Exemple 4 : utilisation d'objets routeur par le proxy SSL

Cet exemple présente l'utilisation d'un objet routeur pour assurer de la redondance au sein du proxy SSL : les deux premiers liens WAN-1 et WAN-2 sont définis comme passerelles principales, le lien WAN-3 étant défini comme une passerelle de secours.

Notez qu'il est également possible d'utiliser un objet routeur avec du partage de charge entre ses passerelles.

Pour plus d'informations sur le filtrage des flux SSL, veuillez consulter la Note Technique Filtrer les connexions HTTPS.

Principe du routage

Le proxy SSL peut utiliser :

  • Une route par défaut au travers d'un objet routeur assurant de la redondance (failover),
  • Du routage par politique de filtrage.

Lorsqu'une passerelle composant l'objet routeur devient injoignable, un paquet RST est envoyé au navigateur web du poste client et ce dernier établit une nouvelle connexion via le Proxy SSL sur un des liens WAN disponibles.

Créer l'objet routeur destiné au routage

  1. Placez-vous dans le menu Configuration > Objets > Réseau.
  2. Cliquez sur Ajouter.
  3. Dans la colonne de gauche de la fenêtre de création d'objet, sélectionnez Routeur.

Propriétés générales

  1. Nommez l'objet (exemple : ROUTER-LILLE-WAN-FAILOVER).

Supervision

  1. Pour la Méthode de détection, sélectionnez ICMP.
  2. Ajustez le Délai d'expiration (s) selon vos besoins.
  3. Ajustez l'Intervalle de tests (s) selon vos besoins.
  4. Ajustez le nombre d'Échecs avant dégradation (3 par défaut).

SLA SD-WAN (seuils)

  1. Cochez la case SLA SD-WAN (seuils).
  2. Ajustez la Latence (ms) selon vos besoins.
  3. Ajustez la Gigue (ms) selon vos besoins.
  4. Ajustez le Taux de perte de paquets (%) selon vos besoins.
  5. Ne renseignez pas de Taux d'indisponibilité (%).

Passerelles

  1. Dans l'onglet Passerelles utilisées, cliquez sur Ajouter.
  2. Dans la colonne Passerelle, sélectionnez l'objet LIL-WAN-1.
  3. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.
  4. Dans l'onglet Passerelles de secours, cliquez sur Ajouter.
  5. Dans la colonne Passerelle, sélectionnez l'objet LIL-WAN-2.
  6. Répétez les étapes 17 et 18 pour ajouter l'objet LIL-WAN-3.
  7. Dans la colonne Cible(s) des tests, sélectionnez Tester directement la passerelle.

Configuration avancée

  1. Dans le cadre Configuration avancée, pour la valeur du champ Répartition de charge, sélectionnez Aucune Répartition de charge.
  2. Pour l'Activation des passerelles de secours, sélectionnez l'option Lorsque toutes les passerelles sont injoignables.
  3. Cliquez sur Appliquer puis Sauvegarder.

Cas du routage par défaut

Ajouter l'objet routeur comme route par défaut

  1. Placez-vous dans le menu Configuration > Réseau > Routage.
  2. Dans le champ Passerelle par défaut, sélectionnez l'objet routeur précédemment créé (ROUTER-LILLE-WAN-FAILOVER dans cet exemple).
  3. Cliquez sur Appliquer puis Sauvegarder.

Créer la règle d'inspection SSL

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
  2. Cliquez sur Nouvelle règleRègle d'inspection SSL.
  3. Dans le champ Machines sources : laissez l'objet Network_internals proposé par défaut ou sélectionnez un objet correspondant à vos machines clientes.
  4. Dans le champ Port dest. : sélectionnez l'objet https.
  5. Si vous n'avez pas défini de Profil d'inspection spécifique ou de Politique de filtrage SSL, vous pouvez laisser les autres valeurs proposées par défaut. Sinon, sélectionnez votre profil d'inspection et / ou votre politique de filtrage SSL.
  6. Cliquez sur Terminer.
  7. Cliquez sur Appliquer pour valider ces modifications de la politique de filtrage.
  8. Choisissez si vous souhaitez Activer maintenant cette politique ou l'activer Plus tard.

La règle d'inspection SSL prend la forme suivante :

Cas du routage par politique de filtrage

Créer la règle d'inspection SSL

  1. Placez-vous dans le menu Configuration > Politique de sécurité > Filtrage et NAT > onglet Filtrage.
  2. Cliquez sur Nouvelle règleRègle d'inspection SSL.
  3. Dans le champ Machines sources : laissez l'objet Network_internals proposé par défaut ou sélectionnez un objet correspondant à vos machines clientes.
  4. Dans le champ Port dest. : sélectionnez l'objet https.
  5. Si vous n'avez pas défini de Profil d'inspection spécifique ou de Politique de filtrage SSL, vous pouvez laisser les autres valeurs proposées par défaut. Sinon, sélectionnez votre profil d'inspection et / ou votre politique de filtrage SSL.
  6. Cliquez sur Terminer.
  7. Double-cliquez dans la colonne Action de la règle de déchiffrement nouvellement créée.
  8. Dans l'onglet Général, pour le champ Passerelle - routeur, sélectionnez l'objet routeur destiné au routage (ROUTER-LILLE-WAN-FAILOVER dans cet exemple).
  9. Cliquez sur OK puis Appliquer pour valider ces modifications de la politique de filtrage.
  10. Choisissez si vous souhaitez Activer maintenant cette politique ou l'activer Plus tard.

La règle d'inspection SSL prend la forme suivante :