Contents

Rubriques Connexes

Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL

Forcer tout le trafic client à passer par le tunnel

Il s'agit de l'option la plus sûre. Elle consiste à acheminer tout le trafic Internet des utilisateurs distants vers le Firebox par le biais du tunnel VPN. Depuis le Firebox, le trafic est ensuite renvoyé à Internet. Dans cette configuration (appelée « VPN avec route par défaut »), le Firebox peut examiner tout le trafic et offrir une sécurité accrue. Toutefois, cela nécessite plus de puissance de traitement et de bande passante du Firebox. Cela peut avoir une incidence sur les performances réseau si vous avez un grand nombre d'utilisateurs VPN. Par défaut, une stratégie intitulée Autoriser SSLVPN-Users permet d'accéder à toutes les ressources internes et à Internet.

Autoriser l'accès direct à Internet

Si vous sélectionnez Trafic VPN routé dans la configuration Mobile VPN with SSL et que vous forcez tout le trafic client par le tunnel, vous devez configurer ressources autorisées pour les utilisateurs VPN SSL. Si vous sélectionnez Spécifier les ressources autorisées ou Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés, seul le trafic vers ces ressources est envoyé par le tunnel VPN. Tout le reste du trafic passe directement sur Internet et sur le réseau auquel l'utilisateur SSL VPN distant est connecté. Cette option peut nuire à la sécurité car tout le trafic envoyé sur Internet ou sur le réseau du client distant n'est pas chiffré ou soumis aux stratégies que vous avez configurées dans le Firebox.

Utiliser le proxy HTTP pour contrôler l'accès Internet pour les utilisateurs Mobile VPN with SSL

Si vous configurez Mobile VPN with SSL pour forcer tout le trafic client par le tunnel, vous pouvez utiliser des stratégies de proxy HTTP pour limiter l'accès à Internet. La stratégie par défaut Autoriser SSLVPN-Users n'a aucune restriction sur le trafic qu'il autorise en provenance des clients SSL vers Internet. Pour limiter l'accès Internet, vous pouvez utiliser une stratégie de proxy HTTP que vous avez déjà configurée ou ajouter une nouvelle stratégie de proxy HTTP pour les clients SSL.

Pour ajouter le groupe SSLVPN-Users à la stratégie de proxy HTTP, dans Fireware Web UI :Closed
  1. Sélectionnez Pare-feu > Stratégies de Pare-feu.
  2. Double-cliquez sur la stratégie pour ouvrir la page Configuration de stratégie.
  3. Dans l'onglet Stratégie, cliquez sur Ajouter dans la zone De.
  4. Dans la liste déroulante Type de Membre, sélectionnez SSLVPN Group.
  5. Sélectionnez SSLVPN-Users et cliquez sur OK.
  6. Cliquez sur Sauvegarder
Pour ajouter le groupe SSLVPN-Users à la stratégie de proxy HTTP, dans Policy Manager :Closed
  1. Double-cliquez sur la stratégie de proxy HTTP pour la modifier.
    La boîte de dialogue Modifier les propriétés de la stratégie s'affiche.
  2. Dans l'onglet Stratégie, cliquez sur Ajouter dans la zone De.
  3. Cliquez sur Ajouter un utilisateur .
  4. Pour l'option Type, sélectionnez VPN SSL et Groupe.
  5. Sélectionnez SSLVPN-Users et cliquez sur Sélectionner.
  6. Cliquez sur OK pour revenir à la boîte de dialogue Modifier les Propriétés de la Stratégie.
  7. Cliquez sur OK. Enregistrer le Fichier de Configuration.

La stratégie de proxy HTTP est prioritaire sur la stratégie Tout. Vous pouvez laisser la stratégie Tout gérer le trafic autre que le trafic HTTP ou utiliser ces mêmes étapes avec une autre stratégie afin de gérer le trafic provenant des clients SSL.

Pour plus d'informations sur la configuration d'une stratégie de proxy HTTP, consultez À propos du proxy HTTP.

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.