L’onglet Serveurs web
Cette section rassemble les serveurs configurés pour les accès aux ressources de type Web.
Le nombre de serveurs Web configurables varie selon les modèles de firewalls :
Modèle | Nbre max. serveurs HTTP | Nbre max. serveurs Autres |
SN160(W), SN210(W), SN310 | 64 | 64 |
SN510, SN710, SNi40, SNi20 | 128 | 128 |
SN910 | 256 | 256 |
SN2000, SN2100, SN3000, SN3100, SN6000, SN6100 | 512 | 512 |
Ajout d’un serveur web
Pour ajouter un serveur d’accès Web, suivez la procédure suivante :
- Cliquez sur le bouton Ajouter.
- Sélectionnez l’un des serveurs proposés.
Un écran contenant des noms de serveurs s'affiche. - Indiquez un nom pour ce serveur (le nom ne peut être vide, et les caractères autorisés sont : les chiffres, les lettres, l’espace, -, _, et le point.).
La configuration de ce serveur apparaît. Les explications des différents paramètres sont données ci-dessous.
Serveur de destination | Le champ permet de spécifier l’objet correspondant au serveur auquel l’utilisateur pourra accéder. AVERTISSEMENT |
Port | Champ permettant de spécifier le port du serveur auquel l’utilisateur veut accéder. Le port défini est 80 pour http. |
URL : chemin d’accès | Cette URL permet d’arriver directement sur la page spécifiée. |
URL utilisée par le VPN SSL | Lien calculé selon les 3 champs Serveur de destination, Port et URL : chemin d’accès. (Exemple : http://serveur de destination/URL : chemin d’accès). |
Nom du lien sur le portail utilisateur | Le lien défini apparaît sur le portail Web Stormshield Network. Lorsque l’utilisateur clique sur ce lien, il est redirigé vers le serveur correspondant. |
Configuration avancée
Activer la liste blanche d’URL | Seuls les liens réécrits par le module VPN SSL sont accessibles au travers du VPN SSL. S’il existe sur un site autorisé un lien vers un site Web extérieur (dont le serveur n’est pas défini dans la configuration VPN SSL), celui-ci sera inaccessible par le VPN SSL. Lorsque la liste blanche est activée, elle permet l’accès à des URL qui ne seraient pas réécrites via le champ Ne pas réécrire les URL de la catégorie. Par exemple, pour un accès vpnssl webmail, si l’on souhaite autoriser les utilisateurs à quitter le vpnssl en cliquant sur les liens contenus dans leurs mails, dans ce cas il faut ajouter une liste blanche contenant « * ». AVERTISSEMENT |
Ne jamais afficher ce serveur sur le portail utilisateur (accès via un autre serveur uniquement) | Tous les serveurs configurés dans la configuration du VPN SSL sont par défaut indiqués sur le portail d’authentification Stormshield Network. Toutefois il pourrait être nécessaire qu’un de ces serveurs ne soit accessible que par l’intermédiaire d’un autre serveur, alors, dans ce cas, il faudrait cocher l’option « Ne pas afficher ce serveur sur le portail ». En effet lorsque cette option est cochée dans la configuration d’un serveur, ce serveur est accessible par le VPN SSL mais n’est pas présent dans la liste d’accès direct. Il faut un lien sur un serveur vers ce serveur pour y accéder. Une application peut utiliser plusieurs serveurs mais n’avoir qu’un seul point d’entrée, donc un seul lien dans le menu du portail. |
Désactiver la méthode d’authentification NTLM | Certains serveurs Web peuvent demander une authentification préalable au transfert de flux entre le serveur et l’utilisateur. Ne supportant pas cette méthode d’authentification pour les trafics traversant le firewall, celle-ci peut être désactivée. |
Réécrire le champ « User-Agent » (force le mode compatibilité d’OWA) | Le champ "User-Agent" de l’entête d’une requête HTTP contient l’identifiant de navigateur Web utilisé par l’utilisateur. Pour Internet Explorer par exemple : Mozilla/4.0 (compatible; MSIE 6.0 ...). La réécriture du "User-Agent" permet donc de modifier la requête HTTP de telle façon que l’on pense qu’elle provient d’un autre type de navigateur qu’en réalité. Cette option est notamment utile dans une utilisation dégradée d'Outlook Web Access (OWA). En effet, Outlook Web Access (OWA) en mode premium, mode très évolué d'Outlook Web Access fait appel au Webdav, une extension du protocole HTTP. Ces extensions n’étant pas supportées par tous les équipements réseau (le mode premium d'OWA est supporté par le module VPN SSL des Firewalls Stormshield Network), le transit de ces trafics pourrait poser des problèmes de compatibilité en particulier sur Internet. Plutôt que de devoir dégrader l’utilisation d'OWA pour tous les utilisateurs (interne et externe), l’option Réécriture du User-Agent permet une utilisation "premium" de OWA en interne (compatibilité avec le mode premium facile à obtenir) et une utilisation "dégradée" en passant par le VPN SSL (utilisé par les utilisateurs nomades, via Internet). En effet les "vieux" navigateurs Web ne supportent pas ces extensions, OWA fonctionne donc automatiquement en mode dégradé lorsqu’il rencontre le "User-Agent" de ces navigateurs. |
Réécrire le code spécifique au mode Premium d’OWA | En cochant cette option, vous activez les règles spécifiques de réécriture permettant de supporter Outlook Web Access en mode premium. |
Lotus Domino Web Access version 7.0.4 fonctionne à travers les tunnels VPN SSL. Il n’est donc pas nécessaire d’activer les règles spécifiques de réécriture permettant de supporter les applications Web de Lotus domino.
URL alternatives pour ce serveur (alias)
Alias du serveur | Les alias permettent d’indiquer au module VPN SSL que le serveur possède plusieurs noms et/ou adresses IP. Si un serveur de mails est défini comme l’objet « webmail.intranet.com » auquel on assigne l’alias "192.168.1.1", lorsque le lien visité sera « http://webmail.intranet.com » ou "http://192.168.1.1" l’utilisateur sera redirigé vers le serveur de mails. En cliquant sur le bouton Ajouter, une ligne s’affiche vous permettant d’ajouter un nouvel alias. |
Ajout d’un serveur web OWA
Le module VPN SSL des Firewalls Stormshield Network supporte les serveurs OWA ("Outlook Web Access") : Exchange 2003, 2007, 2010.
Le mode « Premium » est basé sur les technologies web comme html, css, javascript mais également sur des technologies propriétaires Microsoft comme htc, xml, activeX.
En Exchange 2003, les liens sont des liens absolus que ce soit dans les pages HTML, les scripts javascripts, dans les données XML, dans les feuilles XSL. C’est-à-dire de type http://www.compagnie.com/index.htm.
Il est donc possible d’ajouter dans la liste des serveurs d’accès Web, un serveur HTTP avec certaines options spécifiquement pré remplies pour une parfaite compatibilité avec OWA.
Pour ajouter un serveur HTTP-OWA, suivez la procédure suivante :
- Cliquez sur le bouton Ajouter.
- Sélectionnez Serveur web OWA 2003 (mode Premium) ou Serveur web OWA 2007 – 2010 (mode premium).
- Indiquez un nom pour ce serveur (le nom ne peut être vide, et les caractères autorisés sont : les chiffres, les lettres, l’espace, -, _, et le point.).
Les options pré-remplies pour un serveur OWA 2003 premium sont :
- Le port « http »,
- Le champ URL : chemin d’accès avec l'indication "exchange",
- Le champ Activer la liste blanche d’URL coché,
- Le champ Ne pas réécrire les URL de la catégorie avec l’indication « vpnssl_owa »,
- Le champ Désactiver la méthode d’authentification NTLM ,
- Le champ Réécrire le code spécifique au mode Premium d’OWA.
Pour un serveur OWA 2007-2010, les champs préremplis sont :
- Le port http,
- Le champ URL : chemin d’accès avec l'indication "owa",
- Le champ Activer la liste blanche d’URL avec l’indication de la catégorie d’URL « vpnssl_owa »,
- Le champ Réécrire le code spécifique au mode Premium d’OWA.
Les autres options non remplies doivent être configurées de la même manière que pour un serveur d’accès Web "normal".
Ajout d’un serveur web Lotus Domino
Le module VPN SSL des Firewalls Stormshield Network supporte les serveurs Lotus domino.
Il est possible d’ajouter dans la liste des serveurs d’accès Web, un serveur HTTP avec certaines options spécifiquement pré remplies pour une parfaite compatibilité avec LOTUS DOMINO.
Pour ajouter un serveur HTTP-Lotus domino, suivez la procédure suivante :
- Cliquez sur le bouton Ajouter.
- Sélectionnez Serveur web Lotus Domino.
- Indiquez un nom pour ce serveur (le nom ne peut être vide, et les caractères autorisés sont : les chiffres, les lettres, l’espace, -, _, et le point.).
L’option pré-remplie pour un serveur Lotus domino est le champ : Port « http ».