Transcription
On lin e H e lpWebsense Content Gatewayv7.0.x
Websense Content Gateway Online Help2009Copyright 1999-2009 Yahoo, Inc., and Websense, Inc. All rights reserved.This document contains proprietary and confidential information of Yahoo, Inc and Websense, Inc. The contents of this document may not bedisclosed to third parties, copied, or duplicated in any form, in whole or in part, without prior written permission of Websense, Inc.Websense and Websense Enterprise are registered trademarks of Websense, Inc., in the United States and certain international markets. Websensehas numerous other unregistered trademarks in the United States and internationally. All other trademarks are the property of their respectiveowners.Every effort has been made to ensure the accuracy of this manual. However, Websense Inc., and Yahoo, Inc. make no warranties with respect to thisdocumentation and disclaim any implied warranties of merchantability and fitness for a particular purpose. Websense Inc. shall not be liable for anyerror or for incidental or consequential damages in connection with the furnishing, performance, or use of this manual or the examples herein. Theinformation in this documentation is subject to change without notice.Traffic Server is a trademark or registered trademark of Yahoo! Inc. in the United States and other countries.Red Hat is a registered trademark of Red Hat Software, Inc.Linux is a registered trademark of Linus Torvalds.Microsoft, Windows, Windows NT, and Active Directory are either registered trademarks or trademarks of Microsoft Corporation in the UnitedStates and/or other countries.Mozilla and Firefox are registered trademarks of the Mozilla Foundation.Netscape and Netscape Navigator are registered trademarks of Netscape Communications Corporation in the United States and in other countries.UNIX is a registered trademark of AT&T.All other trademarks are property of their respective owners.RESTRICTED RIGHTS LEGENDUse, duplication, or disclosure of the technical data contained in this document by the Government is subject to restrictions as set forth in subdivision(c) (1)(ii) of the Rights in Technical Data and Computer Software clause at DFARS 52.227-7013 and/or in similar or successor clauses in the FAR,or in the DOD or NASA FAR Supplement. Unpublished rights reserved under the Copyright Laws of the United States. Contractor/manufactureris Websense, Inc, 10240 Sorrento Valley Parkway, San Diego, CA 92121.Portions of Websense Content Gateway include third-party technology used under license. Notices and attribution are included elsewhere in thismanual.
ContentsContentsTopic 1Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Deployment options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .As a Web proxy cache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .In a cache hierarchy. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .In a cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .As an SSL server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Components . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Cache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .RAM cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Adaptive Redirection Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Host database. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .DNS resolver . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Administration tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Traffic analysis options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Security options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Online Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Technical Support. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Topic 211222333344445677Getting Started . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9Starting and stopping Websense Content Gateway . . . . . . . . . . . . . . . . . 9Starting Websense Content Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . 10Entering your subscription key. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Providing system information . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Verifying that the proxy is running . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Using the command-line interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12Topic 3Web Proxy Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15Cache requests . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Ensuring cached object freshness . . . . . . . . . . . . . . . . . . . . . . . . . . . . .HTTP object freshness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .FTP object freshness . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Scheduling updates to local cache content . . . . . . . . . . . . . . . . . . . . . . .Configuring the Scheduled Update option . . . . . . . . . . . . . . . . . . . .Forcing an immediate update . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Pinning content in the cache. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Setting cache pinning rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Enabling cache pinning . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .To cache or not to cache? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Caching HTTP objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .151616202122232323242424Online Helpi
ContentsClient directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Origin server directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuration directives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Forcing object caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Caching HTTP alternates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring how Websense Content Gateway caches alternates . . .Limiting the number of alternates for an object . . . . . . . . . . . . . . . .Caching FTP objects. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Disabling FTP over HTTP caching. . . . . . . . . . . . . . . . . . . . . . . . . .Disabling FTP proxy object caching. . . . . . . . . . . . . . . . . . . . . . . . .Disabling caching of full or simple directory listings . . . . . . . . . . . .Topic 4Explicit Proxy Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35Manual browser configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using a PAC file. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Sample PAC file . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using WPAD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Topic 5424243445253535455565757585859Clusters. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61Management-only clustering. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Full clustering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Changing clustering mode. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Adding nodes to a cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Deleting nodes from a cluster . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Virtual IP failover. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .What are virtual IP addresses? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .ii35363737Transparent Proxy Caching and ARM. . . . . . . . . . . . . . . . . . . . . . . . 41Enabling the ARM option . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Interception strategies. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using a Layer 4 switch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using a WCCP-enabled router . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using multicast mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using policy-based routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using software-based routing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Interception bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Dynamic bypass rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Static bypass rules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Viewing the current set of bypass rules . . . . . . . . . . . . . . . . . . . . . .Configuring ARM security. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Connection load shedding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Reducing DNS lookups . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .IP spoofing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Topic 62526282930303131323232Websense Content Gateway62626263656566
ContentsEnabling and disabling virtual IP addressing . . . . . . . . . . . . . . . . . . 66Adding and editing virtual IP addresses . . . . . . . . . . . . . . . . . . . . . . 67Topic 7Hierarchical Caching . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69HTTP cache hierarchies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Parent failover . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Configuring Websense Content Gateway to use an HTTP parent cache70ICP cache hierarchies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Configuring Websense Content Gateway to use an ICP cache hierarchy71Topic 8Configuring the Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75RAM cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Changing cache capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Increasing cache capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Reducing cache capacity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring cache object size limit . . . . . . . . . . . . . . . . . . . . . . . . . . . .Clearing the cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Changing the size of the RAM cache . . . . . . . . . . . . . . . . . . . . . . . . . . .Topic 9Monitoring Traffic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79Viewing statistics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Starting Monitor mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using Monitor mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Viewing statistics from the command line . . . . . . . . . . . . . . . . . . . .Working with alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Clearing alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring Websense Content Gateway to email alarms . . . . . . . .Using a script file for alarms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using MRTG . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using SNMP. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Controlling MIB access. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring SNMP trap destinations . . . . . . . . . . . . . . . . . . . . . . . .Enabling SNMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Creating reports with SSL Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . .Certificate Authorities . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Topic nfiguring the System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91Websense Content Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Starting Configure mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Using Configure mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Command-line interface . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuration files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Saving and restoring configurations. . . . . . . . . . . . . . . . . . . . . . . . . . . .919192949596Online Helpiii
ContentsTaking configuration snapshots . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97Restoring configuration snapshots . . . . . . . . . . . . . . . . . . . . . . . . . . 97Topic 11Working With Websense Data Security Suite . . . . . . . . . . . . . . . . . . 99Configuring the ICAP client. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100Topic 12Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101Controlling client access to the proxy cache . . . . . . . . . . . . . . . . . . . .Controlling host access to the proxy server . . . . . . . . . . . . . . . . . . . . .Controlling access to Websense Content Manager . . . . . . . . . . . . . . .Setting the administrator ID and password . . . . . . . . . . . . . . . . . .Creating a list of user accounts . . . . . . . . . . . . . . . . . . . . . . . . . . .Controlling host access to Websense Content Manager . . . . . . . . .Using SSL for secure administration . . . . . . . . . . . . . . . . . . . . . . .Controlling access to Web sites . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring SOCKS firewall integration. . . . . . . . . . . . . . . . . . . . . . .Configuring the proxy to use a SOCKS firewall. . . . . . . . . . . . . . .Setting SOCKS proxy options . . . . . . . . . . . . . . . . . . . . . . . . . . . .Setting authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Setting SOCKS server bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Example. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring proxy authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . .Authentication in transparent proxy mode . . . . . . . . . . . . . . . . . . .Using LDAP proxy authentication . . . . . . . . . . . . . . . . . . . . . . . . .Using RADIUS proxy authentication . . . . . . . . . . . . . . . . . . . . . . .Using NTLM proxy authentication . . . . . . . . . . . . . . . . . . . . . . . . .Topic 13Working With Encrypted Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 121Running in explicit proxy mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Enabling SSL Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Tasks. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Internal Root CAs. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Importing your Root CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Creating your new Root CA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Creating a sub-certificate authority . . . . . . . . . . . . . . . . . . . . . . . . .Backing up your internal Root CA. . . . . . . . . . . . . . . . . . . . . . . . . . . .Managing certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .View a certificate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Delete a certificate. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Change the allow/deny status of a certificate . . . . . . . . . . . . . . . . .Adding new certificate authorities . . . . . . . . . . . . . . . . . . . . . . . . .Backing up certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 0112114117Websense Content 31
ContentsRestoring certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Decryption specifics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring SSL Manager for inbound traffic . . . . . . . . . . . . . . . .Configuring SSL Manager for outbound traffic . . . . . . . . . . . . . . .Validating certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring validation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Bypassing verification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Keeping revocation information up to date . . . . . . . . . . . . . . . . . . . . .Certificate revocation lists. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Online certification status protocol (OCSP) . . . . . . . . . . . . . . . . . .Managing Web HTTPS site access . . . . . . . . . . . . . . . . . . . . . . . . . . .Viewing incidents . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Changing the status of an incident . . . . . . . . . . . . . . . . . . . . . . . . .Deleting an incident . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Changing the text of a message. . . . . . . . . . . . . . . . . . . . . . . . . . . .Viewing incident details . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Adding Web sites to the incident list . . . . . . . . . . . . . . . . . . . . . . .Client certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .When a client certificate is requested . . . . . . . . . . . . . . . . . . . . . . .Importing client certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .When a client certificate is always required: the hostlist . . . . . . . .Deleting client certificates. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .Configuring logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .How long should log files be kept?. . . . . . . . . . . . . . . . . . . . . . . . .How big can log files grow? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .What fields should appear in the access log files? . . . . . . . . . . . . .Customizing messages . . . . . . . . . . . . . . . . . . .
ii Websense Content Gateway Contents Client directives . . . . . . . . . . . . . . . . . . . . . . . . . . .
