改善网络安全,在Source选择页面中,New菜单下选择User Agent,如下图示,将列出所有预定义的User Agent种类,可以从中进行选择,如下图示:Des
37、tination条件定义在Destination栏中使用鼠标右键,选择Set,可以进入访问目标定义页面,如下图示,选择New,将列出所有条件定义类型:其中: Destinantion IP/Subnet:目标IP地址或子网 Destination Host/Port:目标主机名及端口 URL:目标URL Category:目标分类 File Extensions:文件扩展名 HTTP MIME Type:HTTP定义的MIME类型 Reponse Code:响应代码 Reponse Header:响应的HTTP头 IM Buddy:与聊天软件相关 IM Chat Room:与聊天软件相关 Co
38、mbined Destination Object:以上条件的组合Destination URL分类定义选择Category,将进入分类定义页面:自定义的分类可以增加到Policy分类中,点中Policy,并选择Add,增加新类型,如下图示:其中,需输入分类名,并选择OK,完成定义,如下图示:选择定义好的类,并选择Edit URLs进行URL编辑页面,如下图示:可以在该页面中加入属于本分类的URL,可以定义URL全名,也可以定义域名等;选择OK完成定义。从分类前面的小框,可以选择该分类,如下图示:选择OK,完成定义。以上分类定义页面也可以通过命令菜单中Configuration中的Edit C
39、ategories进入,如下图示:Destination目标文件扩展名定义在目标选择页面中,New菜单中选择Fiel Extensions,如下图示:将列出所有预设的文件扩展名定义,如下图示:可以通过每条前面的小框选择,可以选择多个,并选择OK完成定义。Destination目标MIME类型定义在目标选择页面中,New菜单中选择HTTP MIME Type,如下图示:将列出所有预设的HTTP MIME类型定义项,如下图示:可以通过每条前面的小框选择,可以选择多个,并选择OK完成定义。Service条件定义在策略的Service栏中使用鼠标右键,并选择Set,如下图示:将进入Service选择页
40、面,如下图示:选择New,将列出所有Service条件类型,包括: Client Protocol:客户端协议类型 Protocol Methods:协议方法 IM File Transfer:IM文件传输 IM Message Text:IM字符信息,可以对聊天的关键字进行过来,需要IM License Streaming Content Type:流媒体内容类型 Combinded Service Object:以上条件组合客户端协议条件定义选择Client Protocol,将出现协议选择菜单,在第一个下拉框中选择协议,如下图示:在第二个下拉框中选择通过主协议的应用协议,例如:主协议为H
41、TTP,可以选择FTP over HTTP,Streaming Over HTTP等,如下图示:时间条件定义在策略的Time栏中使用鼠标右键,并选择Set,如下图示:进入时间条件选择页面,如下图示:选择New,有两个选择: Time:时间段定义 Combined Time Object:时间段组合定义选择Combined Time object,进入组合定义,如下图示:其中,Name可以定义一个名字,如:Work_time,左边大框中将显示,所有可选的时间段定义,选择New,可以生成可选的时间段定义;选择New/Time定义时间段,如下图示:其中:Name定义一个名字,如:Work_time_
42、morning,可以选择本地时钟或国际标准时钟,Enable前面的小框将启动选择的条件,例如:以上定义了周一到周五的8:00-11:30。选择OK完成定义。在选择New可以生成新的时间段定义,如下图:其中定义了周一到周五13:00-17:00。在时间段组合定义页面中,选择Add,将时间段定义加到右边的大框中,右边有两个大框,两个框中的条件为“AND”关系,同一框中的条件为“OR”,如选择以上两个时间段组合为一天的工作时间定义,如下图示:选择OK,完成时间段组合定义,并在时间定义选择页面中,选定时间定义,并选择OK,完成时间条件定义。操作(Action)定义在策略的Action栏中使用鼠标右键,
43、见下图:其中:Allow和Deny为最常用的操作,选择Set可以进入操作选择页面,如下图示:选择New将列出所有可定义的操作,均于特别应用要求相关,请参阅Blue Coat操作手册。其中,Return Exception可以选择不同的Deny模式,如下图示:其中,包括Allow re-authentication操作,即重新认证用户。例如:当使用了将用户名和IP地址绑定策略后,用户从其它IP进行网络访问,将被DENY,同时该DENY将会缓存一段时间(900秒缺省),可以通过以上策略操作的定义,实现这种情况下,让用户用其它用户名上网。5.3.8 管理员用户认证策略层除在Console Acces
44、s中定义的管理用户外,还可以定义指定用户认证域中的用户为管理员,Web Admin Autentication Layer用来定义管理员用户认证的策略,如下图示:选择:Add Admin Authentication Layer,并通过选择Action定义中的用户认证域定义,实现管理员用户认证策略的配置,如下图示:其中,定义了192.168.1.0网段通过AdminAuthenticate1中定义的用户认证域进行管理员用户认证。管理员的访问权限,在Admin Access Layer中控制。5.3.9 管理员用户访问策略层从菜单Policy中选择Add Admin Access Layer,如
45、下图示:在该层策略定义的Action栏中,使用鼠标右键,如下图示:其中: Allow Read-only Access:只读访问 Allow Read/Write Access:可读写访问 Deny:屏蔽 Force Deny:强制屏蔽 None:无操作例如,选择Allow Read-only Access,生成管理员访问控制策略,如下图示:该策略定义了所有用户只有只读权限,Console Access中定义的用户不包括在该控制中。5.3.10 VPM策略的备份和恢复通过Policy/Policy Files页面中,Visual Policy Files页面(如下图示)可以实现VPM配置的备份和恢复。VPM策略需备份两个文件一个VPM-CPL,另一个为VPM-XML,选择页面下方的VPM-CPL和VPM-XML将显示这两个文件,如下图示:其中选择浏览器的Save As可以将它们分别存成文件。使用备份下来的两个文件可以用来恢复VPM配置,才Install VPM From选项中选择Local File,如下图示:并选择Install,将出现本地文件选择页面,选择Browser,将可以选择本地文件,如下图示:选中本地文件,并选择Install即完成配置恢复。