Créer les règles de filtrage et de NAT

Rendez-vous dans Configuration > Politique de sécurité > Filtrage et NAT.

Configurer la politique de filtrage

Vous devez définir des règles autorisant ou interdisant les clients VPN SSL à accéder aux ressources internes. Dans notre exemple, nous ajoutons 2 règles afin d'autoriser les connexions à partir des clients VPN SSL en UDP et en TCP vers notre intranet en HTTP.

Pour augmenter la sécurité, vous pouvez aussi créer des règles pour des groupes d'utilisateurs spécifiques (champ Utilisateur) et faire appel aux fonctions avancées de filtrage (profils d’inspection, proxies applicatifs, contrôle antiviral, etc.).

  1. Dans l'onglet Filtrage, cliquez sur Nouvelle règle > Règle simple.

  2. Double cliquez sur le numéro de la règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État, sélectionnez On.

  4. Dans l'onglet Action, champ Action, sélectionnez passer.

  5. Dans l'onglet Source, sous-onglet Général, champ Machines sources, sélectionnez l'objet représentant les adresses IP des clients VPN SSL en UDP pour la première règle. Pour la seconde règle, sélectionnez l'objet représentant les adresses IP des clients VPN SSL en TCP.

  6. Dans le sous-onglet Configuration avancée, champ Via, sélectionnez Tunnel VPN SSL.

  7. Dans l'onglet Destination, champ Machines destinations, sélectionnez l'objet représentant le serveur interne ou le réseau intranet.

  8. Dans l'onglet Port / Protocole, champ Port destination, sélectionnez http.

  9. Cliquez sur OK.

Écran de la politique de filtrage sur un firewall SNS en version 4 (similaire en version 3).

Écran de la politique de filtrage sur un firewall SNS en version 4

Configurer la politique de NAT

Vous devez mettre en place une règle de translation d’adresses (NAT) si les clients VPN SSL en UDP et en TCP doivent accéder à Internet.

  1. Dans l'onglet NAT ou IPv4 NAT, cliquez sur Nouvelle règle > Règle simple.

  2. Double cliquez sur le numéro de la nouvelle règle pour ouvrir sa fenêtre d'édition.

  3. Dans l'onglet Général, champ État, sélectionnez On.

  4. Dans l'onglet Source originale, champ Machines sources, sélectionnez les objets représentant les adresses IP des clients VPN SSL en UDP et en TCP.

  5. Dans le champ Interface de sortie, sélectionnez VPN SSL.

  6. Dans l'onglet Destination originale, champ Machines destinations, sélectionnez Internet.

  7. Dans l'onglet Source translatée, champ Machine source translatée, sélectionnez l'objet représentant l'adresse IP publique.

  8. Dans le champ Port source translaté, sélectionnez ephemeral_fw et cochez la case choisir aléatoirement le port source translaté.

  9. Cliquez sur OK.

Écran de la politique de NAT sur un firewall SNS en version 4 (similaire en version 3).

Écran de la politique de NAT sur un firewall SNS en version 4