Créer une règle d'inspection SSL dans la politique de filtrage

Pour que votre politique de filtrage SSL nouvellement créée soit prise en compte dans la politique de filtrage du firewall, vous devez créer une règle d'inspection SSL.

  1. Connectez-vous à l'interface Web d'administration.
  2. Dans le module Configuration > Politique de sécurité > Filtrage et NAT, sélectionnez l'onglet Filtrage.
  3. Dans la liste déroulante, choisissez la politique de filtrage à laquelle associer le filtrage SSL.
  4. Cliquez sur Nouvelle règle > Règle d'inspection SSL.
  5. Dans la zone Profil du trafic à déchiffrer de l'Assistant d'inspection SSL, conservez les valeurs par défaut pour créer une règle qui interceptera tous les flux provenant du réseau interne à destination d’internet sur le groupe de port ssl_srv. Le groupe de port ssl_srv contient les ports standard des services utilisant une session TLS : HTTPS, SMTPS, POPS, etc. En revanche, FTPS n'est pas géré par le proxy SSL.

     

    Modifiez la valeur des champs si la configuration par défaut ne vous convient pas. Par exemple, si vous utilisez le proxy SSL exclusivement pour le flux HTTPS, indiquez https seul à la place de ssl_srv afin de réduire la consommation du firewall. Utilisez le groupe de port ssl_srv uniquement si tous les protocoles qu'il englobe doivent être déchiffrés.

  6. Dans la zone Inspecter le trafic chiffré, entrez les informations suivantes :
    • Profil d'inspection : Sélectionnez le profil d'inspection souhaité. Pour plus d'informations, reportez-vous au Guide d'administration et de configuration.
    • Politique de filtrage SSL : Sélectionnez la politique de filtrage que vous avez créée dans la section Définir une politique de filtrage SSL (SSLFilter_00).
  7. Cliquez sur Terminer. L’assistant crée deux règles de filtrage :
    • La première règle permet d'intercepter les flux provenant du réseau interne à destination d’internet sur le groupe de port ssl_srv. Ces flux sont dirigés vers le proxy SSL. Cette règle applique le filtrage SSL et l'action Déchiffrer.
    • La deuxième règle autorise les flux provenant du réseau interne et sortant du proxy SSL à destination d’Internet.
  8. Si vous avez choisi la méthode de filtrage SANS déchiffrement des flux SSL, désactivez la deuxième règle car elle ne sera pas utilisée.
    Règles de filtrage SSL sans déchiffrement des flux SSL
  9. Si vous avez choisi la méthode de filtrage AVEC déchiffrement des flux SSL, double-cliquez dans la colonne Inspection de sécurité de la deuxième règle et activez les protections applicatives de votre choix (Antivirus, antispam, filtrage URL, etc.).
    Règles de filtrage SSL avec déchiffrement des flux SSL