Configurer la politique de filtrage et de NAT

Cette section présente la configuration de la politique de filtrage et de NAT à réaliser pour mettre en œuvre des tunnels VPN SSL. Vous pouvez cliquer sur Appliquer à tout moment pour sauvegarder vos modifications.

Configurer la politique de filtrage

Vous devez définir des règles pour autoriser ou interdire l'accès aux ressources internes de votre organisation aux clients VPN SSL. Dans l'exemple ci-dessous, nous ajoutons une règle afin d'autoriser les connexions de tous les utilisateurs à partir des clients VPN SSL en UDP et en TCP vers un intranet en HTTP.

Pour renforcer la sécurité, vous pouvez mettre en place un filtrage fin afin de limiter l'accès des utilisateurs aux seules ressources nécessaires. Pour cela, créez des règles pour chaque groupe d'utilisateurs établissant des tunnels VPN SSL avec le firewall SNS (dans la fenêtre d'édition de la règle : onglet Utilisateur sur les versions SNS 5 ou onglet Source, champ Utilisateur sur les versions SNS 4).

  1. Rendez-vous dans Configuration > Politique de sécurité > Filtrage et NAT, onglet Filtrage.

  2. Cliquez sur Nouvelle règle > Règle simple et double cliquez sur le numéro de la règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État, sélectionnez On.

  4. Dans l'onglet Action, champ Action, sélectionnez passer.

  5. Dans l'onglet Source :

    1. Sous-onglet Général, champ Machines sources, sélectionnez les objets représentant les adresses IP des clients VPN SSL en UDP et TCP,

    2. Sous-onglet Configuration avancée, champ Via, sélectionnez Tunnel VPN SSL.

  6. Dans l'onglet Destination, champ Machines destinations, sélectionnez l'objet représentant le serveur interne ou le réseau intranet.

  7. Dans l'onglet Port / Protocole, champ Port destination, sélectionnez http.

  8. Cliquez sur OK.

NOTE
Les règles sont examinées dans l’ordre de leur numérotation. Vous pouvez également faire appel aux fonctions avancées de filtrage (profils d’inspection, proxies applicatifs, contrôle antiviral, ...).

Écran de configuration de la politique de filtage sur un firewall SNS en version 5

Configurer la politique de NAT

Si les clients VPN SSL en UDP et en TCP doivent accéder à Internet, vous devez mettre en place une règle de translation d’adresses (NAT).

  1. Rendez-vous dans Configuration > Politique de sécurité > Filtrage et NAT, onglet NAT.

  2. Cliquez sur Nouvelle règle > Règle de partage d'adresse source (masquerading) et double cliquez sur le numéro de la règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État, sélectionnez On.

  4. Dans l'onglet Source originale :

    1. Champ Machines sources, sélectionnez les objets représentant les adresses IP des clients VPN SSL en UDP et en TCP,

    2. Champ Interface d'entrée, sélectionnez VPN SSL.

  5. Dans l'onglet Destination originale, champ Machines destinations, sélectionnez Internet.

  6. Dans l'onglet Source translatée, champ Machine source translatée, sélectionnez l'objet représentant l'adresse IP publique.

  7. Dans le champ Port source translaté, cochez choisir aléatoirement le port source translaté.

  8. Cliquez sur OK.

Écran de configuration de la politique de NAT sur un firewall SNS en version 5