Onglet Proxy
Connexion
| Conserver l’adresse IP source originale | Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande. Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée. |
Filtrage URL (base Extended Web Control uniquement)
| Lorsque l'URL n'a pas pu être classifiée | Le choix est l’action Passer ou Bloquer. Si une URL n’est pas répertoriée dans une catégorie d’URL, cette action détermine si l’accès au site est autorisé. |
| Autoriser les adresses IP dans les URL | Une option permet d’autoriser ou non l'usage d'adresse IP dans l’URL, c’est-à-dire l'accès à un site par son adresse IP et non par son nom de domaine. En effet, cet usage peut être une tentative de contournement du filtrage URL. Si l’option est décochée et que l’URL interrogée (contenant une adresse IP) ne peut être classifiée par le système de Filtrage URL, son accès sera bloqué. Cependant, cette option est conçue pour s’appliquer après l’évaluation du filtrage. En conséquence, un serveur interne joint par son adresse IP, ne sera pas bloqué si son accès est explicitement autorisé dans la politique de filtrage (politique différente de pass all). Cet accès peut être autorisé via les objets Réseau de base du firewall (RFC5735) ou le groupe « Private IP » de la Base URL EWC. |
NOTE
Que l’option précédente soit activée ou non, une adresse IP écrite dans un format différent du type a.b.c.d, est systématiquement bloquée.
Extensions du protocole HTTP
| Autoriser les connexions WebDAV (lecture et écriture) | WebDAV est un ensemble d’extensions au protocole HTTP concernant l’édition et la gestion collaborative de documents. Si cette option est cochée, le protocole WebDav est autorisé au travers du firewall Stormshield Network. |
| Autoriser les tunnels TCP (méthode CONNECT) | La méthode CONNECT permet de réaliser des tunnels sécurisés au travers de serveurs proxies. Si cette option est cochée la méthode CONNECT est autorisée au travers du firewall Stormshield Network. |
Tunnels TCP : Liste des ports de destinations autorisés
Cette zone sert à spécifier quels types de service peuvent utiliser la méthode CONNECT.
| Port de destination (objet service) | Le bouton Ajouter vous permet d’ajouter des services via la base d’objets. Pour modifier un service, sélectionnez la ligne à modifier puis faites votre nouvelle sélection. Le bouton Supprimer vous permet de supprimer le service sélectionné. |
Configuration avancée
Qualité de la protection
| Vérifier l’encodage de l’URL | En cochant cette option, la politique de filtrage ne peut être contournée. |
Trafic émis vers le serveur
| Ajouter l’utilisateur authentifié dans l’en-tête HTTP | Si le proxy HTTP externe nécessite une authentification des utilisateurs, l’administrateur peut cocher cette option pour envoyer au proxy externe les informations concernant l’utilisateur recueilli par le module d’authentification du firewall. |
Proxy explicite
Le proxy explicite permet de référencer le proxy du firewall dans le navigateur et de lui transmettre directement les requêtes HTTP.
| Activer l'authentification "Proxy-Authorization" (HTTP 407) | Le navigateur demande à l’utilisateur de s’authentifier via une fenêtre de message et l’information de connexion est relayée au Firewall via l’entête HTTP. NOTE Pour plus d’informations, consultez l’aide du module Authentification, section « Proxy HTTP transparent ou explicite et objets Multi-utilisateur » |