Créer une règle d'inspection SSL dans la politique de filtrage
Pour que votre politique de filtrage SSL nouvellement créée soit prise en compte dans la politique de filtrage du firewall, vous devez créer une règle d'inspection SSL.
- Connectez-vous à l'interface Web d'administration.
- Dans le module Configuration > Politique de sécurité > Filtrage et NAT, sélectionnez l'onglet Filtrage.
- Dans la liste déroulante, choisissez la politique de filtrage à laquelle associer le filtrage SSL.
- Cliquez sur Nouvelle règle > Règle d'inspection SSL.
- Dans la zone Profil du trafic à déchiffrer de l'Assistant d'inspection SSL, conservez les valeurs par défaut pour créer une règle qui interceptera tous les flux provenant du réseau interne à destination d’internet sur le groupe de port ssl_srv. Le groupe de port ssl_srv contient les ports standard des services utilisant une session TLS : HTTPS, SMTPS, POPS, etc.
En revanche, FTPS n'est pas géré par le proxy SSL.
Modifiez la valeur des champs si la configuration par défaut ne vous convient pas. Par exemple, si vous utilisez le proxy SSL exclusivement pour le flux HTTPS, indiquez https seul à la place de ssl_srv afin de réduire la consommation du firewall. Utilisez le groupe de port ssl_srv uniquement si tous les protocoles qu'il englobe doivent être déchiffrés.
- Dans la zone Inspecter le trafic chiffré, entrez les informations suivantes :
- Profil d'inspection : Sélectionnez le profil d'inspection souhaité. Pour plus d'informations, reportez-vous au Guide d'administration et de configuration.
- Politique de filtrage SSL : Sélectionnez la politique de filtrage que vous avez créée dans la section Définir une politique de filtrage SSL (SSLFilter_00).
- Cliquez sur Terminer. L’assistant crée deux règles de filtrage :
- La première règle permet d'intercepter les flux provenant du réseau interne à destination d’internet sur le groupe de port ssl_srv. Ces flux sont dirigés vers le proxy SSL. Cette règle applique le filtrage SSL et l'action Déchiffrer.
- La deuxième règle autorise les flux provenant du réseau interne et sortant du proxy SSL à destination d’Internet.
- Si vous avez choisi la méthode de filtrage SANS déchiffrement des flux SSL, désactivez la deuxième règle car elle ne sera pas utilisée.
-
Si vous avez choisi la méthode de filtrage AVEC déchiffrement des flux SSL, double-cliquez dans la colonne Inspection de sécurité de la deuxième règle et activez les protections applicatives de votre choix (Antivirus, antispam, filtrage URL, etc.).
Vous pouvez établir des règles différentes selon les groupes d'utilisateurs. Par exemple dans le cas d'un lycée, on peut avoir deux groupes, Elèves et Professeurs, qui n'auront pas accès aux mêmes sites. Après avoir créé vos deux règles d'inspection SSL :
- Double-cliquez sur la deuxième règle pour l'éditer.
- Dans le menu Source, sur l'onglet Général, dans le champ Utilisateurs, choisissez le groupe d'utilisateurs concerné par ce filtrage SSL (par exemple le groupe Elèves).
- Faites un copier-coller des deux règles.
- Double-cliquez sur la première règle que vous venez de copier pour l'éditer.
- Dans le menu Source, sur l'onglet Général, dans le champ Utilisateurs, choisissez le groupe d'utilisateurs concerné par ce filtrage SSL (par exemple le groupe Professeurs).
- Dans le menu Inspection, dans le champ Filtrage SSL, choisissez la politique de filtrage SSL que vous souhaitez associer au groupe Professeurs.
Si les utilisateurs doivent s'authentifier lorqu'ils tentent de se connecter à un site HTTPS, vous devez ajouter une règle qui permet la redirection vers le portail captif. Cette règle doit être placée juste après la règle de déchiffrement.
Ajoutez cette règle en utilisant le bouton Nouvelle règle, puis choisissez Règle d'authentification. Modifiez ensuite le Port de destination pour https.