Limiter l'utilisation du proxy SSL
Pour optimiser la consommation de la mémoire, limitez l'utilisation du proxy SSL en suivant les recommandations ci-dessous.
Pour limiter l'utilisation du proxy SSL, vous pouvez autoriser une connexion directe pour les sites de confiance internes les plus fréquemment utilisés.
Dans le module Configuration > Politique de sécurité > Filtrage et NAT, sur l'onglet Filtrage, ajoutez une règle simple au-dessus de vos règles SSL. Ses propriétés sont les suivantes :
- Action : Passer
- Destination : Objet FQDN représentant votre site de confiance (i.e., objet FQDN mywebsite.com créé au préalable).
- Dest. port : https
Dans cet exemple, toute connexion au site https://mywebsite.com sera autorisée sans être redirigée vers le proxy SSL. Elle consommera donc moins de mémoire et ne sera pas décomptée des connexions SSL.
Ajoutez une règle pour chaque site de confiance.
Si vos utilisateurs disposent de comptes Office 365, vous pouvez autoriser une connexion directe vers toutes les ressources Office 365 sans redirection vers le proxy SSL.
Dans le module Configuration > Politique de sécurité > Filtrage et NAT, sur l'onglet Filtrage, ajoutez une règle simple au-dessus de vos règles SSL. Ses propriétés sont les suivantes :
- Action : Passer,
- Dest. port : https,
- Destination : Dans l'onglet Géolocalisation/Réputation de la destination, sélectionnez la catégorie de réputation Office 365.
Lorsqu'un utilisateur visite une page web, il ouvre une connexion vers le site associé, mais aussi de nombreuses autres connexions vers des sites publicitaires. Pour diminuer le nombre de connexions, il est donc fortement recommandé de bloquer les sites publicitaires (Ads ou Adverstisements & Pop-Ups) dans la politique de filtrage SSL.
Pour pouvoir bloquer de plus nombreuses URL et les filtrer plus finement, préférez la base d'URL Extended Web Control à la Base d'URL embarquée. Les performances seront meilleures car cette base n'est pas chargée en mémoire.
Dans le module Configuration > Objets > URL, sur l'onglet Base d'URL, choisissez Extended Web control comme fournisseur de base d'URL.
Si vous ne disposez pas de l'option Extended Web Control sur votre firewall, contactez votre commercial Stormshield.