bluecoatsgos培訓(xùn)配置于策略

BlueCoatProxySG

策略及配置ProxySG管理界面Graphicaluserinterface簡介用戶界面生成必要的命令來完成操作分成三個(gè)功能區(qū)StatisticsConfigurationMaintenanceWeb瀏覽器要求支持JREversion1.5.0_15或更新版本Javaenabled最小分辨率1024x768FIPS模式:TLSv1securedconnectionEnabledbydefaultinJRE1.6MustbeenabledinInternetExplorerv6andearlier認(rèn)證認(rèn)證詳細(xì)說明Management終端頭信息StatisticsTabConfigurationTabMaintenanceTabPreview,Revert,andApplySGOS基本配置General配置

設(shè)備名定義

時(shí)鐘定義

配置備份/恢復(fù)

可以修改設(shè)備名序列號不可修改時(shí)鐘設(shè)置顯示UTC時(shí)間顯示本地時(shí)間選擇時(shí)區(qū)中國：＋8啟動NTP對時(shí)對時(shí)間隔立即對時(shí)暫停時(shí)鐘對時(shí)服務(wù)器設(shè)置如果要手動修改時(shí)鐘，必須停止NTP對時(shí)，并暫停時(shí)鐘，然后進(jìn)行修改對時(shí)服務(wù)器設(shè)置對時(shí)服務(wù)器增加修改刪除上移下移盡量使用本地的對時(shí)服務(wù)配置備份及恢復(fù)

選擇配置類型顯示配置選擇配置安裝方式安裝配置選擇配置類型PostSetup：當(dāng)前所有配置，包括從console配置的，和List配置的Brief：所有從console配置的設(shè)置，不包括從List配置的Expanded：最完整的配置，包括系統(tǒng)專用的部分，無法放到其它系統(tǒng)ResultsofConfigurationLoad：上次加載配置的結(jié)果選擇配置安裝方式本地文件方式文本編輯方式配置是以添加方式加入恢復(fù)配置，建議先初始化Network配置

網(wǎng)卡配置路由配置DNS配置高級配置網(wǎng)卡配置

選擇網(wǎng)卡選擇網(wǎng)卡接口部分網(wǎng)卡有多接口IP地址子網(wǎng)掩碼網(wǎng)橋配置網(wǎng)卡接口高級配置網(wǎng)卡接口高級配置接受Inbound連接拒絕Inbound連接

將拒絕用網(wǎng)絡(luò)發(fā)起到該接口的連接，包括管理端口的請求，只有使用多端口時(shí)才選用網(wǎng)口自適應(yīng)手工配置網(wǎng)口參數(shù)雙工/半雙工選擇Speed選擇MAC地址改變?yōu)g覽器提示（在首頁）路由配置

Gateways配置靜態(tài)路由配置RIP配置Gateways配置已有Gateway生成編輯編輯刪除啟動IPForwardingGateway編輯界面：由New和Edit生成Gateway的IP地址分組號越小優(yōu)先級越高，高優(yōu)先級的Gateway全部失效，才選用低優(yōu)先級的權(quán)重：按權(quán)重比例分配負(fù)載靜態(tài)路由配置選擇靜態(tài)路由設(shè)置方式URL本地文件文本編輯安裝顯示路由表顯示源路由設(shè)置文件靜態(tài)路由表是一個(gè)文本文件，每行包含：IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)IP，例如：DNS配置

名字添加查詢已有DNS服務(wù)器設(shè)置生成編輯刪除上移下移Primary/Alternative選擇查問第一個(gè)PrimaryDNSServer返回結(jié)果為IP地址?獲得IP地址Yes查問第一個(gè)AlternateDNSServer是否定義了Alternate?Yes無法解析No返回結(jié)果為域名不存在?NoYes無出錯(cuò)、無應(yīng)答?NoYes返回結(jié)果為IP地址?YesNo按順序查問后面的PrimaryDNSServerNo……SplitDNS的應(yīng)用需使用Primary和AlternateDNSServerDNS服務(wù)器使用次序Services定義

一個(gè)Service將為一種協(xié)議產(chǎn)生一個(gè)偵聽的端口和IP地址Service=Protocol+IP(InterfaceIP,VIP,orAll)+Port+Attribute(s)同一端口上的多個(gè)Service可以生成在不同的IP上Service名代理協(xié)議IP地址SOCKSProxy參數(shù)Intercept/BypassServices定義修改屬性：

Explicit：指定代理

Transparent：透明代理

Authenticate-401：服務(wù)器認(rèn)證響應(yīng)

Send-Client-IP：用ClientIP到源站點(diǎn)取信息，要求網(wǎng)絡(luò)配合策略配置

·

PolicyOptions：策略選項(xiàng)·

PolicyFiles：策略文件，所有策略配置均在系統(tǒng)中對應(yīng)到一個(gè)策略文件，該選項(xiàng)包括對文件方式的配置和備份、恢復(fù)等·

VisualPolicyManager：可視化策略管理器，通過可視化界面配置訪問控制策略Exceptions：修改缺省的出錯(cuò)頁面

策略選項(xiàng)策略執(zhí)行次序（越前面優(yōu)先級越低）上移下移缺省策略設(shè)置跟蹤所有策略執(zhí)行（用于Debugging）HypertextTransferProtocolHTTPoverviewHTTP協(xié)議定義應(yīng)用級協(xié)議，用于信息傳遞、整合超媒體信息不同版本HTTP/0.9HTTP/1.0describedinRFC1945(May1996)HTTP/1.1describedinRFC2616(June1999)HTTP協(xié)議總是Client發(fā)起連接服務(wù)器不能發(fā)起連接HTTPURL["http:""http://"host_name[:port][abs_path["?"query]]Hostname是大小寫無關(guān)的尤其是對基于Unix的服務(wù)器缺省端口80HTTPMessage兩種類型messages請求（Request）應(yīng)答（Response）Message有兩部分HeadersDataRequest方法GET獲取URL指定的信息如果請求的Message包含If-Modified-Since或相似的header，就變?yōu)闂l件請求HEAD和GET相同，但服務(wù)器在應(yīng)答中不返回Message-body部分Request方法POST包括以下功能：將信息發(fā)到服務(wù)器提供數(shù)據(jù)塊，例如：Form的結(jié)果、數(shù)據(jù)處理等通過Append操作擴(kuò)展數(shù)據(jù)庫CONNECT用來動態(tài)切換為Tunnel（例如：SSLtunnelling）應(yīng)答碼成功碼：200OK客戶端出錯(cuò)404PageNotFound服務(wù)器出錯(cuò)500InternalServerErrorHTTP協(xié)議請求

GET/HTTP/1.1 Host: User-Agent:Firefox/1.0 Accept:text/xml應(yīng)答

HTTP/1.x200OK Content-Type:text/html Server:GWS/2.1 Content-Length:1121 Date:Wed,05

Jan200522:09GMT分級的HTTPRequests中間設(shè)備在client和server之間可以有任意數(shù)量的中間設(shè)備方法級的控制

ProtocolHostPortPathQueryFileExtensionurl.scheme=url.host=url.host.regex=url.address=url.domain=url.port=url.path=url.path.regex=url.extension=url.query=url.query.regex=互聯(lián)網(wǎng)代理不僅控制URL還可以控制協(xié)議方法GET請求（區(qū)別）GET/HTTP/1.1HOST:GETHTTP/1.1HOST:PolicyManagementPolicytranslation;defaultpolicy簡介設(shè)置缺省策略設(shè)置全局的安全級別了解VisualPolicyManager管理策略層翻譯使用策略配置ProxySG生成策略缺省策略DenyProxySG的缺省設(shè)置所有代理通訊均被屏蔽Allow允許通過代理的通訊其他策略來屏蔽選定的通訊VisualPolicyManagerVPMPolicy對象觸發(fā)器（Triggerobjects）用來確定Rule是matches還是misses根據(jù)source,destination,service,和time來組織操作（Actionobjects）用來確定如何處理通訊根據(jù)action和track來組織Policy翻譯–Rule#1“屏蔽所有用戶訪問Hacking站點(diǎn)”

Source:ANYDestination:HackingService:ANYTime:ANYAction:DENYTrack:nonePolicy翻譯–Rule#2“員工可以在工作時(shí)間外訪問travel網(wǎng)站”

Source:ANYDestination:TravelService:ANYTime:Mon-Fri;08:00..17:00Action:DENYTrack:nonePolicy翻譯–Rule#3“只允許IT組的用戶使用FTP，工作時(shí)間外所有用戶都允許”

Source:NOT(GroupIT)Destination:ANYService:FTPTime:Mon.-Fri.;08:00..17:00Action:DENYTrack:none完成WebAccess策略VPM–Rules優(yōu)先級VPMPolicyLayersAdminAuthenticationWebAuthenticationAdminAccessWebAccessDNSAccessWebContentSOCKSAuthenticationForwardingSSLInterceptCPLSSLAccessVPM–Layers優(yōu)先級VPMLayerGuards55最佳實(shí)踐Policy構(gòu)成在單獨(dú)的層，表達(dá)單獨(dú)的決定Policy完整性小心使用ALLOWPolicy優(yōu)化只在必須的時(shí)候使用regularexpressions將最可能匹配的Rules放在Layer的前面盡可能使用subnets使用definitions和layerguards56WebFilter配置BCWFLicenseDRTR特性及設(shè)置啟動BCWF根據(jù)分類控制Web訪問最佳實(shí)踐：安全策略建議（1）1）使用策略屏蔽來自這些分類的可執(zhí)行文件：None:在WebPulse體系中還沒有分類的URLs，作為對Malware內(nèi)容的預(yù)防，屏蔽其可執(zhí)行內(nèi)容Adult:很多Malware從搜索引擎開始，成人內(nèi)容的搜索很多返回的是Malware鏈接Open/MixedContent:很多Malware使用開放的內(nèi)容服務(wù)器，例如：，無需屏蔽整個(gè)分類，只要屏蔽可執(zhí)行內(nèi)容OnlineStorage:像OpenContent分類，許多Malware使用在線存儲網(wǎng)站W(wǎng)ebAdvertisements:“垃圾廣告”是增長很快的一個(gè)分類，很容易提供有害代碼Non-viewable:這個(gè)分類試圖跟蹤和分析網(wǎng)絡(luò)服務(wù)，典型地提供“non-viewable”內(nèi)容或小的Javascript，主要目的是跟蹤用戶對網(wǎng)站的訪問WebHosting:很多Malware通過子域名（WebHosting域名生成的免費(fèi)域名）傳播SoftwareDownloads:取決于企業(yè)和用戶的使用，可以在這個(gè)分類中使用一個(gè)允許的域名列表，屏蔽其它的，這個(gè)分類是Malware作者的首要目標(biāo)，因?yàn)镸alware和軟件下載很相似ContentServers:不像OpenContent分類，這個(gè)分類的網(wǎng)站是較大的、可信任網(wǎng)站使用的，通常用來存儲視頻、圖片等，不是可執(zhí)行的內(nèi)容最佳實(shí)踐：安全策略建議（2）2）強(qiáng)烈建議屏蔽這些分類：Phishing,MaliciousSources,MaliciousOutboundData/BotnetsPornography,Extreme:有很多網(wǎng)站包含Malware的內(nèi)容Hacking:大部分和Hacking相關(guān)Gambling:有很多在線賭博的網(wǎng)站都試圖引導(dǎo)你下載一個(gè)Malware客戶端到你的電腦Suspicious:有很多網(wǎng)站會在這個(gè)分類中，很多是Malware或Spam網(wǎng)絡(luò)的一部分Placeholder:通常是“undead”域名，網(wǎng)站實(shí)際上并不“Alive”，成為“searchenginezombies”–很多和Malware網(wǎng)絡(luò)的搜索引擎優(yōu)化相關(guān)聯(lián)PotentiallyUnwantedSoftware:這個(gè)分類包括adware-/spyware-relate和其它MalwareScam/Questionable/Illegal:許多“騙子”網(wǎng)站分類為Questionable,經(jīng)常涉及Malware相關(guān)的活動ProxyAvoidance:如果不屏蔽，上面分類都可能被訪問DynamicDNSHost:使用動態(tài)DNS的網(wǎng)站，這些網(wǎng)站被用作“Phone

Home”數(shù)據(jù)站點(diǎn)，應(yīng)該屏蔽其所有內(nèi)容，不僅僅是可執(zhí)行內(nèi)容最佳實(shí)踐：安全策略建議（3）3）用Reporter看網(wǎng)絡(luò)中Botnet活動的跡象除對“可疑的”分類(Spyware/MalwareSource,Spyware/MalwareEffects,Suspicious,andPhishing)外，以上提到的分類也需要特別看一看。檢查“Unrated/None”的通訊量，作為一個(gè)感染的指示：如果看到大量Unrated的通訊來自網(wǎng)絡(luò)中的計(jì)算機(jī)，很有可能是被感染的機(jī)器試圖連接新的“Phone

Home”域名最佳實(shí)踐：安全策略建議（4）4）很多Bots試圖使用443端口做“Phone

Home”通訊，在策略中做兩個(gè)步驟屏蔽這種通訊確保SSL協(xié)議使用有效證書，建議屏蔽沒有使用合法機(jī)構(gòu)頒發(fā)的有效證書的SSL，而且建議評比所有自簽證書的SSL，如果需要可以使用白名單做例外建議屏蔽所有試圖使用443端口的非SSL通訊，許多Botnets使用自定義的加密方式進(jìn)行通訊，當(dāng)然有許多合法應(yīng)用也在443端口使用自定義的加密方式，需要用白名單做例外最佳實(shí)踐：安全策略建議（5）5）其它建議使用病毒掃描()記日志()參考BluecoatSecurityBlog()ThreatProtection配置68ThreatProtection:WebPulseDownloadstatusmessageformats:Succeeded(Time:YYYY/MM/DDHH:MM:SS)Failed(Time:YYYY/MM/DDHH:MM:SS,Error:XXXXXX)UnknownErrormessagesaretakenfromthecontent-filterCLIoutput:SG#(config)content-filterSG#(configcontent-filter)bluecoatSG#(configbluecoat)view…Downloadlog:…Fetching:

ERROR:Socketconnecterror12369ThreatProtection:Malware(ICAP,ProxyAV)1234簡化ProxyAV配置,Response-Mod71完全External

Servcies/ICAP配置界面MalwareScanningVPMVPM配置可以覆蓋GUI設(shè)置用戶認(rèn)證用戶認(rèn)證基于用戶和用戶分組的策略細(xì)?；膱?bào)告管理提示頁面指定代理用戶認(rèn)證代理用戶認(rèn)證域AuthenticationCache控制不同層次的authenticationcacheCache:credentialsurrogateauthorization(LDAP)AuthenticationCache3個(gè)層次的

cache(5.x以上版本，4.x只有一個(gè)cache):CredentialSurrogateAuthorizationCache每個(gè)認(rèn)證域單獨(dú)定義Cache時(shí)間可調(diào)Cache可以被清除

(在5.x以上版本的statistics中)CredentialCache基本的“認(rèn)證憑證”被記住的時(shí)間基本的“認(rèn)證憑證”是登錄帳號和密碼，即基本類型“口令”（非NTLM和Kerberos等）缺省900秒(15分鐘)在這期間，用戶的“認(rèn)證憑證”是和被緩存的“認(rèn)證憑證”比較如果密碼不匹配，Proxy將到認(rèn)證服務(wù)器重新確認(rèn)(有可能使密碼被修改了)ServerSSO:被緩存的“認(rèn)證憑證”可以轉(zhuǎn)發(fā)到服務(wù)器(命令行命令:server-authentication):僅對基本類型的“認(rèn)證憑證”(ldap,radius,iwawithbasiccredentials)SurrogateCacheSurrogate是指一種指定認(rèn)證用戶的信息在Surrogate的生命期中，用戶的回話不會被要求重新確認(rèn)用戶如果清楚Surrogate

Cache，用戶將被要求重新認(rèn)證兩種主要的surrogates:Ip地址:在TCP會話中的源IP地址Cookie:Proxy設(shè)置的cookieCookie模式只適用于http(https)AuthorizationCache(LDAP)涉及用戶組和屬性僅適用于具有這種概念的認(rèn)證域(例如：Ldap)Proxy將記?。河脩艚M信息屬性值(5.3withLdaprealm)InactivityTimeout沒有活動N分鐘后，自動Log

out用戶Inactivitytimeout策略：用戶認(rèn)證認(rèn)證模式最佳實(shí)踐ProxyChallengeOriginChallengeFormChallengeOriginChallengewithredirectionFormChallengewithredirectionTCPconnectionSurrogateproxyorigin---CookieSurrogate-origin-cookieform-cookieorigin-cookie-redirectform-cookie-redirectIPSurrogateproxy-iporigin-ipform-iporigin-ip-redirectform-ip-redirectReverseProxyTransparentProxyExplicitProxy策略：用戶訪問控制策略：限制用戶同時(shí)登錄的IP數(shù)<Proxy> user.login.count=(2..)user.login.log_out(yes)deny策略：認(rèn)證出錯(cuò)處理SGOS4:如果認(rèn)證或授權(quán)出錯(cuò)：DenySGOS5:缺省Deny能夠定義容忍的出錯(cuò)：AuthenticationerrorsAuthorizationerrors舉例:認(rèn)證服務(wù)器down/unreachable舉例:認(rèn)證服務(wù)器down/unreachable顯示用戶登入狀況訪問控制策略—屏蔽443端口上的非SSL通訊92屏蔽443端口上的非SSL通訊控制嚴(yán)格的企業(yè)網(wǎng)環(huán)境中，采用代理方式上網(wǎng)（HTTP代理），通常僅允許目標(biāo)端口為80和443的互聯(lián)網(wǎng)訪問現(xiàn)代大部分軟件均能通過HTTP代理進(jìn)行互聯(lián)網(wǎng)訪問，但是通常采用HTTP

connect方法，建立HTTPtunnel穿過代理，嚴(yán)格的控制，將僅允許HTTPGET和POST方法（即純HTTP）通過代理，這將屏蔽大部分軟件通過HTTP代理由于HTTPs通訊也采用Connect方法，因此，需要在代理上允許目標(biāo)端口為443的Tunnel訪問，但是，當(dāng)前大量軟件能夠自動檢測并通過443端口的HTTP

tunnel實(shí)現(xiàn)訪問，例如：QQ、淘寶旺旺等Bluecoat

SG的SSL

intercept策略，將目標(biāo)端口為443的通訊根據(jù)HTTPs協(xié)議要求進(jìn)行處理，能夠有效屏蔽非HTTPs通訊通過http

tunnel方式傳輸，但SG采用的SSL

proxy采用了替換SSL證書方式，在企業(yè)沒有合法證書可用時(shí)，客戶端訪問HTTPs將出現(xiàn)很多證書告警本配置在不進(jìn)行SSL

intercept的情況下，屏蔽非SSL的通訊通過HTTPtunnel（目標(biāo)443端口）的訪問93定義WebAccessLayer策略啟動VPM:configuration/policy/VirsualPolicyManager/Launch從Policy菜單建立新的Web

Access層94定義訪問控制Rules允許純HTTP訪問，定義純HTTP：通過Service/Set/New/ClientProtocol/HTTP/PureHTTP允許目標(biāo)端口443訪問，定義目標(biāo)端口443：通過Destination/Set/New/DestinationHost/Port，在彈出窗口中定義Port，無需定義Host屏蔽其它訪問95定義CPLLayer策略從Policy菜單建立新的CPL層注：SGOS6.x可以在VPM中定義CPL策略，以前版本需要通過LocalPolicy定義96定義SSL檢查Rules將以下CPL策略貼到CPLLayer中：<proxy>:443/force_protocol(no):443/force_protocol(no)url.port=443force_protocol(ssl)其中，前面兩條對兩個(gè)域名的443端口訪問不進(jìn)行SSL強(qiáng)制檢查，這個(gè)例外可以允許QQ上網(wǎng)最后一條，對所有目標(biāo)端口為443的訪問強(qiáng)制SSL檢查，非SSL將被屏蔽97附加策略增加SSLInterceptLayer策略DisableSSLintercept增加SSLAccessLayer策略關(guān)閉ServerSSL證書檢查注：這兩個(gè)策略可選配98小節(jié)以上策略配置將允許：HTTPHTTPsQQ聊天其它大部分軟件將被屏蔽，能夠通過純HTTP訪問的應(yīng)用還是能夠進(jìn)行訪問的，那和通過瀏覽器的上網(wǎng)訪問沒有區(qū)別，需要通過URL、Domain、UserAgent等其它HTTP要素進(jìn)行控制?？刂拼笪募螺d控制下載文件大小的方法ProxySG可以控制HTTP大文件下載控制下載文件大小，通過控制HTTP的GET響應(yīng)的Content-Length頭字段來實(shí)現(xiàn)在策略中Content-Length用字符串方式定義需注意：由于增加了傳輸信息，下載文件的大小有可能比實(shí)際文件更大生成一個(gè)WebAccessLayer名字為Limit_download_file_size可選策略定義—Destination--1在Rule的Destination中用鼠標(biāo)右鍵，并選擇New在下拉菜單中選擇：ResponseHeader策略定義—Destination—2ResponseHeader定義窗口中，選擇HeaderName為：Content-Length，在HeaderRegex中定義文件大小。例如：10K以上：^.{5,}30K以上：^.{6,}|^[3-9].{4,}2M以上：^.{8,}|^[2-9].{6,}策略定義—Action指定Action操作Deny或Force

DenyAttackDetect功能

TerminateConnect處理106Bluecoat

SG攻擊檢測功能為減少DDOS攻擊和端口掃描的影響，SG能夠限制從同一個(gè)ClientIP來的并發(fā)連接數(shù)，并對大量出現(xiàn)TCP失敗連接的Client端進(jìn)行屏蔽也可以限制到超載的服務(wù)器的并發(fā)連接數(shù)AttackDetection配置—啟動客戶端連接數(shù)限制SG的攻擊檢測功能只能通過命令行配置：啟動客戶端控制:

enable conft

attack-detection

client enable-limitsAttackDetection配置—顯示配置參數(shù)并發(fā)連接數(shù)限制的顯示：

enable conft

attack-detection

client view限制已啟動客戶端并發(fā)連接數(shù)客戶端連接失敗次數(shù)客戶端警告次數(shù)屏蔽操作解除屏蔽時(shí)間AttackDetection配置—工作方式說明限制已啟動客戶端并發(fā)連接數(shù)客戶端連接失敗次數(shù)客戶端警告次數(shù)屏蔽操作解除屏蔽時(shí)間SG的攻擊檢測包括兩部分，一是根據(jù)客戶端并發(fā)連接，二是根據(jù)失敗連接次數(shù)1）如果一個(gè)客戶端來的連接超過ClientConnectionLimit值，超過的連接將被屏蔽掉2）如果一個(gè)客戶端產(chǎn)生的失敗連接超過Client

Failure

Limit的值，將發(fā)出一次警告，如果警告次數(shù)超過Client

Warning

Limit值，SG將這個(gè)客戶端IP放入黑名單，屏蔽其所有訪問，屏蔽方式根據(jù)BlockedClientaction定義（Drop或Send-RST）第一種情況，當(dāng)客戶端連接降到ClientConnectionLimit以下，新的Client連接將被SG接受第二種情況，則根據(jù)Client

Connection

unblocktime定義的時(shí)間后，將其IP從黑名單中去掉，如果unblock

time定義為Unlimited，將需要管理員人工清除AttackDetection配置—修改配置參數(shù)并發(fā)連接數(shù)限制的修改：

enable conft

attack-detection

client default

[block-action|connection-limit|failure-limit|unblock-time|warning-limit]以上命令修改Attack

Detection的全局配置參數(shù)國內(nèi)運(yùn)用中，connection-limit通常設(shè)置200-300AttackDetection配置—為指定網(wǎng)段修改配置參數(shù)SG允許為指定網(wǎng)段，設(shè)定不同于Default的并發(fā)連接數(shù)限制：

enable conft

attack-detection

client create

/24 edit/24 block-action connection-limit failure-limit unblock-time warning-limit delete/24

（取消定義）AttackDetection配置—顯示黑名單及解鎖因失敗連接數(shù)超過Limits而被屏蔽的IP地址，通過以下命令顯示：

enable conft

attack-detection client

view

client

blocked （顯示并屏蔽IP列表）

view

client

connections（顯示當(dāng)前所有IP并發(fā)連接數(shù)） unblock

<ipaddress> （將指定IP地址從屏蔽列表中解除）Web顯示：

113SG

Exception選項(xiàng)—Terminate

connectionSG對訪問進(jìn)行屏蔽時(shí),將返回出錯(cuò)頁面提示用戶(Exception),這個(gè)功能是缺省設(shè)置部分軟件(包括:一些客戶端插件、來自Internet的掃描軟件等)在被屏蔽時(shí),會不斷發(fā)出試探連接的請求,它們會利用和SG建立的同一個(gè)TCP會話，不斷發(fā)出HTTP請求這種請求由于不需要重建TCP會話，有時(shí)會非常快、非常多，對SG產(chǎn)生很大的壓力Terminate

Connection是SG出錯(cuò)頁面的一個(gè)選項(xiàng)，即定義SG不發(fā)出出錯(cuò)頁面，而是，直接關(guān)閉被屏蔽的TCP會話114SG

Exception選項(xiàng)—Terminate

connection配置TerminateConnection通過SG的CPL（ContentPolicyLanguage）進(jìn)行配置CPL策略通過SG的LocalPolicyFiles（web管理界面Configuration/Policy/PolicyFiles/LocalPolicy）加載，SGOS6在VPM中增加了新的CPLLayer，也可以加載CPL策略以下策略定義，將取消所有報(bào)錯(cuò)頁面，報(bào)錯(cuò)操作均關(guān)閉TCP連接：<Exception>terminate_connection(yes)以下策略對替換特定報(bào)錯(cuò)頁面，使用關(guān)閉TCP連接<exception>exception.id=tcp_errorterminate_connection(yes)以下策略定義對特定網(wǎng)站，使用關(guān)閉TCP連接的報(bào)錯(cuò)方式，注：這里只是定義出錯(cuò)頁面的處理方式，即屏蔽策略是另外定義的。<exception>url.domain=“”terminate_connection(yes)Bluecoat緩存策略設(shè)置（CPL）116Bluecoat緩存特性BluecoatSG具有強(qiáng)大的緩存功能SG緩存缺省已啟動SG緩存在缺省情況下，僅對靜態(tài)的內(nèi)容進(jìn)行緩存，對帶有Cookie、URL中有參數(shù)（帶？）等動態(tài)內(nèi)容不緩存SG的智能算法根據(jù)網(wǎng)站內(nèi)容的變化特征自動確定對象的緩存時(shí)間可以通過策略語言（CPL）對SG的缺省緩存特性進(jìn)行控制，例如：緩存的時(shí)間等對于部分網(wǎng)站通過變換URL的方式進(jìn)行Loadbalance的情況，通過CPL可以定義相同的對象在緩存時(shí)使用相同的URL，從而提高命中率和緩存利用率本說明采用CPL實(shí)現(xiàn)緩存策略的配置117緩存策略通過策略語言（CPL）對SG的缺省緩存特性進(jìn)行控制，例如：緩存的時(shí)間等在CPL中通過<cache>層策略實(shí)現(xiàn)對缺省緩存策略的修改例如：定義對所有圖形、視頻對象（由文件后綴決定）強(qiáng)制緩存2天，策略如下：<cache>condition=video_FileExtensioncachettl(172800)cache(yes)force_cache(yes)condition=image_FileExtensioncachettl(172800)cache(yes)force_cache(yes)defineconditionimage_FileExtensioncacheurl.extension=(jpg,gif,jpeg,bmp)endconditionFileExtensioncachedefineconditionvideo_FileExtensioncacheurl.extension=(rm,mp3,mp4,flv,wma,f4v)endconditionvideo_FileExtensioncache118視頻對象緩存策略的視頻內(nèi)容通過域名播出其中，xxx根據(jù)其loadbalance的結(jié)果分配到不同域名，例如：heb1、heb2、wh等Xxx不同，路徑及文件名一致時(shí)，內(nèi)容也一致針對這種情況，通過以下策略定義，可以實(shí)現(xiàn)將相同的內(nèi)容在SG中緩存為同一對象<proxy>condition=sina_video_requestaction.force_cache_sina(yes)<cache>refresh(no)defineconditionsina_video_requestcondition=video_FileExtensioncacheEnddefineactionforce_cache_sinarewrite(url,"http://(.*)\.dhot\.v\.iask\/(.*)$","$(2)",cache)end119CPL策略安裝（1）CPL通過SGWeb管理界面，configuration/Policy/Policyfiles/Localpolicyfile，如下圖示：選擇TextEditor點(diǎn)擊Install，進(jìn)入策略編輯彈出窗口見下頁120CPL策略安裝（2）在彈出窗口中編輯CPL策略，如下圖示：編輯策略點(diǎn)擊Install，加載策略注：策略安裝是覆蓋式的，原有CPL策略將被覆蓋121緩存策略-CPLCPL策略是按層定義的，綜合以上說明的策略，可以定義在一個(gè)CPL中（如下），并通過LocalPolic