通过策略层定义菜单，选择Add Web Access Layer，增加Web访问控制策略，如下图示：

将生成一条空的访问控制策略，通过Add Rule，Move Up，Move Down等可以定义多个策略，以及改变顺序；每个Web访问控制策略由：Source、Destination、Service、Time和Action五部分组成，缺省为any、any、any、any、DENY，如下图示：

Source条件定义

在Source栏使用鼠标右键，并选择Set进入Source选择页面，选择New，将列出所有条件选项，如下图示：

其中包括各种Source条件定义：

• Client IP Address/Subnet：客户端IP地址或子网
• Client Hostname：客户端主机名
• ProxyIP Address/Port：代理用IP地址和端口
• User：用户名
• Group：用户组名
• Attribute：用户在认证域中的属性
• User Agent：用户端软件定义（Agent）
• IM User Agent：用户端IM软件定义
• Request Header：用户请求的HTTP头信息
• SOCKS Version：用户使用的SOCKS版本
• IM User：IM用户名
• Client Negotiated Cipher：与HTTPS用户证书相关
• Client Negotiated Cipher Strength：与HTTPS用户证书相关
• Combined Source Object：以上条件的组合

Source用户定义

选择User，如下图示：

将进入用户定义页面，如下图示：

其中，下拉式菜单中可以选择从哪个用户认证域选择用户，选择的用户认证域必须是在用户认证策略层中用来进行用户认证的认证域。如果使用的是Local用户列表认证域，在User中直接输入用户名，并选择OK，完成定义；如果使用的是NTLM或LDAP认证域，将出现用户浏览Browser选项，如下图示：

选择Browser，将列出认证域中所有用户，以便选择，如下图示：

选定用户后，选择OK，并在用户定义页面中再选择OK，完成用户定义，如下图示：

如果需对该用户绑定IP地址，在Source栏中，使用鼠标右键，并选择Set/New，选择Combined Source Object，如下图示：

进入组合定义页面，如下图示：

其中，Source框中显示所有已有的Source条件定义，可以通过New再增加更多的Source条件定义，通过Add按钮可以将Source条件加到组合条件中，组合条件有两个框，两个框中的条件以“AND”方式组合，同一框中的条件以“OR”方式组合，Negate为框中定义取“反”值。

上图中，定义用户BCSI2106\dufeng和IP地址192.168.1.181组合成绑定关系，选择OK完成组合定义，并在Source条件定义页面中选择该定义，然后选择OK，完成Source条件选择，如下图示：

如果将Action栏中定义为ALLOW，则定义了用户和IP地址的绑定上网许可。
 
Source用户端软件（Agent）定义

浏览器的低版本都具有一定的安全漏洞，还有一下其它上网软件和“木马”均可以进行互联网访问，定义严格的浏览器类型和版本限制，将有效改善网络安全，在Source选择页面中，New菜单下选择User Agent，如下图示：

将列出所有预定义的User Agent种类，可以从中进行选择，如下图示：

Destination条件定义

在Destination栏中使用鼠标右键，选择Set，可以进入访问目标定义页面，如下图示，选择New，将列出所有条件定义类型：

其中：

• Destinantion IP/Subnet：目标IP地址或子网
• Destination Host/Port：目标主机名及端口
• URL：目标URL
• Category：目标分类
• File Extensions：文件扩展名
• HTTP MIME Type：HTTP定义的MIME类型
• Reponse Code：响应代码
• Reponse Header：响应的HTTP头
• IM Buddy：与聊天软件相关
• IM Chat Room：与聊天软件相关
• Combined Destination Object：以上条件的组合

Destination URL分类定义

选择Category，将进入分类定义页面：

自定义的分类可以增加到Policy分类中，点中Policy，并选择Add，增加新类型，如下图示：

其中，需输入分类名，并选择OK，完成定义，如下图示：

选择定义好的类，并选择Edit URLs进行URL编辑页面，如下图示：

可以在该页面中加入属于本分类的URL，可以定义URL全名，也可以定义域名等；选择OK完成定义。

从分类前面的小框，可以选择该分类，如下图示：

选择OK，完成定义。

以上分类定义页面也可以通过命令菜单中Configuration中的Edit Categories进入，如下图示：

Destination目标文件扩展名定义

在目标选择页面中，New菜单中选择Fiel Extensions，如下图示：

将列出所有预设的文件扩展名定义，如下图示：

可以通过每条前面的小框选择，可以选择多个，并选择OK完成定义。
 
Destination目标MIME类型定义

在目标选择页面中，New菜单中选择HTTP MIME Type，如下图示：

将列出所有预设的HTTP MIME类型定义项，如下图示：

可以通过每条前面的小框选择，可以选择多个，并选择OK完成定义。
 
Service条件定义

在策略的Service栏中使用鼠标右键，并选择Set，如下图示：

将进入Service选择页面，如下图示：

选择New，将列出所有Service条件类型，包括：

• Client Protocol：客户端协议类型
• Protocol Methods：协议方法
• IM File Transfer：IM文件传输
• IM Message Text：IM字符信息，可以对聊天的关键字进行过来，需要IM License
• Streaming Content Type：流媒体内容类型
• Combinded Service Object：以上条件组合
 
客户端协议条件定义

选择Client Protocol，将出现协议选择菜单，在第一个下拉框中选择协议，如下图示：

在第二个下拉框中选择通过主协议的应用协议，例如：主协议为HTTP，可以选择FTP over HTTP，Streaming Over HTTP等，如下图示：

时间条件定义

在策略的Time栏中使用鼠标右键，并选择Set，如下图示：

进入时间条件选择页面，如下图示：

选择New，有两个选择：

• Time：时间段定义
• Combined Time Object：时间段组合定义

选择Combined Time object，进入组合定义，如下图示：

其中，Name可以定义一个名字，如：Work_time，左边大框中将显示，所有可选的时间段定义，选择New，可以生成可选的时间段定义；选择New/Time定义时间段，如下图示：

其中：Name定义一个名字，如：Work_time_morning，可以选择本地时钟或国际标准时钟，Enable前面的小框将启动选择的条件，例如：以上定义了周一到周五的8:00-11:30。选择OK完成定义。在选择New可以生成新的时间段定义，如下图：

其中定义了周一到周五13:00-17:00。
在时间段组合定义页面中，选择Add，将时间段定义加到右边的大框中，右边有两个大框，两个框中的条件为“AND”关系，同一框中的条件为“OR”，如选择以上两个时间段组合为一天的工作时间定义，如下图示：

选择OK，完成时间段组合定义，并在时间定义选择页面中，选定时间定义，并选择OK，完成时间条件定义。
 
操作（Action）定义

在策略的Action栏中使用鼠标右键，见下图：

其中：Allow和Deny为最常用的操作，选择Set可以进入操作选择页面，如下图示：

选择New将列出所有可定义的操作，均于特别应用要求相关，请参阅Blue Coat操作手册。
其中，Return Exception可以选择不同的Deny模式，如下图示：

其中，包括Allow re-authentication操作，即重新认证用户。例如：当使用了将用户名和IP地址绑定策略后，用户从其它IP进行网络访问，将被DENY，同时该DENY将会缓存一段时间（900秒缺省），可以通过以上策略操作的定义，实现这种情况下，让用户用其它用户名上网。

转载请注明：

本文转自：http://www.liusuping.com/Blue-Coat/bluecoat-Web-Access-Layer.html