BluecoatSPHTTP反向代理和CDN技术方案建议jun

《BluecoatSPHTTP反向代理和CDN技术方案建议jun》由会员分享，可在线阅读，更多相关《BluecoatSPHTTP反向代理和CDN技术方案建议jun（36页珍藏版）》请在装配图网上搜索。

1、XXX用户反向代理和CDN技术方案建议书2007年7月17日目 录 1前言42用户需求分析53方案设计原则64技术方案建议74.1反向代理网络的总体设计74.1.1在同一数据中心部署反向代理节点74.1.2异地部署反向代理节点94.2ADN + CDN业务（动态和静态网页同时加速业务）104.2.1设计概述104.2.2动态网页加速流程114.2.3设备选型134.2.4HTTPS加密动态网页加速业务144.2.5Reflect Client IP(用户IP地址传送)174.2.6保留用户原有域名174.3BlueCoat HTTP 业务特点184.3.1HTTPS源服务器卸载194.3.2H

2、TTP 压缩194.3.3多线程下载204.3.4典型HTTP策略设置204.4BlueCoat网络安全设计204.4.1Bluecoat 抗DDOS攻击和Port Scanning204.4.2SGOS 操作系统214.4.3Bluecoat 协议检测224.4.4防止反向代理服务器成为Open Proxy224.4.5管理员访问限制和安全234.5用户行为分析和统计及错误定位用户的追踪234.6全局网络管理244.7未来扩展255BLUECOAT HTTP缓存技术特点275.1Pipelining：快速的内容抓取275.2自适应的刷新：快速、新鲜的内容285.3自适应的刷新：对带宽消耗的影

3、响305.4新鲜度测量和报告315.5Blue Coat 存储子系统325.6HTTP 策略控制引擎335.6.1Blue Coat可视化策略管理器34 1 前言本文是Bluecoat对XXX用户HTTP反向代理工程的技术方案建议。我们期待着和XXX用户进行进一步的深入交流。2 用户需求分析XXX用户目前的网站站点设计有HTTP Apache服务器，主要服务的内容是大量新闻和图片及一些Flash视频类的节目。采用Apache服务器带来的主要挑战有三方面，一方面系统运行在通用操作系统上，网站安全性存在风险。另一方面Apache服务器的性能受限，通常一台服务器只能处理3000-5000个并发HTT

4、P客户连接。性能上存在瓶颈。最后还有在后台存储XXX用户使用基于FC SAN的磁盘阵列。当为了提升网站性能而增加前面的Apache 服务器时，后台存储的共享也成为了一个复杂的技术问题。为了解决上述的一些实际问题。XXX用户需要在HTTP Web Server前端增加硬件反向代理服务器，利用其安全和高性能的特性来降低Apache服务器的负载和被黑客攻击的风险。同时由于主要的负载都被反向代理服务器所承担，源服务器只需要保持一个基本的HA服务器就可以，也无需涉及复杂的FC SAN共享问题。3 方案设计原则考虑XXX用户的实际情况，在方案设计时需要遵循如下原则：1标准性现在构建的HTTP反向代理网络应

5、当符合网络业界的主流标准，保证系统和已有的Web Server的兼容性。2合理的性能价格比在满足当前的业务需求的同时，还考虑到今后业务发展的需求，确保在未来扩容时能够扩展到更多的性能和容量支持。同时尽量选择经济的设备，做到最优的性价比。3高可靠性在确保系统可靠工作和数据的可靠性的原则基础上，尽可能的做到高起点，选用先进的技术和设备，使构建的反向代理系统有较高的可靠性，以适应今后的发展。4可管理性和可维护性反向代理设备可以通过多种技术和方式实现了高可靠性，同时也增加了系统的复杂性，从而容易导致维护和管理的复杂性。因此在方案设计中在提供高可靠性的同时，也要注重提供反向代理系统的可管理性和可维护性。

6、整个系统应该能够采用基于Web的界面对存储设备进行配置管理。系统配置工作应该简单明了，流程清晰。系统应该能够提供远程告警。5. 高性能整个反向代理系统应该提供较高的HTTP和HTTPS性能，能够满足大量用户同时使用时的性能要求。4 技术方案建议4.1 反向代理网络的总体设计使用Bluecoat SG设备作为反向代理的方式对源服务器进行加速，利用Bluecoat设备的安全性和强大的性能来实现对源服务器的卸载和安全防护。同时可以部署多台Bluecoat SG设备在前端，实现高速性能负载均衡和系统高可用性。并且会降低后台源服务器的部署数量，解决存储共享的问题。4.1.1 在同一数据中心部署反向代理节

7、点在同一数据中心的条件下，部署反向代理的结构如下图所示：SLB设备/ 四层交换机InternetSGSG内网OCS 源服务器用户SG实际部署在源服务器的前端，缓存用户访问的内容，因此大部分的服务压力都会被SG所承担，而不需要源服务器具有高性能的处理能力。同时由于SG和源服务器之间是通过内部私网地址的连接，这样保证了内部的源服务器是绝对安全的，因为没有黑客能够从公网上访问到源服务器。后台的源服务器还可以使用多台Web Server来实现冗余和可靠性。在Bluecoat的方案中，后台的源服务器组并不需要使用四/七层交换机来实施负载均衡，因为SG设备本身可以具有负载均衡能力。在从SG向源服务器请求未

8、命中的内容时会根据几种不同的算法进行负责均衡，包括：Round-robin, 最少连接，用户源地址关联，根据用户被加速设备设置的Cookie关联等。Bluecoat SG设备还可以对后台的源服务器实施健康检查，检查的方法包括四层协议和HTTP协议等。如果发现某一台源服务器出现故障，SG则会自动将流量切换到别的服务器上。Bluecoat SG也提供了性能上的显著提升，通常的Web Server具有二方面的性能瓶颈：HTTP并发连接数，HTTP吞吐量。尽管可以给这些服务器配置较大的内存和更新的CPU，但是其性能依然无法令人满意。而作为对比，Bluecoat的设备SG810-C可以支持12000个客

9、户端的并发HTTP连接，并且在典型环境下支持150Mbps到200Mbps的反向HTTP代理吞吐量。因此同样的性能要求条件下，会使用数量很少的SG设备就可以满足用户的性能要求，并由此节省了大量的机房空间，电源消耗和空调消耗等相关资源。从维护成本的角度上来考虑，是更为节省的一个方案。在反向代理的方案中，对于静态网页的性能提升效果是非常明显的。因为大部分的静态网页会缓存在本地。而对于动态网页而言，由于不能缓存在代理服务器内部，所以必须代理回源服务器，此时对源服务器的服务并没有性能卸载的能力。对于这种动态网页的加速，可以参考后续章节的方案，Bluecoat提供了一种独到的ADN 加速方案来对动态网页

10、进行加速。这一方案的范围已经超出了反向代理的概念，而是和CDN的方案融合在一起。4.1.2 异地部署反向代理节点整个反向代理网络组件包括：GSLB和SLB设备，HTTP缓存设备，Web源服务器等。这种部署实际上已经成为了CDN的部署。下图表示了整体的网络架构：SG数据中心加速动态网页 WANSG加速动态网页SG加速静态网页SG加速流媒体SG加速流媒体镜像服务器GSLB设备SLB设备SLB设备内容分发字节缓存比较源服务器数据中心新建CDN节点动态网页源服务器在新建反向代理节点中部署4台SG缓存设备，其中2台主要用于加速流媒体业务，1台主要用于加速静态网页和Flash视频的业务，1台主要用于加速动

11、态网页的业务。考虑到业务安全的需要，2台加速HTTP网页的SG缓存设备可以通过SLB设备进行负载均衡。2台加速流媒体业务的SG缓存设备通过SLB设备进行负载均衡。这里假定缓存设备中已经存有用户需要访问的内容（用户访问命中的情况），其中第1步是DNS解析，用户解析过一次后就可以把DNS记录缓存在本机上，下次可以不用再去GSLB设备进行解析。如果用户访问的内容未命中，则会由Cache去源服务器抓取。对于较简单的单个节点异地反向代理方案，可以不使用GSLB设备，只使用DNS解析到反向代理服务器即可。4.2 ADN + CDN业务（动态和静态网页同时加速业务）4.2.1 设计概述在中心和边缘节点部署的

12、SG缓存设备和网络的总体架构如下图所示：SG数据中心加速动态网页InternetGSLB设备SLB 设备SLB设备静态对象（HTTP,FTP）源服务器中心节点(全国和北京)边缘CDN节点动态网页源服务器SG加速动态/静态网页SG加速动态/静态网页SG数据中心加速动态网页内容分发字节缓存比较DirectorCDN管理和内容分发考虑到冗余的设计要求。在中心节点放置二台SG加速设备，这二台加速设备并不需要一定连接在SLB设备之后来实施负载均衡。因为Bluecoat的ADN加速方案里提供了不需要SLB的中心点负载均衡。因此只需要给这二台设备各一个公网IP地址就可以。二台中心点的设备会设置ADN路由表，

13、自动把源服务器的网段地址广播给所有的边缘的SG设备。在边缘节点，如果有多台SG设备的话，则可以放置在SLB负载均衡设备后面，使用私网地址，然后在SLB上映射为公网的VIP。此时SLB负载均衡设备的算法建议使用基于用户源地址Hash的，来保证每个用户的连接都达到同一台SG设备中进行处理。这样加速效果更好。边缘节点的SG设备和中心节点的SG设备之间会形成Peer关系，并建立ADN隧道进行加速。二者的字节缓存是完全同步的。边缘节点的SG会根据目的地网段的ADN路由进行数据包转发选择。如果发现去往目的地的网段有多台SG Peer都可以通达，则会根据自己的设备ID采用Hash的方式自动选择一个Peer作

14、为下一跳。由于边缘节点有众多SG设备，因此最终会使得流量较为平均的转到中心节点的2台SG设备上。如果中心节点有一台SG设备故障，则边缘节点的SG设备会自动切换到另外一台中心节点SG上。Director分发设备需要一个独立的公网IP地址来管理所有的SG设备。为了管理的目的，每个边缘节点的SG也需要配置一个单独的公网IP地址用于管理。Director使用SSH协议管理SG设备。Director设备也可以被配置为冗余的来保证可靠性。4.2.2 动态网页加速流程下图表示了用户访问动态网页时的数据包流程：SG全国数据中心加速动态网页 InternetSG加速动态/静态网页GSLB设备SLB设备SLB设备

15、内容分发字节缓存比较源服务器边缘CDN节点动态网页源服务器12345678SG加速动态/静态网页中心节点(全国和北京)这些流程可以分步骤解释如下：1） 用户请求内容2） GSLB设备作出就近性判断把用户的请求重定向到离用户最近的ADN 节点(边缘节点)的SLB设备上3） 边缘节点SLB把用户请求 发送给边缘SG。4） SG设备根据自己的加速策略判断需要进行ADN加速，把用户的请求通过ADN隧道发给对端的SG设备（中心节点）。这一请求过程本身也会被加速，因为通常一个HTTP Request数据包在几百个字节，如果加速后，则可能只传送12个字节，因此大大缩短了在广域网上的传送延时。5） SG中心节

16、点收到数据包后，向动态网页的源服务器发起请求6） 动态网页的源服务器响应给SG中心节点真正的用户数据，如数据库表单查询或网上购物明细等页面。7） SG中心节点收到响应后和自己的字节缓存数据库进行比对，将差量数据传送到对端的边缘节点SG，这一传送过程的速度会较未加速前大大加快。8） SG边缘节点收到响应后，根据自己的字节缓存，把源服务器的响应还原并发送给用户。上述流程就是一个完整的用户请求动态网页加速的流程。如果用户请求的一个域名下的内容是既有动态网页，又有静态网页。则SG加速的流程如下：1） SG判断是否是可缓存的页面，如果是，则检查a) 是否已经在本地的HTTP对象缓存中且未过期，如果是则直

17、接给用户服务b) 如果已经在本地的HTTP对象缓存中但对象已经过期，则向源服务器发送IMS请求要求最新的对象。这一请求过程同样会经过ADN加速。c) 如果不在本地的HTTP对象缓存中，则向源服务器发送内容请求。这一请求过程同样会经过ADN加速。2） SG判断此网页为不可缓存，则会直接把请求发给源服务器并且这一请求过程会经过ADN加速。4.2.3 设备选型这里给出了不同设备型号之间的硬件参数对比：SG8100-GSG810FSG810ESG510B磁盘6X300G 15K4x300G SCSI4x144GB SCSI1x300GB SATA内存4GB4GB4GB1GB网络接口2个GE标配，可扩展

18、到6个GE2个GE标配，可扩展到6个GE2个GE标配，可扩展到6个GE2个GE标配，可扩展到6个GE4.2.4 HTTPS加密动态网页加速业务在实际的网站类型的客户中，很多网站是使用HTTPS进行加密的业务处理。而且这些HTTPS的页面往往是个性化的动态的页面。这就要求CDN/ADN 业务能够提供针对HTTPS的动态网页加速能力。而传统的ADN加速方案是无法直接加速HTTPS的业务的。这一问题的原因在于ADN的字典压缩算法对于加密的数据流是没有显著效果的。Bluecoat的ADN/CDN解决方案提供了一个完整的解决方案可以对HTTPS类型的动态网页进行加速。从而扩展CDN/ADN 加速的适应范

19、围。它的工作原理是利用SSL Proxy来截取HTTPS的流量并对未加密的页面进行字典压缩，然后再把压缩后的流量进行SSL加密传送到ADN 对端设备。这里也分为二种情况：1） 源服务器使用了HTTPS加密，用户也使用HTTPS协议请求内容。2） 用户使用HTTPS协议请求内容，但是源服务器只使用普通的未加密HTTP。从SG边缘节点到源服务器之间使用加密的数据传送。第一种情况的工作原理如下图所示：边缘节点的SG会直接向HTTPS源服务器发送请求，并得到源服务器颁发的证书。边缘节点的SG和中心节点的SG之间会形成一个联合工作的SSL Proxy。Bluecoat称之为SSL Split Proxy

20、。边缘节点的SG会把证书传递给中心节点，由中心节点作为客户端和HTTPS源服务器进行直接通讯，并形成一个完整的HTTPS连接。中心节点的SG在得到SSL内容后可以解密，从而得到了解密后的HTTP内容，能够直接对这些不加密的内容实施高效的字典压缩。而在边缘节点和中心节点之间，二者使用自己预装的有效证书进行认证和传输加密。这保证了数据传输的安全性。在边缘节点的SG会自动根据源服务器颁发证书的信息仿真一个新的证书颁发给客户端。对于XXX用户来说，这样的技术方案带来的优势是，由于在XXX用户CDN托管的互联网公司会有非常多的源服务器，每个源服务器颁发的证书都是不同的。而采用了证书仿真和SSL Spli

21、t Proxy技术后，整个CDN/ADN 网络的管理会变得异常简单。Bluecoat SG设备会自动为每个源服务器创建一个新的用于用户端的证书。这种技术可以大大节省XXX用户的维护成本。第二种情况的工作原理如下图所示：InternetSG中心节点SG边缘节点HTTP 源服务器动态网页建立HTTPS连接HTTPS 请求在ADN隧道中请求HTTP对象,字典压缩，并且可以使用SSL加密颁发证书（预装）请求HTTP内容返回HTTP内容在ADN隧道中返回HTTP内容,字典压缩，并且可以使用SSL加密返回HTTPS内容在这个部署方式下，边缘节点的SG预装了已经签过的数字证书。当用户访问HTTPS内容时，边

22、缘节点的SG会把预装的数字证书发给用户。然后边缘节点SG可以把用户的解密内容进行字典压缩，并通过加密ADN隧道传送给对端的中心节点设备。中心节点设备会以HTTP的方式和源服务器进行通信。这种方式源服务器不需要支持HTTPS，可以节省大量源服务器的计算资源。这种方式实际上是对源服务器的HTTPS卸载。上面的二种部署方案可以共存在边缘节点SG中，SG设备可以根据用户的访问条件，如域名，URL路径，HTTP Header等多种信息来定义，定义部分用户请求需要是全程使用HTTPS加密，部分是需要做HTTPS卸载的。4.2.5 Reflect Client IP(用户IP地址传送)如果有网站客户需要统计

23、用户的源IP地址，或者有特别的认证需求是基于源IP地址的。此时需要把用户的源地址发送给源服务器。Bluecoat中心节点的SG设备此时需要打开Reflect Client IP选项，并使用用户真正的源地址连接到源服务器来请求内容。但这里需要注意的是，需要增加四层交换机或设置路由器上的WCCP流量把源服务器送回的流量重定向到中心节点的SG上。否则会无法建立完整的TCP连接。4.2.6 保留用户原有域名在实际的CDN运营中，会有客户提出这样的需求，他们的原有网站已经申请了域名，不想放弃，同时又想通过CDN的方案部署新的服务，并使用全新的域名。此时Bluecoat可以提供一个非常好的方案自动的帮助用

24、户实施全新域名的CDN，同时用户原有网站的域名和内容都不需要更改。这里举例如下：用户原有的域名和网站URL为：, 希望通过XXX用户的CDN部署为, 实际客户访问到 时是访问XXX用户的CDN，然后再作反向代理，其源服务器是 。这样XXX用户给其用户的网站提供了SSL卸载服务和CDN服务。而用户原有的 可以继续保留，用于测试或继续服务的目的。这里面需要注意的一个技术问题是在原有的网站中其页面内容中还会嵌入大量的连接，都是基于域名的链接。如果对这样的网页实施CDN加速，用户点击其中CDN加速页面的链接时会直接访问，这样会绕过CDN网络而直接访问源服务器。为了避免这个问题，通常是需要源网站改写其中

25、的页面，这样的工作量是相当大的。Bluecoat SG缓存设备提供了一个功能叫做two way URL rewriting，可以解决这个问题，它可以自动改写网页内部嵌入的链接，如果源网站中页面嵌入的链接为 则BluecoatSG设备在接受到源服务器响应后，把页面中的这个链接自动的改写为： 这一功能可以避免用户在源网站侧保留域名的同时还需要对自己的网站内容进行大量改写。是一个提高用户满意度的非常好的功能。这里面需要注意的是Bluecoat SG 的two way URL rewriting功能目前不能对网页中的ActiveX 控件中的链接进行改写。如果用户的网站大量使用了AcitveX控件则此功

26、能目前还无法实施。4.3 BlueCoat HTTP 业务特点HTTP缓存是整个反向代理的基础业务。Bluecoat ProxySG提供了非常丰富的HTTP业务服务功能，包括：l 非常灵活的HTTP策略设置l 支持认证，授权，SSOl 灵活的对象刷新机制l 支持HTTP压缩l 支持多线程下载l HTTPS加速和缓存l 带宽管理l 内容安全的保证 对用户上传内容进行病毒扫描这里需要指出的是，HTTP压缩功能也是免费提供的。下面就其中的一些具体业务进行详细描述：4.3.1 HTTPS源服务器卸载使用Bluecoat SG设备作为反向代理的方式对源服务器进行加速，可利用Bluecoat设备的安全性和

27、强大的性能来实现对源服务器的卸载和安全防护。如果直接在源服务器上部署HTTPS的业务，则会给源服务器带来很大的压力和资源开销。如果一个基于软件的HTTP服务器上实施HTTPS服务，其性能通常只有4-5Mbps的SSL吞吐量，并且能够处理的每秒请求数量也是非常有限的。而如果在HTTP源服务器前端部署Bluecoat SG设备，则可以利用Bluecoat的设备内置的SSL硬件加速卡实现对HTTP源服务器的SSL加速功能，从而使得源服务器专注于HTTP服务，而将SSL加密的任务交给SG设备来处理。在Bluecoat SG设备上，可以通过二种方式装入数字证书用于颁发给用户的访问。一种是在Bluecoa

28、t设备上自己签发的证书，这种证书不需要去互联网上的证书发放机构进行签署，但是用户的浏览器可能没有直接设置为信任Bluecoat签发的证书并弹出一个提升窗口让用户确认是否信任这个证书。另一种方式是装入经过互联网上证书发放机构发放的标准数字证书，如VeriSign，Baltimore等公司签发的数字证书，这些证书通常是被用户客户端所信任的。4.3.2 HTTP 压缩Bluecoat SG设备支持标准的HTTP1.1压缩，可以支持的HTTP压缩算法是GZIP和deflate。对于Bluecoat SG来说，如果源服务器没有使用HTTP压缩，而Client端请求压缩对象，则可以把未压缩的HTTP对象压

29、缩后缓存在本地，对于后续的HTTP访问则直接提供压缩后的对象进行服务，不需要再去源服务器拿去内容和重新压缩。Bluecoat HTTP压缩功能是可以根据策略设定来启用的，例如，可以根据用户访问URL的不同来确定是否启用HTTP压缩。另外如果用户请求的是非压缩的对象，则Bluecoat会缺省给用户非压缩的对象。对于一些不能压缩的对象，如GIF图像文件和JPG图像文件，此时尽管HTTP策略设定压缩这些对象，但是Bluecoat设备也会自动忽略这些请求而给用户服务非压缩的对象。4.3.3 多线程下载Bluecoat SG设备支持标准的HTTP Byte-Range字头，可以被多线程下载程序如Flas

30、hget用于多线程下载。因此利用Bluecoat设备可以支持常见的多线程下载程序。但是目前Bluecoat设备还不能限制单个用户同时使用的多线程下载的线程个数。4.3.4 典型HTTP策略设置Bluecoat的HTTP策略引擎提供了非常丰富的HTTP策略控制功能，常见的应用案例包括：1） 去除用户请求的No-cache header来保证源服务器的安全。2） 根据用户的User agent header来判断用户的浏览器版本和类型来判断用户是否能够得到理想的页面效果3） 进行HTTP重定向来实现用户访问转向4） 强制缓存指定的内容5） 对HTTP源服务器的错误代码响应提供定制的出错提示页面6）

31、 拒绝某些指定用户对内容的访问4.4 BlueCoat网络安全设计4.4.1 Bluecoat 抗DDOS攻击和Port ScanningBlue Coat提供了完整的抗DDOS攻击能力，包括如下的技术特性：SG 可以限制单个客户地址的HTTP/TCP连接数量，并且对超过了连接数量限制的客户连接请求进行拒绝和复位。对于被限制访问的客户，可以设定限制访问的时间间隔，时间到期后恢复这些客户的访问权限。这一防护能力是针对TCP以上的协议。对于常见的底层DDOS攻击如ICMP Flood, TCP SYN Flood，SG可以进行安全防护并且不会因此而消耗系统资源。对于ICMP Flood，Bluec

32、oat的设备可以实施限速，保证不会因为大量的Ping响应而导致系统资源过载。对于TCP Syn Flood，可以对不完整的TCP连接不分配资源，从而不会导致系统资源过载。对于端口扫描的攻击，缺省Bluecoat设备不会打开任何端口。只有提供HTTP服务的80端口和SSH及HTTPS管理端口。对于这些提供服务的端口还可以实施访问控制，只有信任的客户才可以访问这些端口。4.4.2 SGOS 操作系统Blue Coat专用设备的操作系统SGOS是一个专门为高速对象缓存应用而开发的操作系统，它通过了国际著名的安全认证：ICSA Labs安全认证。表示这个操作系统是一个非常安全和没有后门的操作系统。黑客

33、不会知道真正的源服务器地址，也无法通过Bluecoat的反向代理设备而去篡改源网站的内容和攻击源服务器。而作为对比，一个运行在通用操作系统上的Web Server程序，它的安全性是受限于操作系统的安全性的。在WWW.CERT.ORG 网站上，可以搜索到成千上万的关于Windows, Linux, UNIX操作系统的安全漏洞。运行在这样的操作系统之上的网站是非常不安全的。如果把这个Web服务器直接暴露在Internet上实际是一个很危险的部署方式。在对象存储方面，Bluecoat使用的是按照对象URL产生高速索引的存储机制，在硬盘上没有文件系统。即使黑客获取了Bluecoat代理服务器的硬盘，由

34、于其不了解Bluecoat的专有存储格式，也无法读出其中存储的数据内容，更不用说篡改其中的内容。美国军方的很多网站都采用Bluecoat的设备作为反向代理作为安全设备部署在网站的前面，避免其网站遭到黑客的攻击和篡改。4.4.3 Bluecoat 协议检测Blue Coat SG可以检测到80或443端口访问的流量是否为真正的HTTP或HTTPS流量。只有真正的HTTP或HTTPS流量才会被SG进行处理，转发回源服务器或在本地命中。这种技术可以防止黑客利用80和443端口对反向代理设备或源服务器进行攻击。对于标准HTTPS协议来说，客户机会使用HTTP Connect method来连接服务器，

35、通过对这些方法的检测，Bluecoat SG设备可以清楚地感知是否是真正的HTTPS客户端在使用443端口还是伪装的HTTPS流量。4.4.4 防止反向代理服务器成为Open ProxyBlue Coat反向代理设备可以被同时用作正向代理设备，因此当SG被部署在公网上的时候，需要增加相应的安全策略保证SG设备不会被作为一个公用的代理服务器来被其他非法用户用于访问Internet上的内容。典型的配置包括：1） 在反向代理服务器上不要配置DNS服务器。这样非法设定SG为代理服务器的客户将无法访问Internet上的内容。2） 在反向代理服务器上配置ACL控制策略。检查用户请求的HTTP Host

36、Header是否匹配正在加速的域名，匹配的进行处理，不匹配的则拒绝其访问。通过上述的二个反向代理上的配置可以保证没有用户或黑客使用代理服务器访问Internet上的内容。4.4.5 管理员访问限制和安全为了防止在公网上的黑客扫描SG的管理端口和进行破坏，在SG设备上可以设置管理员访问控制列表，限制只能有特定的工作站才能访问Bluecoat SG的管理端口。同时为了保证设备管理的安全，Bluecoat SG设备使用的是HTTPS和SSH协议进行管理。并且可以定义使用一个专用的HTTPS端口而非标准的443端口。4.5 用户行为分析和统计及错误定位用户的追踪Bluecoat ProxySG 提供了

37、多种方式的系统访问日志信息，包括：HTTP Access Log, Streaming Access Log等。Bluecoat ProxySG的系统访问日志可以被集中的送往Syslog / ftp服务器进行存储，也可以以实时的方式输出到一个独立的Log服务器上进行实时监控。为了确保log日志的安全性，ProxySG还可以把日志信息进行数字签名，确保ProxySG的日志不会被黑客攻击。典型的ProxySG HTTP Access Log格式为W3C，Squid等标准格式。同时Bluecoat提供了Reporter工具软件来分析所有Bluecoat设备的用户访问日志。Reporter工具可以位于

38、一个数据中心，集中地分析反向代理网络中所有的log信息，也可以在每个省网部署一个Reporter工具。对于XXX用户来说，由于实际运营商网络条件的限制，如果由于错误配置或设备故障引起的电信用户跨网访问XXX用户地址内容的情况出现，则会给用户的访问效果来很大的影响，甚至影响后续业务的发展。为了避免这个情况的出现，需要反向代理的管理员能够具有追踪和定位能力，把错误定位用户的IP地址迅速定位。避免这种跨运营商访问的情况出现。ProxySG 提供了基于策略的log能力。可以产生一个独立的Log文件，把符合条件的错误定位的用户记录在这个log中，供反向代理系统管理员来进行追踪和分析。例如：假定电信的用户

39、IP地址为201.0.0.0/16网段，XXX用户的用户IP地址为211.0.0.0/16网段，Cache上为电信用户提供服务的IP地址是201.0.0.2, Cache上为XXX用户用户提供服务的IP地址是211.0.0.2。如果电信的用户错误定位到了为XXX用户用户服务的IP地址，则ProxySG上则会产生出用户访问记录，记录c-ip和cache服务ip地址。这样对于反向代理管理员来说，只需要察看这个log的文件就能追查到任何错误定位的用户访问。4.6 全局网络管理Bluecoat提供了Bluecoat Director设备用于Bluecoat ProxySG专用设备的功能强大的集中配置管

40、理、更新管理、策略管理平台。Director是一个专用的硬件可以支持集中管理和内容分发。Blue Coat Director集中管理设备实现对Blue Coat ProxySG系列专用设备的可伸展的更新管理、配置管理和策略管理。产品的设计基于可扩充的管理专用设备，Director减少了管理成本和复杂性。它为管理员提供了强大的平台，来对分布的、远程的SG系列专用设备进行中心化的集中管理。配置信息和安全策略都可通过任何一台PC或工作站上，通过浏览器在一个易于使用的界面来生成和管理。 现在，企业能够采用管理成百上千的设备所必须的工具，在他们的整个网络的全球分支机构内部署ProxySG专用设备，对地理

41、位置分布的远程系统进行安装配置和策略更新和耗时且成本很高的工作。Director集中管理设备使这个改变过程自动化，通过为企业提供快速地实施配置、资源和策略修改所必须的实质性的工具来有效地管理Blue Coat SG系列专用设备。 Blue Coat Director 集中管理设备使企业能够： o 中心化的、全企业范围内的、基于策略的管理 o 软件升级自动化 o 备份配置，并在灾难时恢复 o 强大的自动化任务定时安排 o 管理专用设备，简化安装和日常维护的难度 o 通过安全的GUI或CLI进行远程管理 o 中心化管理策略，进行全局策略分发 o 可从任何带有web浏览器的PC或工作站上启动管理 下

42、图表述了Bluecoat Director管理的方式：4.7 未来扩展目前XXX用户的一期工程只考虑了二个节点，未来可以考虑随着业务的发展扩展为更大规模的反向代理和ADN。 具体的扩展方式非常简单。在每个地方的新建POP点，然后增加SLB设备，再根据用户的业务量增加缓存设备和广域网加速设备。广域网加速设备在扩展时，通常只需要扩展pop节点设备就可以了，因为广域网加速设备中心节点设备可以和多个边缘节点设备形成1对多的伙伴关系。5 BlueCoat HTTP缓存技术特点下面详细介绍Bluecoat SG缓存设备针对HTTP缓存的高级特性。5.1 Pipelining：快速的内容抓取当浏览器请求内容

43、时，在浏览器和远端的Web服务器之间将有许多的往返通讯发生，这是因为一个Web页面通常由许多对象组成，而对于每个对象的获取都必须首先有一个TCP会话建立，然后进行HTTP “get”请求，如下图： 这种串行的对象获取对于最终用户来说就意味着大量的延时，Blue Coat ProxySG设备的运用，将消除这种延迟的大部分；用户连接将终结在Blue Coat ProxySG设备，该设备运行SGOS，包含了针对延迟的算法；这些算法之一就是Pipeline抓取，该专利算法将打开尽可能多的到源服务器的TCP连接，并发地获取Web对象，这些对象将在浏览器请求它们时，被直接从专用设备快速地传递到用户桌面系统

44、，如下图： Pipeline抓取的作用，使Blue Coat产品能够将对Web页面的首次访问速度提高2倍，这种性能的改善对最终用户来说是直观、生动的。5.2 自适应的刷新：快速、新鲜的内容由于在Web服务器上的内容在不断变化，Blue Coat ProxySG设备必须保持缓存内容的更新；对于Blue Coat专用设备在将内容从其存储传递给用户时，必须确信内容是新鲜的，那么，一个“Refresh Check”必须被发给源服务器；然而，为了快速地提供内容，那就不能等到用户请求时才实现“Refresh”操作。如果“Refresh”检查只在用户请求内容时进行，用户就必须忍受使得网络变慢的延时，Web页

45、面的响应时间必然也得不到很大的改善。传递快速、新鲜的Web页面的唯一可行的方法是将“Refresh”操作与实际的用户访问分开处理；Blue Coat专用设备实现这个操作是通过另一个针对延迟的算法自适应的刷新算法；该专利算法根据Web对象的需要进行有选择地刷新，刷新操作与实际的用户请求是异步进行的。选择哪些对象、何时进行刷新要求专用设备理解对象的变化规律；Web对象以不同的节奏变化，一部分变化很频繁、一部分很少变化，而大多数介于两者之间。下图是Blue Coat Systems设备在全球不同地区提取的数据，可以发现对象变化比例最高的24小时内。（该柱状图并不代表对象如何变化的绝对模型；它只是说明

46、在分析时的变化比率） 自适应的刷新算法是业界唯一为缓存的每个Web对象建立“变化模型”的技术，它还根据这些对象被用户访问的历史情况建立其“使用模型”，然后，综合这两方面信息来确定适合于这些对象的刷新模式（刷新产生的结果将随这些模型的变化不断调整）。通过自适应的刷新算法，Blue Coat ProxySG专用设备自动与源服务器实现“新鲜度检查”，从而保证旧的内容被删除，并用新鲜的内容替代。例如，如果在首页中的对象，对于通过Blue Coat专用设备访问的用户群，是访问量很大的；Blue Coat SGOS将更新那些变化的对象（例如：“top story”对象），而不刷新那些不变化的对象（例如：“

47、CNN logo”对象）；这样保证当前内容被快速地传递给用户。并发抓取能够改善Web页面的第一次请求的响应，同时，动态刷新由于使用户不必等待对象的刷新时的延迟，从而巨大地改善对象的后续请求的响应。 只有通过Blue Coat Systems独创的针对延迟的算法，才能对首次及多次请求基于Web的通讯进行加速；通过“快速、新鲜”地传递内容，Blue Coat SGOS成为业界领先的互联网 ProxySG的基础。5.3 自适应的刷新：对带宽消耗的影响自适应的刷新技术是关键技术，用于将常用的Web内容保存在靠近用户的地方，并在不引入不必要的网络流量前提下保持内容更新。测量Blue Coat Proxy

48、SG对WAN或互联网连接带宽的影响，一种有效方法就是区分出提供给用户内容的流量和 ProxySG消耗的流量，这两者的差被称为“带宽增益”；当一个 ProxySG传递给用户的通讯量超过他从主干获取内容的通讯量时，带宽增益就产生了。下图是Blue Coat Systems产品典型应用环境中的带宽增益情况： 其中，出口连接上的带宽为3000Kbps，与用户通讯带宽为大约4000Kbps，Blue Coat专用设备的安装有效地将网络通道能力提高了33%。由于自适应的刷新算法能够高效地选择对那些对象及在何时进行刷新，Blue Coat SGOS使已有带宽的使用更高效。5.4 新鲜度测量和报告Blue C

49、oat专用设备自动测量和报告传递给用户的内容的新鲜度，这种报告的功能基于自适应的刷新算法所跟踪的Web对象属性。测量功能首先跟踪存储在Blue Coat专用设备中的对象，从上次被检查新鲜度之后被用户访问的次数，然后与自适应的刷新操作相比较；当一个刷新操作发生时不同的结果将会产生： 如果一个对象在服务器上没有改变，那么该对象前面的传递被记录为“新鲜的”；如果该对象在服务器上已经变化了，SGOS将依据该对象在源服务器上改变的时间来计算该对象新鲜传递的比率和是否传递了“陈旧的”内容。 这些信息将报告在Blue Coat管理终端的统计部分，如下图： 通过这种实际的报告机制，网络管理员能够确定用户获得的

50、内容是他们生成请求时Web上存在的内容。5.5 Blue Coat 存储子系统在磁盘上存储对象的方法对于实现高性能和高扩展能力是至关重要的，存储方法将决定(1) 当一个对缓存对象的用户请求到达时，该对象将以多快的速度被访问到，(2) 新的对象将多快被确认并存储到磁盘上，(3) 每个磁盘能对用户请求提供服务的速率。Blue Coat专用设备的对象存储系统不是文件系统，它是对象的缓存，在该专用设备中没有目录，对象的访问是通过内存中的Hash表进行的，从而保证任何对象的获取只需一次磁盘读操作；传统的文件系统在满的时候运行性能很差，而Blue Coat ProxySG能够在满的时候保持高性能。Blue

51、 Coat专用设备中，每个磁盘依据URL的名字部分存储对象，访问被自动平衡到各个可用的磁盘上；缓存通常运行于磁盘存满对象的状态下，旧的、很少被使用的对象将不断被删除，为新进入的对象腾出空间；操作系统中这种磁盘布局和删除算法使得新对象写入磁盘的速度等到优化；在磁盘意外失效时，那部分URL名字空间的对象被自动重映射到其它磁盘上；新磁盘可以加到专用设备中增加其存储能力；没有使用RAID，对于Web专用设备它没有实际的用处，而会浪费磁盘资源。5.6 HTTP 策略控制引擎BlueCoat独特的Web知识架构使SG能够处理所有的Web协议，包括HTTP、HTTPS、FTP、Microsoft 流媒体（M

52、MS和HTTP Streaming）、Real流媒体（RTSP和HTTP Streaming）、QuickTime 流媒体（通过RTSP）、MP3、Flash、和几百种其它的Web对象类型。Blue Coat拥有专利的策略处理引擎（PPEPolicy Process Engine）提供强大的策略定义能力，用户可以定义一系列的、全面的规则来保护、控制和加速用户的访问，同时将这些规则和任意多个条件联系在一起，可以利用现有目录、数据库访问中的用户信息。这个解决方案使用认证标识符来触发所有的动作和规则。Web 访问请求可以进行授权，并可基于所有已知标识符的任意组合进行管理。下面的例子说明使用Blue

53、Coat Systems可实现的功能强大的策略： 安全管理员面临一个新的安全威胁，计划实现一个策略来限制怀疑存在安全漏洞的浏览器的使用，且对某组用户只允许访问某些对业务运作关键的Web站点。有Web访问控制需要的网络管理员可能想实现一个策略，只允许某一网站的用户使用Microsoft媒体播放器，请求.asx文件，访问上的多媒体内容，时间限制在早8:00至晚5:00之间，也可以使用HTTP协议。Blue Coat的Web病毒扫描使安全管理员和网络管理员能够确保储存在本地缓存中的内容是干净的和安全的，不含病毒、蠕虫、和其它的网络安全威胁。如果不对这些内容进行扫描，现有的这些代理服务器只能是将这些危

54、险的内容更快地传送给用户。所有通过ProxySG专用设备的Web事务处理都会被记录，提供详细的统计信息。这为确定Web使用模式、审计用户访问历史、跟踪安全问题、制订全面Web保护和控制策略提供了清楚明了的事实依据。 5.6.1 Blue Coat可视化策略管理器Blue Coat Systems 可视化策略管理器Blue Coat ProxySG互联XXX用户讯控制专用设备操作系统集成的功能模块，以直观的、图形化的方式帮助您完成管理一个网络Web安全相关的复杂策略。管理基于Web的安全问题是一项要求正确工具的复杂工作。随着用户数量的和Web应用的增加，制订Web安全策略的复杂性和因失误带来的风

55、险也随之增加。 Blue Coat可视化策略管理器简化安全策略的建立和管理。管理员能迅速地建立复杂的策略规则，并容易地评估其影响。直观的图形用户界面，对安全管理员来说很熟悉，使得在跨越整个Blue Coat ProxySG组成的网络上细化的、多层的安全策略变得很容易。可视化策略管理器使管理员能够： o 使用强劲的策略加强互联网访问的安全 o 使用图形界面建立和维护策略 o 在装有Web浏览器的任意PC或工作站上启动和使用 o 简化安全策略的生成工作 Blue Coat Systems的可视化策略管理提供了强劲的图形化工具来生成、实现和管理企业的安全策略。使用 Blue Coat 可视化策略管理

56、，安全和网络管理员能够迅速地为SG系列ProxySG专用设备建立策略规则，这套策略规则可根据 Blue Coat功能强大的 Web知识架构所涉及的每个技术细节来建立，并利用策略处理引擎的高性能处理能力进行策略的执行。功能特性 :直观的策略生成界面 快速生成复杂的基于用户、用户组、网络、目录属性、以及内容类型、浏览器类型、协议以及其它更多属性的Web安全策略和控制策略。策略分层 将相似的策略规则分组有利于简化管理工作。例如，内容过滤策略和病毒扫描策略能合并在一个独立的层次，使管理变得简单。另外，如有需要，安全管理员能对某些用户定义例外策略，而不需影响公司统一的标准策略。同时支持多个认证域 定义必

57、须使用哪台认证服务器/认证领域（realm）来进行认证。即使用户信息定义在不同的认证系统中，管理员也能够为这些用户定义一致的安全策略。例如，管理员能在全网范围内定义一条策略，哪怕有的用户定义在NT域中，有的用户定义在LDAP目录中。策略分发自动化 与 Blue Coat Director集中管理设备结合在一起，管理员就能够根据地区来分发策略，而且，在策略修改时，能够自动化分发修改后的策略。内容策略语言（CPL） 处理可视化的策略生成，管理员还能够根据内容策略语言定义内容策略，使用高级宏语言定义策略。暂时禁止 为查错方便，您可暂时进行某些策略规则的执行，而无需删除它们。基于浏览器 基于Java的用户界面，可运行于任何基于Java的Web浏览器。系统需求可视化策略管理器要求 Java Runtime Environment 1.3.1来运行，支持Microsoft 和 Netscape 的web浏览器。如果没有安装 JRE，那么可视化策略管理器在它第一次运行时，自动下载并安装它。