Onglet Proxy

Connexion

Conserver l’adresse IP source originale Lorsqu’une requête est effectuée par un client web (navigateur) vers le serveur, le firewall l’intercepte et vérifie que celle-ci soit conforme aux règles de filtrage d’URL puis il relaie la demande.
Si cette option est cochée, cette nouvelle requête utilisera l’adresse IP source originale du client web qui a émis le paquet. Dans le cas contraire, c’est l’adresse du firewall qui sera utilisée.

Inspection de contenu

Certificats auto-signés Ces certificats sont à usage interne et signés par votre serveur local. Ils permettent de garantir la sécurité de vos échanges, et, entre autres, d’authentifier les utilisateurs.
Cette option détermine l’action à effectuer lorsque vous rencontrez des certificats auto-signés :
  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Interdire : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Certificats expirés Les certificats expirés sont antérieurs ou postérieurs à la date en cours et ne sont donc pas « valides ». Pour y remédier, ils doivent être renouvelés par une autorité de certification.

AVERTISSEMENT
Les certificats expirés peuvent présenter un risque de sécurité. Après expiration d’un certificat, la CA l’ayant émis n’est plus responsable d’une utilisation malveillante de celui-ci.


Cette option détermine l’action à effectuer lorsque vous rencontrez des certificats expirés :
  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Interdire : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Certificats inconnus Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats inconnus :
  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Ne pas déchiffrer : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent transitent sans être analysés par le moteur de prévention d'intrusion.
  • Interdire : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Type de certificat incorrect

Ce test valide le type du certificat. Un certificat est considéré conforme s’il est utilisé dans le cadre défini par sa signature. Ainsi, un certificat utilisateur employé par un serveur est non conforme.

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats non conformes :
  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Interdire : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.

Certificat avec FQDN incorrect

Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats dont le format du nom de domaine (FQDN) est invalide :
  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Interdire : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Lorsque le FQDN du certificat diffère du nom de domaine SSL Cette option va déterminer l’action à effectuer lorsque vous rencontrez des certificats dont le nom de domaine (FQDN) est différent du nom de domaine SSL attendu :
  • Déléguer à l'utilisateur : cette action provoque une alerte de sécurité dans l'explorateur Web du client. Le client décide alors de poursuivre ou non la connexion vers le serveur concerné. Une alarme est générée et l'action du client est enregistrée dans le fichier de logs l_alarm.
  • Continuer l’analyse : ces certificats sont acceptés sans générer d'alerte de sécurité dans l'explorateur Web du client. Les flux transitent et sont analysés par le moteur de prévention d'intrusion.
  • Interdire : ces certificats sont refusés par le firewall et les flux correspondant sont bloqués.
Autoriser les adresses IP dans les noms de domaine SSL Cette option permet d’autoriser ou non l'accès à un site par son adresse IP et non par son nom de domaine SSL.

Support

Si le déchiffrement échoue Cette option va déterminer l’action à effectuer lorsque le déchiffrement échoue: vous pouvez choisir de Interdire le trafic ou de Ne pas déchiffrer. En choisissant cette deuxième possibilité, le trafic ne sera pas inspecté.
Lorsque le certificat n'a pas pu être classifié Le choix est l’action Autoriser sans déchiffrer ou Interdire sans déchiffrer. Si un certificat n’est pas répertorié dans une catégorie de certificat, cette action détermine si le trafic est autorisé ou non.