McAfee Web Gateway 7.7 · 最佳实践 - 配置 FTP over HTTP .....103 配置自己的 FTP 凭据以进行匿名登录.....103

产品手册修订版 A

McAfee Web Gateway 7.7.2

版权所有版权所有 © 2017 McAfee LLC

商标归属McAfee 及其徽标、迈克菲主动保护、ePolicy Orchestrator、McAfee ePO、Foundstone、McAfee LiveSafe、McAfee 快速清理器、McAfee SECURE、SecureOS、迈克菲文件粉碎机、SiteAdvisor、McAfee Stinger、TrustedSource、VirusScan 等是 McAfee LLC 或其子公司在美国和其他国家/地区的商标。其他商标和品牌可能为其他实体所有。

许可信息

许可协议用户注意：请仔细阅读适用于您购买的许可的法律协议，协议规定了许可软件使用的一般性条款和条件。如您不清楚您购买的许可类型，请查阅销售及其他相关的授权或订购单文档，此类文档附随于您购买的软件包或作为产品的一部分由您单独接收（作为手册、产品 CD 中的一个文件，或您下载软件包的网站上提供的一个文件）。如您不同意本协议中规定的所有条款，您不得安装本软件。如适用，请将本产品退还至 McAfee 或购买地，以完成全款退还。

2 McAfee Web Gateway 7.7.2 产品手册

目录

前言 15关于本手册 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

读者 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15约定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15本手册的内容 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15查找产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

1 简介 17Web Protection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17过滤 Web 通讯 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17设备的主要功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18设备的主要组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19设备部署 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2 用户界面 21用户界面上的主要元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21支持性配置功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23不使用用户界面管理 Web Gateway . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24

3 系统配置 25初始设置的系统设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25初始设置之后的系统配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26Appliances（装置）选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26系统设置概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27系统设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

Date and Time（日期和时间）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . 28File Server（文件服务器）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 29License（许可证）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30Network Interfaces（网络接口）设置 . . . . . . . . . . . . . . . . . . . . . . . . . 31网络保护设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35端口转发设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36Static Routes（静态路由）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 37遥测设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39Tenant Info（租户信息）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40User Interface（用户界面）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

网络接口绑定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44配置网络接口绑定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 44检查绑定配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45

基于来源的路由 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46配置管理网络接口的基于来源的路由 . . . . . . . . . . . . . . . . . . . . . . . . . 47

缓存容量大小重整 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48系统文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49文件编辑器选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49更新处理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

手动更新数据库信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

McAfee Web Gateway 7.7.2 产品手册 3

计划自动更新引擎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51已关闭网络中的更新 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

更新已关闭网络中的设备 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

4 代理 53配置代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54显式代理模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

配置显式代理模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55Transparent Proxy（透明代理）设置 . . . . . . . . . . . . . . . . . . . . . . . . . 55代理 HA 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61

最佳实践－配置代理 HA 模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62配置代理 HA 模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 63解决代理 HA 配置中的问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

最佳实践 - 高可用性配置大小限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65最佳实践 - 使用 WCCP 配置显式代理模式 . . . . . . . . . . . . . . . . . . . . . . . . . . 66

配置使用 WCCP 协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67WCCP 服务的设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67对 WCCP 相关问题的故障排除 . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

透明路由器模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70配置透明路由器模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70在透明路由器模式下配置节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . 71透明路由器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73

透明网桥模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74配置透明网桥模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75在透明网桥模式下配置节点 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75最佳实践 - 微调透明网桥配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 78透明网桥设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

数据包大小处理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81配置服务器，以进行 ICAP 通信 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81加密 ICAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82SOCKS 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

配置 SOCKS 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83在 SOCKS 代理的规则中使用属性和事件 . . . . . . . . . . . . . . . . . . . . . . . 83配置 SOCKS 代理设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84在 SOCKS 下使用 UDP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84SOCKS Proxy 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85

即时消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85XMPP 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88配置通用代理设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89代理设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

“Network Setup”（网络设置） . . . . . . . . . . . . . . . . . . . . . . . . . . . 89HTTP Proxy（HTTP 代理） . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89FTP Proxy（FTP 代理） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90ICAP Server（ICAP 服务器） . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92TCP 代理服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93IFP Proxy（IFP 代理） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93SOCKS Proxy（SOCKS 代理） . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Data Exchange Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94Web Cache（网页缓存） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95Timeouts for HTTP(S), FTP, ICAP, SOCKS, and UDP（HTTP(S)、FTP、ICAP、SOCKS 和 UDP 的超时） . . 95DNS Settings（DNS 设置） . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96XMPP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96Advanced Settings（高级设置） . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Periodic Rule Engine Trigger List（定期规则引擎触发列表） . . . . . . . . . . . . . . . . . 100

控制出站源 IP 地址 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101配置出站来源 IP 地址的控制 . . . . . . . . . . . . . . . . . . . . . . . . . . . 102

目录


最佳实践 - 配置 FTP over HTTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103配置自己的 FTP 凭据以进行匿名登录 . . . . . . . . . . . . . . . . . . . . . . . . 103对 FTP over HTTP 引发的浏览器问题进行故障排除 . . . . . . . . . . . . . . . . . . . . 104

使用 WCCP 重定向 FTP 流量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105为重定向 FTP 流量配置 WCCP 的使用 . . . . . . . . . . . . . . . . . . . . . . . . 106

针对 FTP 登录使用 Raptor 语法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 106节点通信协议 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107按域使用 DNS 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

配置按域使用 DNS 服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108域名服务设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108

使用 DXL 消息交换网络安全信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110最佳实践 - 使用 user-agent 报头 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110

创建用于处理 user-agent 报头的规则 . . . . . . . . . . . . . . . . . . . . . . . . . 112针对 Office 365 和其他 Microsoft 服务的绕过 . . . . . . . . . . . . . . . . . . . . . . . . . 114

用于 Microsoft 服务绕过的关键元素 . . . . . . . . . . . . . . . . . . . . . . . . . 114Bypass Microsoft (Office 365) Services 规则集 . . . . . . . . . . . . . . . . . . . . . . 115

反向 HTTPS 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116在透明网桥或路由器模式中重定向 HTTPS 通讯 . . . . . . . . . . . . . . . . . . . . . 116让设备侦听 DNS 条目重定向的请求 . . . . . . . . . . . . . . . . . . . . . . . . . 117反向 HTTPS 代理配置中的 SSL 证书 . . . . . . . . . . . . . . . . . . . . . . . . 118完成反向 HTTPS 代理配置的可选活动 . . . . . . . . . . . . . . . . . . . . . . . . 121

代理自动配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127使 .pac 文件可用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127创建下载 wpad.dat 文件的规则 . . . . . . . . . . . . . . . . . . . . . . . . . . 128配置 wpad 主机的自动检测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128

使用 Helix 代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 128配置 Helix 代理的使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129

5 集中管理 131集中管理配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131配置集中管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133向集中管理群集添加装置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134

导入群集 CA 及其私钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134生成群集 CA 及其私钥 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135

分配节点至节点组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136分配节点至运行时组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137分配节点至更新组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137分配节点至网络组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 137

最佳实践 - 配置集中管理节点组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138验证节点同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140替换群集证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

创建群集证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141在群集中分发证书 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142

创建租户 ID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 142添加计划作业 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143更新集中管理配置中的设备软件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144Central Management（集中管理）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 144

6 策略配置 155配置网络安全策略 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 155网络安全和规则集的字段 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156

默认规则集涵盖的网络安全字段 . . . . . . . . . . . . . . . . . . . . . . . . . . 156库规则集涵盖的策略字段 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157

访问规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 157Rule Sets（规则集）选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 158规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160

目录


规则集系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160规则集库 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 161规则集视图 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162

过滤进程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166过滤周期 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167处理流程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 167

策略配置中的常用任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168配置规则元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 168针对云使用启用规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 170

7 完整规则 171规则元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 171规则在用户界面上的格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172文档文本中的规则表示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173创建规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174

命名与规则启用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175添加规则标准 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175添加规则操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177添加规则事件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 177

创建规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178导入规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 179限制对规则集的访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180

8 列表 181列表类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181列表选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183访问列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

在列表选项卡上访问列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185在规则中访问列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185

创建列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185添加新列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186在列表中填入条目 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186

处理不同类型的列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 187将通配符表达式添加到 URL 全局白名单 . . . . . . . . . . . . . . . . . . . . . . . 187将 URL 类别添加到阻止列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . 188将媒体类型添加到媒体类型过滤器列表 . . . . . . . . . . . . . . . . . . . . . . . . 188

外部列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189规则中外部列表数据的使用 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190替换和占位符 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 190配置外部列表模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 191External Lists（外部列表）模块设置 . . . . . . . . . . . . . . . . . . . . . . . . . 191为外部列表配置常规设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196外部列表系统设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 196

所订购列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 197创建订购列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 198所订购列表的内容设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199更新订购的列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 199为客户维护的列表创建内容文件 . . . . . . . . . . . . . . . . . . . . . . . . . . 200最佳实践：使用 McAfee 提供的订购列表 . . . . . . . . . . . . . . . . . . . . . . . 201

映射类型列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203创建映射类型列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 203使用属性以操作映射类型列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . 204从外部列表和订购的列表检索映射数据 . . . . . . . . . . . . . . . . . . . . . . . . 204

通用目录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 205准备使用通用目录列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 206为常用目录列表设置用户帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . 206

目录


为通用目录列表设置管理员帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . 206为通用目录列表启用 REST 界面 . . . . . . . . . . . . . . . . . . . . . . . . . . 207在 McAfee ePO 服务器上注册 Web Gateway 的示例设置 . . . . . . . . . . . . . . . . . . 207

JavaScript Object Notation 数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 208

9 设置 213设置类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213设置选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 214访问设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215

在设置选项卡上访问操作和模块设置 . . . . . . . . . . . . . . . . . . . . . . . . 215在规则中访问操作和模块设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 216访问系统设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

创建操作和模块设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216

10 Web 过滤 219防恶意软件过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219

防恶意软件过滤进程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220Gateway Anti-Malware 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . 221Anti-Malware 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224更改用于扫描 Web 对象的模块组合 . . . . . . . . . . . . . . . . . . . . . . . . . 226使用 URL 信息进行防恶意软件过滤 . . . . . . . . . . . . . . . . . . . . . . . . . 227集成 TIE 服务器信息与防恶意软件过滤 . . . . . . . . . . . . . . . . . . . . . . . . 228处理缺少主机报头的情况 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233媒体流扫描 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235防恶意软件队列 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236

URL 过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 237配置 URL 过滤的关键元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238URL 过滤的关键元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238使用完整规则视图配置 URL 过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . 239配置 URL Filter 模块的设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240URL 过滤设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 240最佳实践－使用 URL 属性将 Web 对象列入白名单 . . . . . . . . . . . . . . . . . . . 243URL 过滤规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248使用 Dynamic Content Classifier 进行 URL 过滤 . . . . . . . . . . . . . . . . . . . . . 249使用您自己的 URL 过滤器数据库 . . . . . . . . . . . . . . . . . . . . . . . . . . 250使用 IFP 代理进行 URL 过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . 251

媒体类型过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 255配置媒体类型过滤的关键元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . 256媒体类型过滤的关键元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 256使用完整规则视图配置媒体类型过滤 . . . . . . . . . . . . . . . . . . . . . . . . . 257用于媒体类型过滤的属性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 257修改媒体类型过滤规则 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 258媒体类型过滤规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259

应用程序过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 260配置应用程序过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262创建应用程序过滤列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 262修改应用程序过滤规则中的风险级别 . . . . . . . . . . . . . . . . . . . . . . . . . 263应用程序控制规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 264

流媒体过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 265配置流媒体过滤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267配置流媒体检测模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 267最佳实践－配置流检测程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . 267流检测程序设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 268

全局白名单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269配置全局白名单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269全局白名单规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270

目录


SSL 扫描 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270配置 SSL 扫描 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 271配置 SSL 扫描模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 272替换默认的根证书颁发机构 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273客户端证书列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274使用 AIA 条目进行证书下载 . . . . . . . . . . . . . . . . . . . . . . . . . . . 276将轻触的 SSL 流量发送到监控设备 . . . . . . . . . . . . . . . . . . . . . . . . . 277SSL 扫描程序设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279SSL Client Context with CA（SSL 客户端上下文(含 CA)）设置 . . . . . . . . . . . . . . . . 279SSL Client Context without CA（SSL 客户端上下文(不含 CA)）设置 . . . . . . . . . . . . . . 281证书链设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283SSL 扫描程序规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 283

Hardware Security Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288使用硬件安全模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289硬件安全模块上的密钥处理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290使用硬件安全模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290Hardware Security Module（硬件安全模块）设置 . . . . . . . . . . . . . . . . . . . . . 295

Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297使用 Advanced Threat Defense 的工作流 . . . . . . . . . . . . . . . . . . . . . . . . 298Advanced Threat Defense 执行额外扫描的标准 . . . . . . . . . . . . . . . . . . . . . . 299使用 Advanced Threat Defense 的配置元素 . . . . . . . . . . . . . . . . . . . . . . . 299使用现有的 Advanced Threat Defense 扫描报告 . . . . . . . . . . . . . . . . . . . . . 300使用进行中的 Advanced Threat Defense 扫描运行 . . . . . . . . . . . . . . . . . . . . 302限制由 Advanced Threat Defense 扫描的对象大小 . . . . . . . . . . . . . . . . . . . . . 302配置使用 Advanced Threat Defense . . . . . . . . . . . . . . . . . . . . . . . . . 303配置使用 Advanced Threat Defense 的关键元素 . . . . . . . . . . . . . . . . . . . . . 305使用 Advanced Threat Defense 的关键元素 . . . . . . . . . . . . . . . . . . . . . . . 305配置使用 Advanced Threat Defense 的设置 . . . . . . . . . . . . . . . . . . . . . . . 306监视 Advanced Threat Defense 的使用 . . . . . . . . . . . . . . . . . . . . . . . . . 306Gateway ATD 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 308McAfee Advanced Threat Defense 规则集 . . . . . . . . . . . . . . . . . . . . . . . . 310ATD - Offline Scanning with Immediate File Availability 规则集 . . . . . . . . . . . . . . . . 310

数据丢失防护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312配置 Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . . . . . . 315使用默认分类配置 Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . 316使用字典条目配置 Data Loss Prevention . . . . . . . . . . . . . . . . . . . . . . . 316数据丢失防护（分类）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 317数据丢失防护（字典）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318数据丢失防护规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 319使用 ICAP 服务器防止数据丢失 . . . . . . . . . . . . . . . . . . . . . . . . . . 321

11 身份验证 323验证用户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323配置身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324配置身份验证模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 325身份验证设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326实施其他身份验证方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334使用系统设置配置身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335

“Kerberos 管理”设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335将设备加入 Windows 域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336Windows 域成员设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336

NTLM Agent 身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337配置 NTLM Agent 身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337NTLM Agent 设置 (NTLM Agent) . . . . . . . . . . . . . . . . . . . . . . . . . . 338NTLM Agent 特定参数 (Web Gateway) . . . . . . . . . . . . . . . . . . . . . . . . 339

LDAP 摘要身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340

目录


最佳实践－为部署类型配置身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . 341显式代理模式的身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 342透明模式的身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 344WCCP 显式代理模式的身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . 346

最佳实践 - 配置 LDAP 身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347配置用于用户身份验证的 LDAP 方法 . . . . . . . . . . . . . . . . . . . . . . . . 348配置 LDAP 身份验证方法的设置 . . . . . . . . . . . . . . . . . . . . . . . . . . 349配置用户和组属性的查询 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350将属性存储在独立的属性中 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 351存储原始用户名称以供日志记录之用 . . . . . . . . . . . . . . . . . . . . . . . . . 352对 LDAP 身份验证进行测试和故障排除 . . . . . . . . . . . . . . . . . . . . . . . 353

即时消息身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 355配置即时消息身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 356为即时消息身份验证配置身份验证模块 . . . . . . . . . . . . . . . . . . . . . . . . 356为即时消息身份验证配置文件系统日志记录模块 . . . . . . . . . . . . . . . . . . . . 357即时消息身份验证规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357

一次性密码 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359配置一次性密码以验证用户身份 . . . . . . . . . . . . . . . . . . . . . . . . . . 360配置一次性密码用于授权替代 . . . . . . . . . . . . . . . . . . . . . . . . . . . 360配置一次性密码的设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360身份验证服务器（使用一次性密码进行基于时间/IP 的会话）规则集 . . . . . . . . . . . . . . 361使用一次性密码授权替代规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . 363身份验证服务器（使用一次性密码和 Pledge 进行基于时间/IP 的会话）规则集 . . . . . . . . . . 365使用一次性密码和 Pledge 授权替代规则集 . . . . . . . . . . . . . . . . . . . . . . . 367

客户端证书身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 368用于客户端证书身份验证的证书的使用 . . . . . . . . . . . . . . . . . . . . . . . . 369用于客户端证书身份验证的规则集 . . . . . . . . . . . . . . . . . . . . . . . . . 369将请求重定向至身份验证服务器 . . . . . . . . . . . . . . . . . . . . . . . . . . 370实施客户端证书身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 371导入“身份验证服务器”（针对 X509 的身份验证）规则集。 . . . . . . . . . . . . . . . . 371修改规则集以配置服务器证书的使用 . . . . . . . . . . . . . . . . . . . . . . . . 371修改规则集以配置证书颁发机构的使用 . . . . . . . . . . . . . . . . . . . . . . . . 372为设备上的传入请求配置侦听程序端口 . . . . . . . . . . . . . . . . . . . . . . . . 373导入“Cookie 身份验证”（针对 X509 的身份验证）规则集。 . . . . . . . . . . . . . . . 374修改规则集以更改所传入请求的侦听端口 . . . . . . . . . . . . . . . . . . . . . . . 374将客户端证书导入浏览器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 375

管理员帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376添加管理员帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 376编辑管理员帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377删除管理员帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377管理员帐户设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 377管理管理员角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378管理员角色设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 378配置外部帐户管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 379

12 配额管理 381强制执行 Web 使用配额及其他限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381时间配额 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 383

配置时间配额 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384时间配额设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 384时间配额规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 385

流量配额 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 386配置流量配额 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387流量配额设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 387流量配额规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 388

指导 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390

目录


配置指导 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390指导设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391指导规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391

授权覆盖 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 392配置授权覆盖 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393授权覆盖设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393授权覆盖规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393

阻止会话 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395配置阻止会话 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395阻止会话设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 395阻止会话规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

配额系统设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396

13 用户消息 399向用户发送消息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 399编辑用户消息的文本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401验证设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 401阻止设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 402重定向设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403Templates（模板）选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404Template Editor（模板编辑器） . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 404修改阻止页面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407

修改阻止页面的各个部分 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 407修改阻止页面的页脚 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 408修改阻止页面中与问题相关的部分 . . . . . . . . . . . . . . . . . . . . . . . . . 409更改阻止页面上的徽标 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 409更改阻止页面上的背景栏颜色 . . . . . . . . . . . . . . . . . . . . . . . . . . . 410

14 支持功能 411支持网站过滤的功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411Web 缓存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411

验证是否已启用 Web 缓存 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 411Web 缓存规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 412

进度指示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 413配置进度指示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414配置进度指示模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 414进度页面设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 415数据低速传递设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 416最佳实践：使用进度指示方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . 416进度指示规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 419

文件打开 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420文件打开进程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 420用于文件打开的格式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421Composite Opener 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421Enable Opener 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 421

带宽限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 422基本带宽调节 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423使用分类的带宽调节 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 425

下一跃点代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 429下一跃点代理模式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 430配置下一跃点代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432在列表中添加下一跃点代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432配置下一跃点代理模块 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432配置下一跃点代理粘性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433SOCKS 流量的下一跃点代理 . . . . . . . . . . . . . . . . . . . . . . . . . . . 433最佳实践 - 下一跃点代理问题的故障排除 . . . . . . . . . . . . . . . . . . . . . . . 436

目录


下一跃点代理设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439添加下一跃点代理服务器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 439Protocol Detector（协议检测器）设置 . . . . . . . . . . . . . . . . . . . . . . . . . 440下一跃点代理规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441

15 云单点登录 443如何配置云单点登录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444导出和导入 SSO 规则集时的注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . 445代理和非代理模式下的 SSO 进程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445支持的身份验证方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447受支持云服务的 SSO Catalog（SSO 目录） . . . . . . . . . . . . . . . . . . . . . . . . . . 447

查看 SSO Catalog（SSO 目录） . . . . . . . . . . . . . . . . . . . . . . . . . . . 448用户界面中的 SSO Catalog（SSO 目录） . . . . . . . . . . . . . . . . . . . . . . . 448SSO Catalog（SSO 目录）即服务 . . . . . . . . . . . . . . . . . . . . . . . . . . 449通用与个别连接器模板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450使用模板配置自定义云连接器 . . . . . . . . . . . . . . . . . . . . . . . . . . . 450删除自定义云连接器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 451查找有关最新 SSO 更新的信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . 451

SSO Connector（SSO 连接器）列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 452通过 SSO Connector（SSO 连接器）列表配置云访问 . . . . . . . . . . . . . . . . . . . 452在 SSO Connector（SSO 连接器）列表中添加云连接器 . . . . . . . . . . . . . . . . . . 452

为 HTTP 云应用程序提供 SSO 服务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453HTTP 云应用程序的 SSO 凭据模型 . . . . . . . . . . . . . . . . . . . . . . . . . 453配置 HTTP 云连接器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453配置通用 HTTP 云连接器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 454Generic HTTP Connector 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 455

提供适用于 SAML 2.0 云应用程序的 SSO 服务 . . . . . . . . . . . . . . . . . . . . . . . . 457如何启动 SAML 单点登录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 457SAML 单点登录的证书管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459配置 SAML2 云连接器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460SAML2 连接器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 460配置通用 SAML2 云连接器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 461通用 SAML2 连接器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 462配置 SAML 单点登录的外部数据源 . . . . . . . . . . . . . . . . . . . . . . . . . 465

使用外部身份提供商的 SAML 身份验证 . . . . . . . . . . . . . . . . . . . . . . . . . . 467使用外部身份提供商的 SAML 身份验证过程 . . . . . . . . . . . . . . . . . . . . . . 468Web Gateway 如何支持静态 ACS URL . . . . . . . . . . . . . . . . . . . . . . . . 468高级配置任务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 469验证 SAML 身份验证响应 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 473Cookie authentication with SAML back end and fixed ACS URL — 规则集 . . . . . . . . . . . . . 473

提供适用于 .NET 和 Java 网络应用程序的 SSO 服务 . . . . . . . . . . . . . . . . . . . . . . 479配置通用 IceToken 云连接器 . . . . . . . . . . . . . . . . . . . . . . . . . . . 479通用 IceToken 连接器设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 480

最终用户如何使用应用程序启动台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 481自定义应用程序启动台 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 482

编辑 Launchpad.html 文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 483编辑默认启动台样式表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484导入自定义启动台样式表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 484提供启动台的自定义徽标 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485

为组织创建云服务书签 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 485在信息显示板上监控云服务的登录情况 . . . . . . . . . . . . . . . . . . . . . . . . . . . 486Single Sign On 规则集摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486配置云单点登录的关键元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 487Single Sign On 规则集参考 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489

Select Services 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 489HTTPS Handling 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 492

目录


Launchpad 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 493OTP Authentication 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 494Get Login Action 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 496Process Common Tasks 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . 499Perform SSO 规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500

Single Sign On（单点登录）列表和设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 500单点登录列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 500Single Sign On 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 502SSO 证书和私钥设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503

SSO 日志记录概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505启用 SSO 日志记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 505SSO Log 规则集参考 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 506

解决 SSO 问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 510

16 云存储加密 513加密和解密云存储数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 513配置云存储数据的加密和解密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 515配置加密和解密数据的设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516云存储加密设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516云存储加密支持设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 516手动解密云存储数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517云存储加密规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 517

17 混合解决方案 519内部部署和远程网络访问 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519混合解决方案的组件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 519混合解决方案的工作原理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 520配置身份验证的注意事项 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522为何有些规则受限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 522管理混合解决方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523

确定云中不支持的规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523启用混合同步的规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 523配置和启用混合解决方案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524确认策略同步已成功 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 524手动执行同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525混合设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 525

相关产品文档 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 526

18 监控 527信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 527

访问信息显示板 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528警报选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 528图表选项卡 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 531

日志记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 539管理日志记录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540查看日志文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540日志文件类型 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 540配置日志文件设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 541Log File Manager（日志文件管理器）设置 . . . . . . . . . . . . . . . . . . . . . . . 542文件系统日志记录设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546Syslog 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 546创建日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547创建日志处理程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 547日志记录规则的元素 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 548最佳实践－添加日志文件字段 . . . . . . . . . . . . . . . . . . . . . . . . . . . 548最佳实践－创建日志 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 550

目录


访问日志规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 554所发现病毒日志规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 555

错误处理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556使用错误 ID 处理错误 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556使用事件信息处理错误 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 556配置错误处理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557查看错误处理规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 557最佳实践 - 使用 Error Handler . . . . . . . . . . . . . . . . . . . . . . . . . . . 558默认错误处理程序规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 560

性能度量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 566查看性能信息 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567配置性能度量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 567在规则中使用属性记录性能信息 . . . . . . . . . . . . . . . . . . . . . . . . . . 568在规则中使用事件计算规则集处理时间 . . . . . . . . . . . . . . . . . . . . . . . . 569

使用 SNMP 进行事件监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570配置 SNMP 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570SNMP 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 570

传输数据进行 McAfee ePO 监控 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573配置 ePolicy Orchestrator 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . 573ePolicy Orchestrator 设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 573绕过 ePO 请求规则集 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 574

最佳实践：监控文件系统使用率 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 575文件系统使用问题故障排除 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 577

最佳实践 - 向 syslog 服务器发送访问日志数据 . . . . . . . . . . . . . . . . . . . . . . . . 578添加规则以发送访问日志数据 . . . . . . . . . . . . . . . . . . . . . . . . . . . 579调整 rsyslog.conf 系统文件以发送访问日志数据 . . . . . . . . . . . . . . . . . . . . . 579解决发送访问日志数据的问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . 581

最佳实践：在 TLS 保护的情况下使用 syslog 数据 . . . . . . . . . . . . . . . . . . . . . . . 581在 TLS 保护的情况下使用 syslog 数据的顶层步骤 . . . . . . . . . . . . . . . . . . . . 581准备使用 TLS 保护的 syslog 数据 . . . . . . . . . . . . . . . . . . . . . . . . . . 582配置 syslog 服务器，以接收 TLS 保护的数据 . . . . . . . . . . . . . . . . . . . . . 582配置 syslog 客户端，以发送 TLS 保护的数据 . . . . . . . . . . . . . . . . . . . . . 583

将 syslog 数据发送到 McAfee Enterprise Security Manager . . . . . . . . . . . . . . . . . . . . . 584配置 syslog 数据的发送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 584为数据传输修改 rsyslog 系统文件 . . . . . . . . . . . . . . . . . . . . . . . . . . 585微调 syslog 数据的收集和评估 . . . . . . . . . . . . . . . . . . . . . . . . . . . 585解决 syslog 数据的传输问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 587

19 故障排除 589故障排除方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 589规则跟踪 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 590

使用规则跟踪调试规则处理问题 . . . . . . . . . . . . . . . . . . . . . . . . . . 591规则跟踪窗格 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 592使用规则跟踪找出请求被阻止的原因 . . . . . . . . . . . . . . . . . . . . . . . . . 597最佳实践 - 找出网页不显示图像的原因 . . . . . . . . . . . . . . . . . . . . . . . . 599将已移除的规则跟踪还原到规则跟踪窗格 . . . . . . . . . . . . . . . . . . . . . . . 600删除规则跟踪 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601

创建反馈文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601启用内核文件创建功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 601启用连接跟踪文件创建功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602创建数据包跟踪文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602使用系统及网络工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 602重新启动操作系统的服务 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 603显示运行中的 AV 线程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604备份和还原设备的配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 604重置装置密码 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605

目录


Troubleshooting（故障排除）设置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 605

A 配置列表 607操作列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 607阻止原因 ID 列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 608错误 ID 列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 609事件列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 614事件 ID 列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 624属性列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 630

属性 - A . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 631属性 - B . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 635属性 - C . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 638属性 - D . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 641属性 - E . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 645属性 - F . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647属性 - G . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647属性 - H . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 647属性 - I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 649属性 - J . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 653属性 - L . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 655属性 - M . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 667属性 - N . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 669属性 - P . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 670属性 – Q . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 674属性 - R . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 679属性 - S . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 680属性 - T . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 689属性 - U . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 690属性 - W . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695

统计信息计数器列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 695通配符表达式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 698

测试通配符表达式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699重要的特殊 glob 字符列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 699重要的特殊 regex 字符列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 700

B REST 界面 705使用 REST 界面的准备工作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705

启用界面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 705授权访问界面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706

使用 REST 界面 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 706将 curl 用作数据传输工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 707界面验证 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 708请求资源 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 709执行基本活动 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 710对个别设备执行操作 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 711使用系统文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713使用日志文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 713使用为进行故障排除而上载的文件 . . . . . . . . . . . . . . . . . . . . . . . . . 714使用列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 715

使用 REST 界面的示例脚本 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 719

C 第三方软件 723第三方软件列表 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 723

索引 731

目录


前言

本手册将提供使用 McAfee 产品所需的信息。

关于本手册下文介绍本手册的目标读者、使用的印刷约定和图标以及组织结构。

读者McAfee 的所有文档均针对目标读者进行了深入研究和精雕细琢。

本手册中的信息主要供以下读者使用：

• 管理员 — 实施公司安全计划的人员。

约定本手册使用下列印刷约定和图标。

“书名”、术语、强调手册、章节或主题的标题；新术语；强调。

粗体着重强调的文本。

用户输入、代码、消息用户键入的命令和其他文本；代码示例；显示的消息。

“界面文字” 产品界面文字，比如选项、菜单、按钮和对话框。

超文本（蓝色）指向某个主题或外部网站的链接。

附注：附加信息，例如访问某个选项的另一种方法。

提示：意见和建议。

重要事项/注意：保护计算机系统、软件安装、网络、企业或数据的有用建议。

警告：在使用硬件产品时，保护用户免受人身伤害的重要建议。

本手册的内容本手册的组织方式有助于查找管理 Web Gateway 所需的信息。

提供主要功能、部署选项和系统体系结构的概述后，本手册将告知您如何：

• 将 Web Gateway 装置系统集成到网络中

• 在 Web Gateway 上实施规则以对您的网络强制实施网络安全策略

• 执行监控和故障排除措施

附录中列出了一些重要的配置元素，例如操作、事件和属性。


查找产品文档在“ServicePortal”中，您可以查找有关已发布的产品的信息，包括产品文档、技术文章等。

任务

1 转至 “ServicePortal” (http://support.mcafee.com)，然后单击“知识中心”选项卡。

2 在“知识库”窗格的“内容来源”下，单击“产品文档”。

3 选择产品和版本，然后单击“搜索”以显示文档列表。

前言关于本手册


https://support.mcafee.com

1 简介McAfee

®

Web Gateway (Web Gateway) 可保护组织的内部网络抵御用户从网络内部访问 Web 时出现的威胁，还可确保监管合规性，提供高效的工作环境。

目录

Web Protection 过滤 Web 通讯设备的主要功能设备的主要组件设备部署

Web ProtectionWeb Gateway 是 McAfee

®

Web Protection (Web Protection) 集成解决方案的一部分。此解决方案可抵御当贵组织用户从本地网络内部或外部访问 Web 时出现的威胁。

从本地网络内部访问 Web 的用户通常称为内部用户。如果组织用户使用未连接到此网络的系统，便属于外部访问，例如旅行中或在家办公。这类用户通常称为云用户。

McAfee®

Web Gateway Cloud Service (McAfee®

WGCS) 是用于保护云用户 Web 使用的解决方案的一部分。

作为集成解决方案，Web Protection 允许您为内部和云用户使用的网络访问强制实施同一项安全策略。

过滤 Web 通讯 Web Gateway 装置作为网关安装，用于将您的网络连接到 Web，以及对传出和传入的流量进行过滤。

按照实施的网络安全规则，它会过滤用户从您的网络内部发送至网站的请求以及从网站发回的响应。同时还会过滤随请

求或响应一起发送的内嵌对象。

1


系统会阻止恶意内容和不良内容，只允许有用的内容通过。

图 1-1 过滤 Web 通讯

1 – 您的网络 2 – Web Gateway 3 – 网站

向网站发出请求。过滤请求和响应。向您的网络发送响应。

设备的主要功能过滤 Web 通讯是个复杂的过程。设备的主要功能体现在以下几个方面。

截取 Web 通讯这是对 Web 对象或用户进行任何过滤操作的先决条件。这是通过可在不同网络协议（如 HTTP、HTTPS、HTTP2、FTP、XMPP 等）下执行的装置的代理功能实现的。

完成对代理功能的配置后，装置可在显式代理模式或多种透明模式之一中运行。

验证用户身份

设备过滤用户的身份验证功能，具体操作通过使用内外部数据库中的信息和 NTLM、LDAP、RADIUS、Kerberos 等方法实现。

除了过滤普通用户之外，设备还可让您控制管理员的权限和责任。

过滤 Web 对象装置中的防恶意软件功能可以扫描和过滤 Web 流量并阻止被感染的 Web 对象。

其他功能通过 McAfee®

Global Threat Intelligence™

(McAfee GTI) 系统中的信息对用户请求访问的 URL 进行过滤，或执行媒体类型和应用程序过滤。

上述功能由其他一些功能支持，后者本身没有过滤功能，但是能完成诸如用户请求计数或指示 Web 对象下载进度之类的工作。

监控过滤进程

设备的各项监控功能可让您持续查看过滤进程的概况。

其中包括信息显示板，它可以显示有关警报、Web 使用情况、过滤活动和系统型为的信息。此外还提供日志记录和跟踪功能，以及在监控流程中包含外部组件（如 McAfee

®

ePolicy Orchestrator®

Cloud (McAfee®

ePO™

Cloud) 服务器和SNMP 代理）的选项。

1 简介设备的主要功能


设备的主要组件 McAfee Web Gateway 设备基于其操作系统，使用多个子系统来提供过滤及其他功能。

设备子系统

设备的各个子系统及其模块的功能如下：

• 核心子系统 - 提供一个代理模块和一个规则模块，分别用于截取 Web 流量和处理用来构建 Web 安全策略的过滤规则。

该子系统还提供其他一些用于完成过滤规则的特殊工作并可由您进行配置的模块（也称为引擎），例如防恶意软件

模块、URL 过滤模块或身份验证模块。

流程管理器模块可确保各模块之间的高效合作。

• 协调器子系统 - 存储设备上处理的所有配置数据

此子系统还会提供更新和集中管理功能。

• 配置器子系统 - 提供用户界面（内部子系统名称为 Konfigurator）

图 1-2 设备子系统和模块

操作系统

设备的子系统依赖于设备操作系统 MLOS2（McAfee Linux 操作系统第 2 版）的功能。

其他基于 Linux 的 McAfee 安全产品（例如 McAfee Email Gateway）也在使用此版本，这便让负责其中两种或更多种产品的管理员用更少的时间就能熟悉系统。

操作系统提供了多种功能，用于执行过滤规则触发的操作、读取和写入文件及网络，以及进行访问控制。

配置后台程序（sysconfd 后台程序）会在操作系统中实施更改的配置设置。

简介设备的主要组件 1


设备部署设置 McAfee Web Gateway 设备之前，请考虑您要如何使用设备。您可以在不同的平台上运行此设备，也可以配置不同的网络集成模式。您也可以设置多个设备，并将它们作为集中管理配置下的节点来管理。

平台

您可以在不同平台上运行本设备。

• 基于硬件的设备 - 在物理硬件平台上

• 虚拟设备 - 在虚拟机上

网络集成

在您的网络中，设备可以在不同的模式下截取、过滤和传输 Web 通讯。

• 显式代理模式 - 与本设备通信的客户端了解本设备的存在。这些客户端必须“明确”配置为将其通讯传输到设备。

• 透明模式 - 客户端不知道本设备的存在。

• 透明网桥 - 设备充当客户端与 Web 之间的“隐形”网桥。此模式下您无需配置客户端。

• 透明路由器 - 设备根据路由表（需要由您填写）路由通讯。

管理与更新

您可以管理设备，并以不同的方式发布更新。

• 独立 - 单独管理设备，不允许它从其他设备接收更新。

• 集中管理 - 将设备设置为复杂配置中的一个节点，然后在其用户界面中管理其他节点，包括发布更新。

这样一来，您可以在其他节点上管理本设备，并允许它从这些节点接收更新。

1 简介设备部署


2 用户界面用户界面可用来设置管理 Web Gateway 的规则、列表、设置、帐户和其他项目。它还提供有关主要过滤和系统参数的信息，以便您采取故障排除措施。

目录

用户界面上的主要元素支持性配置功能不使用用户界面管理 Web Gateway

用户界面上的主要元素您可以在下面的示例屏幕中看到用户界面的主要元素。

图 2-1 用户界面

下表介绍了用户界面的主要元素。

表 2-1 用户界面上的主要元素

选项定义

系统信息栏显示系统和用户信息。

“用户首选项” 打开某个窗口让您为用户界面配置设置以及更改您的密码。

2


表 2-1 用户界面上的主要元素（续）

选项定义

“注销” 让您从用户界面注销。

帮助图标打开联机帮助。

您可以逐页或以树结构进行浏览，也可以进行全文搜索或按索引词搜索。

顶层菜单栏可选择下列任一菜单：

• “信息显示板” －查看有关事件、Web使用情况、过滤活动和系统行为的信息

• “帐户” －管理管理员帐户

• “策略” －配置您的 Web 安全策略 • “故障排除” －解决设备问题

• “配置” －配置设备的系统设置

“搜索” 打开带有以下搜索选项的窗口：

• “Search for objects”（搜索对象）— 可让您搜索规则集、规则、列表、设置和用户定义的属性等对象。

在输入字段中键入搜索词汇后，会显示所有包含与搜索词汇匹配的名称的对象。

在规则集和规则中执行搜索时，还可以在规则标准和事件参数中搜索操作数。

例如，通过搜索，会在 URL.Host equals "mcafee.com" 或 Email.Send ("[email protected]","testmail", "hello") 中找到 mcafee.com。

操作数和参数可以是字符串、数字或正则表达式。

无法搜索用作操作数或事件参数的布尔词汇、列表和设置。

• “搜索相关对象” －您可以选择一个列表、属性或多个设置，系统会显示所有使用选中项的规则。

“Save Changes”（保存更改）

保存或放弃您的更改。

单击此按钮可保存您的最新更改。

单击按钮旁边的箭头可打开菜单，其中包括以下选项：

• “Discard Changes and Reload”（放弃更改并重新加载）— 放弃自上次保存后做出的所有更改并重新加载旧的配置。

• “Save Changes with Comment”（保存更改并随附注释）— 打开窗口，使您可以在保存最新更改前键入纯文本注释。

2 用户界面用户界面上的主要元素


表 2-1 用户界面上的主要元素（续）

选项定义

选项卡栏显示当前选中的顶层菜单的选项卡。

顶层菜单拥有以下选项卡：

• “Dashboard”（信息显示板）

• 警报

• 图表

• “Policy”（策略）

• 规则集

• 列表

• 设置

• 模板

• “Configuration”（配置）

• 设备

• 文件编辑器

• “Accounts”（帐户）

• 管理员帐户

“故障排除”顶层菜单没有选项卡。

工具栏（位于选项卡上）

针对选中的选项卡提供各种工具。

导航窗格以树结构显示配置项（如规则、列表和设置）。

配置窗格提供用于配置导航窗格上当前所选项目的选项。

支持性配置功能用户界面提供了一些支持配置活动的功能。

表 2-2 支持性管理功能

选项定义

黄色三角形在仍为空白且需要您填写的列表名称旁边显示。

有些创建的过滤器列表过于敏感，因此策略配置向导没有填写。

黄色文本插入鼠标指针移至用户界面上的项目时即会显示，提供关于该项目含义和用法的信息。

正确图标输入有效时会在窗口中显示。

错误图标输入无效时会在窗口中显示。

消息文本带有错误符号，提供无效输入的相关信息。

浅红色的输入字段表示无效输入。

用户界面支持性配置功能 2


表 2-2 支持性管理功能（续）

选项定义

“保存更改” 若更改了某项，此按钮会变成红色。

保存更改后，此按钮会变回灰色。

红色三角形显示在已更改但尚未保存其项目的选项卡、图标和列表条目旁边。

例如，更改某规则后，一个红色三角形会显示在：

• 设置窗格内该规则条目所在行中

• 规则集图标上

• “规则集”选项卡的映射上

• 顶层菜单栏的“策略”图标上

不使用用户界面管理 Web Gateway另外提供的一个界面可以用来管理 Web Gateway，而无需登录其标准用户界面。此替代界面称为 REST（表征状态转移）界面。

使用 REST 界面，您可以在特定的 Web Gateway 设备及与其相连的其他设备上执行管理活动，例如关闭设备、重启设备、使用列表和设置，或触发更新。

有关说明使用 REST 的基本方法以及与该界面通信的脚本行示例的介绍，请参阅本手册附录中的“REST 界面”一节。

2 用户界面不使用用户界面管理 Web Gateway


3 系统配置Web Gateway 装置的系统被配置为支持针对您的网络强制实施网络安全策略的过滤功能。

系统配置过程中会使用网络接口、代理、群集节点以及其他系统组件和流程的设置。

目录

初始设置的系统设置初始设置之后的系统配置 Appliances（装置）选项卡系统设置概述系统设置网络接口绑定基于来源的路由缓存容量大小重整系统文件文件编辑器选项卡更新处理已关闭网络中的更新

初始设置的系统设置系统配置有一部分是在初始设置装置期间执行。完成该设置后，您可以完成装置系统的剩余配置活动。

下表显示初始设置期间配置的设置及其默认值。您可以将这些设置保留为默认值，也可以将其配置为您自己的设置。

表 3-1 初始设置的系统设置

参数默认值

主要网络接口 eth0

使用 DHCP 自动配置是

主机名 mwgappl

Root 密码

使用 SSH 进行远程 root 登录开启

默认网关

DNS 服务器

有关这些装置初始设置的详细信息，请参阅《“McAfee Web Gateway 安装手册”》中的““设置 Web Gateway””一章。

3


初始设置之后的系统配置完成初始设置后，可以对装置系统进行进一步配置。该步骤中配置的设置也可以修改。

装置系统的配置在“Appliances”（装置）选项卡上进行。执行该配置时，您主要使用以下选项：

• 系统设置 — 这些设置用于配置网络接口、代理、群集通信以及其他系统组件和流程。

• 系统文件 — 这些文件包含装置系统的基本参数。可通过文件编辑器修改。

• 更新计划 — 做出更新计划，以确保装置上的过滤功能使用最新的可用信息。

系统配置还可以包括多项其他活动，如绑定网络接口或设置静态路由的 IP 地址。

另请参阅 Appliances（装置）选项卡第 26 页系统设置概述第 27 页系统文件第 49 页更新处理第 50 页

Appliances（装置）选项卡使用“Appliances”（装置）选项卡配置 Web Gateway 装置的系统设置。

图 3-1 Appliances（装置）选项卡

Appliances（装置）选项卡的主要元素

下表介绍了“设备”选项卡的主要元素。

表 3-2 Appliances（装置）选项卡的主要元素

元素说明

设备工具栏工具栏提供将设备添加到集中管理配置、删除设备以及一次性更新全部设备的项目

设备树显示设备及每个设备的系统设置的树结构

3 系统配置初始设置之后的系统配置


表 3-2 Appliances（装置）选项卡的主要元素（续）

元素说明

选中设备工具栏

（当在设备树上选中设备时显示）

包含用于处理选定装置的项目的工具栏

选中设备设置所选设备的系统设置

设备工具栏

设备工具栏提供下列选项。

表 3-3 设备工具栏

选项定义

“添加 ” 打开“添加设备”窗口以添加设备。

“删除” 删除所选设备。

系统会打开一个窗口，让您确认删除操作。

“手动更新引擎” 为集中管理配置中的所有设备更新 DAT 文件的病毒特征码以及其他过滤信息。

选中设备工具栏

选中设备工具栏提供下列选项。

表 3-4 选中设备工具栏

选项定义

“重新启动” 重新启动设备。

“清除缓存” 清除设备的 Web 缓存。

“更新设备软件 ” 安装更新版的设备软件。

“关机” 让设备停止活动。

“轮替日志” 轮替设备上的日志文件。

“轮替并推送日志” 轮替设备上的日志文件，并将其推送至“日志文件管理器”设置中指定的目标位置。

系统设置概述系统设置可在不同字段中配置。

• 许可和云使用情况 — 许可和云使用情况的设置是在单个装置中配置的。然后这些设置会被分发到与该装置同样在集中管理群集中作为节点运行的所有其他装置。

设置：“License”（许可证）、“Tenant Info”（租户信息）、“Web Hybrid”（Web 混合）

• 常规服务 — 常规服务设置用于配置装置系统上的日期和时间或用户界面等功能。

设置：“Telemetry”（遥测）、“日期和时间”、“文件服务器”、“用户界面”

• 网络 — 配置网络设置，以将装置系统集成到您的网络中。

设置：“Proxies”（代理服务器）、“Network Interfaces”（网络接口）、“Domain Name Service”（域名服务）、“Network Protection”（网络保护）、“Port Forwarding”（端口转发）、“Static Routes”（静态路由）。

• 集中管理 — 集中管理设置使您可以设置和维护群集中作为节点运行的多个装置。

设置：“Central Management”（集中管理）

系统配置系统设置概述 3


• 身份验证和配额管理 — 身份验证和配额管理的设置为您的网络用户控制网络访问和使用情况。

经过配置，系统设置包括不受策略设置控制的身份验证和配额管理流程部分，例如 Kerberos 身份验证方法的使用。

设置：“Kerberos Administration”（Kerberos 管理）、“Windows Domain Membership”（Windows 域成员）、“Quota”（配额）

• 网站过滤 — 网站过滤设置为您的网络用户控制网络访问和特定类型 Web 对象的使用情况。

经过配置，系统设置包括不受策略设置控制的网站过滤流程部分，例如防恶意软件过滤中工作线程队列。

设置：“防恶意软件”、“Hardware Security Module”（硬件安全模块）

• 监控和故障排除 — 监控和故障排除设置控制日志文件管理器并启用或禁用跟踪功能。

部分监控流程由策略设置控制。

设置：“Log File Manager”（日志文件管理器）、“ePolicy Orchestrator”、“SNMP”。

系统设置系统设置在“Appliances”（装置）选项卡上配置。

您可以从此选项卡上的导航窗格中选择它们。它们按字母顺序在此列出和描述。

以下系统设置未在此列出和描述，但是在处理 Web 安全的相应字段的章节中列出并进行了描述。

• “防恶意软件”系统设置，请参阅“网站过滤”。 • “Log File Manager”（日志文件管理器）设置，请参阅“监控”。

• “Bandwidth Control”（带宽控制）设置，请参阅“支持功能”。

• “Proxies”（代理服务器）设置，请参阅“代理服务器”。

• “Central Management”（集中管理）设置，请参阅“集中管理”。

• “Quota”（配额）系统设置，请参阅“配额管理”。

• “ePolicy Orchestrator”设置，请参阅“监控”。 • “SNMP”设置，请参阅“监控”。

• “Hardware Security Module”（硬件安全模块）设置，请参阅“网站过滤”。

• “Web Hybrid”（Web 混合）设置，请参阅“混合解决方案”。

• “Kerberos Administration”（Kerberos 管理）设置，请参阅“身份验证”。

• “Windows Domain Membership”（Windows 域成员）设置，请参阅“身份验证”。

另请参阅系统设置概述第 27 页

Date and Time（日期和时间）设置 “Date and Time”（日期和时间）设置用于配置负责同步装置系统的日期和时间的时间服务器。您还可以手动设置系统时间。

Date and Time（日期和时间）

设备系统日期和时间的设置

3 系统配置系统设置


表 3-5 Date and Time（日期和时间）

选项定义

“Enable time synchronizationwith NTP servers”（启用与NTP 服务器时间同步）

选中此项后，设备会根据 NTP（网络时间协议）使用时间服务器进行时间同步。

然后，设备的系统时间会与 NTP 服务器上的时间保持同步。但是，如果两个时间之间的增量过大，同步将失败。

最佳实践：配置与 NTP 服务器时间同步后重新启动装置。装置重新启动后，会将系统时间设置为 NTP 服务器上的时间。

“NTP server list”（NTP 服务器列表）

提供一个列表，用来输入用于根据 NTP 协议进行时间同步的服务器。

列表元素如下：

• “字符串” - 指定 NTP 服务器的名称。

• “注释” - 提供针对 NTP 服务器的纯文本注释。

“Select time zone”（选择时区）

提供用于选择时区的列表。

由 NTP 服务器执行时间同步，或参考您在此处选择的时区手动设置时间

Set System Time Manually（手动设置系统时间）

用于手动配置设备系统上时间和日期的设置

表 3-6 手动设置系统时间

选项定义

“Current date andtime”（当前日期和时间）

提供用于设置设备系统的日期和时间的项目。

• “日期” - 可让您输入日期，方法是在字段中键入日期或使用日历。

• 日历图标 — 打开日历，供您选择日期。

在日历上选择一个日期后单击“确定”，日期字段上即会显示该日期。

• “时间” - 让您键入指定的时间。

然后，设备的系统时间会与 NTP 服务器上的时间保持同步。但是，如果两个时间之间的增量过大，同步将失败。

最佳实践：配置与 NTP 服务器时间同步后重新启动装置。装置重新启动后，会将系统时间设置为 NTP 服务器上的时间。

“立即设置” 设置您已在相应字段中输入的日期和时间。

File Server（文件服务器）设置 “File Server”（文件服务器）设置用于在装置上配置专用文件服务器端口，以启用一些功能，例如允许客户端下载文件。

HTTP Connector Port（HTTP 连接器端口）

设备专用文件服务器端口的设置

系统配置系统设置 3


表 3-7 HTTP Connector Port（HTTP 连接器端口）

选项定义

“启用专用 HTTP 文件服务器端口”

选中此项后，系统会启用下方配置的专用 HTTP 文件服务器端口。

“HTTP connector”（HTTP 连接器）

指定专用 HTTP 文件服务器端口的端口号。

您可以在此输入多个端口号，彼此用逗号分隔。允许的范围为 1024 至 65335。

如果要将请求转发到端口 1 至 1023，可以设置端口转发规则。

除了单独输入端口号之外，您还可以连同 IP 地址一起输入。但如此一来，系统将只允许在使用指定地址时才通过此端口来连接设备。

例如：

设备拥有两个接口，分别使用如下 IP 地址：

eth0：192.168.0.10，eth1：10.149.110.10您在 HTTP 连接器下输入如下内容：

4711, 192.168.0.10:4722此时，使用两个 IP 地址中的任意一个都可以通过端口 4711 连接设备，但如果要通过4722 连接，则只能使用 IP 地址 192.168.0.10。

后一种限制连接的方法可以用于设置内网。

“启用专用 HTTPS 文件服务器端口”

选中此项后，系统会启用专用的 HTTPS 文件服务器端口。

“HTTPS connector”（HTTPS 连接器）

指定专用 HTTPS 文件服务器端口的端口号。

您可以在此输入多个端口号，彼此用逗号分隔。允许的范围为 1024 至 65335。

您可以像设置 HTTP 连接器那样输入 IP 地址（含端口号），含义相同。

如果要将请求转发到端口 1 至 1023，可以设置端口转发规则。

License（许可证）设置 “License”（许可证）设置用于为装置导入许可证。有关许可证的信息与这些设置以及用于查看许可证上的协议和数据使用声明的选项一起显示。

License Administration（许可证管理）用于导入许可证的设置。

表 3-8 License Administration（许可证管理）

选项定义

“Import license”（导入许可证）提供导入许可证的所需选项。

“I have read and accept the enduser license agreement”（我已阅读并接受最终用户许可协议）

提供到最终用户许可协议的链接，并在阅读该文档后提供一个复选框让您选择。

要导入许可证，必须选择该复选框，否则导入选项将一直为灰色。

“License file”（许可证文件）显示浏览本地文件系统后选择的许可证文件的名称和路径。

当此字段中显示名称和路径时，“License information”（许可证信息）下会显示更多许可证信息。

单击“Save Changes”（保存更改）后即可激活许可证。

“Browse”（浏览）打开本地文件系统以让您浏览许可证文件。

License Information（许可证信息）导入的许可证的相关信息，并提供一个选项供您查看数据使用声明

3 系统配置系统设置


表 3-9 License Information（许可证信息）

选项定义

“Status”（状态）显示许可证文件的名称。

“Creation”（创建）显示许可证文件的创建日期。

“Expiration”（到期）显示许可证文件的到期日期。

“License ID”（许可证 ID）显示许可证的 ID。

“Customer”（客户）显示许可证所有者的名称。

“Customer ID”（客户 ID）显示许可证所有者的 ID。

“Seats”（场所数）显示许可证

McAfee Web Gateway 7.7 · 最佳实践 - 配置 FTP over HTTP .....103 配置自己的 FTP 凭据以进行匿名登录.....103

Documents