Créer les règles de filtrage et de NAT

Rendez-vous dans Configuration > Politique de sécurité > Filtrage et NAT.

Configurer la politique de filtrage

Dans l'onglet Filtrage, vous devez définir des règles autorisant ou interdisant les clients VPN SSL à accéder aux ressources internes. Dans notre exemple, nous ajoutons deux règles afin d'autoriser les connexions à partir des clients VPN SSL (UDP et TCP) vers notre intranet en HTTP.

  1. Cliquez sur Nouvelle règle > Règle simple.

  2. Double-cliquez sur le numéro de la règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État : sélectionnez On.

  4. Dans l'onglet Action, champ Action : sélectionnez passer.

  5. Dans l'onglet Source :

    • Sous-onglet Général, champ Machines sources : sélectionnez l'objet représentant les adresses IP des clients VPN SSL UDP lors de l'édition de la première règle, puis l'objet représentant les adresses IP des clients VPN SSL TCP pour la seconde règle.

      Des groupes d'utilisateurs peuvent être ajoutés dans le champ Utilisateur comme critère supplémentaire pour augmenter la sécurité,

    • Sous-onglet Configuration avancée, champ Via : sélectionnez Tunnel VPN SSL.

  6. Dans l'onglet Destination, champ Machines destinations : sélectionnez l'objet représentant le serveur interne ou le réseau intranet.

  7. Dans l'onglet Port / Protocole, champ Port destination : sélectionnez http.

  8. Cliquez sur OK.

Exemple de règle de filtrage

NOTE
Les tunnels VPN SSL étant compatibles avec les fonctions avancées de filtrage, les règles de filtrage peuvent faire appel aux profils d’inspection, proxies applicatifs, contrôle antiviral, etc.

Configurer la politique de NAT

Dans l'onglet NAT ou IPv4 NAT, vous devez mettre en place une règle de translation d’adresses (NAT) si les clients VPN SSL (UDP et TCP) doivent accéder à Internet.

  1. Cliquez sur Nouvelle règle > Règle simple.

  2. Double-cliquez sur le numéro de la nouvelle règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État : sélectionnez On.

  4. Dans l'onglet Source originale :

    • Champ Machines sources : sélectionnez les objets représentant les adresses IP VPN SSL (UDP et TCP),

    • Champ Interface de sortie : sélectionnez VPN SSL.

  5. Dans l'onglet Destination originale, champ Machines destinations : sélectionnez Internet.

  6. Dans l'onglet Source translatée :

    • Champ Machine source translatée : sélectionnez l'objet représentant l'adresse IP publique,

    • Champ Port source translaté : sélectionnez ephemeral_fw,

    • Cochez la case choisir aléatoirement le port source translaté.

  7. Cliquez sur OK.

Exemple de règle de NAT