Adapter la politique de filtrage pour les comptes temporaires

La politique de filtrage décrite ci-dessous permet aux utilisateurs parrainés d'accéder aux sites Internet en HTTP et HTTPS avec du filtrage d'URL.

Créer une règle d'inspection SSL

L'assistant permet de créer deux règles : l'une destinée à déchiffrer les flux HTTPS, l'autre pour les rediriger vers le proxy SSL afin de les soumettre au filtrage d'URL et aux traitements de prévention d'intrusion.

  1. Dans l'onglet Filtrage du module Configuration > Politique de sécurité > Filtrage et NAT, cliquez sur le bouton Nouvelle règle et sélectionnez Règle d'inspection SSL.
  2. Renseignez les réseaux ou machines sources (colonne Depuis - sponsorship_network dans l'exemple), la destination (colonne Vers - Internet dans l'exemple) et le port destination (HTTPS dans l'exemple). Validez en cliquant sur Terminer.
  3. Faites un double-clic sur la source de la règle de redirection vers le proxy SSL. Dans le champ Utilisateur, sélectionnez Any user@sponsored_users.local.domain.
  4. Dans l'onglet Configuration avancée, sélectionnez Parrainage comme Méthode d'authentification.
  5. Dans la section Port / Protocole, sélectionnez la valeur Protocole applicatif pour le champ Type de protocole, puis HTTP pour le Protocole applicatif.
  6. Dans la section Inspection, sélectionnez le profil de filtrage d'URL à appliquer (URLFilter_00 dans l'exemple).
  7. Validez en cliquant sur OK.

Créer une règle de redirection vers le portail captif

  1. Dans l'onglet Filtrage du module Configuration > Politique de sécurité > Filtrage et NAT, cliquez sur le bouton Nouvelle règle et sélectionnez Règle d'authentification.
  2. Dans l'assistant de création, renseignez les réseaux ou machines sources (champ Depuis - sponsorship_network dans l'exemple) et la destination (champ Vers - Internet dans l'exemple) pour lesquels les utilisateurs non authentifiés seront redirigés vers le portail captif.
  3. Validez en cliquant sur le bouton Terminer. Cette règle sélectionne le port HTTP comme port destination par défaut.
  4. Pour y ajouter le port HTTPS, double-cliquez sur le champ Port dest. de cette règle. Dans le champ Port destination de la fenêtre d'édition de la règle, ajoutez le port HTTPS. Validez en cliquant sur OK.
  5. A l'aides des flèches Monter et Descendre, placez cette règle entre la règle de déchiffrement SSL et la règle de redirection vers le proxy SSL.

Ajouter la règles de filtrage des flux HTTP pour les utilisateurs parrainés

  1. Dans l'onglet Filtrage du module Configuration > Politique de sécurité > Filtrage et NAT, cliquez sur le bouton Nouvelle règle et sélectionnez Règle simple.
  2. Dans la colonne Status, double-cliquez sur Off pour activer la règle (l'état de la règle passe à On).
  3. Dans la colonne Action, double-cliquez sur bloquer puis choisissez la valeur passer pour le champ Action. Sélectionnez le niveau de traces souhaité pour les connexions correspondant à cette règle; tracer (journal de filtrage) permet de visualiser les événements liés aux connexions des utilisateurs parrainés dans les journaux de connexion par exemple.
  4. Dans la section Source située sur la gauche de la fenêtre d'édition de la règle, affectez les valeurs suivantes aux différents champs :

Onglet général

  • Utilisateur : sélectionnez Any user@sponsored_users.local.domain.
  • Machines sources : sélectionnez le réseau des comptes parrainés.

Onglet configuration avancée

  • Méthode d'authentification : sélectionnez la méthode Comptes temporaires.
  1. Dans la section Destination, sélectionnez l'objet Internet pour le champ Machines destinations.
  2. Dans la section Port / Protocole, sélectionnez l'objet HTTP pour le champ Port destination.
  3. Dans la section Inspection, laissez le mode IPS proposé par défaut et sélectionnez le profil de filtrage d'URL à appliquer (URLFilter_00 dans l'exemple). Ce profil pourra être personnalisé dans le menu Politique de sécurité > Filtrage URL..

La politique de filtrage concernant les utilisateurs parrainés prend ainsi la forme suivante :

Exemple de politique de filtrage avec authentification