Rubriques Connexes
À propos du proxy HTTP
Le protocole HTTP (Hyper Text Transfer Protocol) est un protocole de requête/réponse entre clients et serveurs. Le client HTTP est en principe un navigateur Internet. Le serveur HTTP est une ressource distante qui stocke des fichiers HTML, des images et d'autres types de contenus. Lorsqu'un client HTTP démarre une requête, il établit une connexion TCP (Transmission Control Protocol) sur le port 80. Un serveur HTTP est à l'écoute de requêtes sur le port 80. Lorsqu'il reçoit la requête du client, le serveur répond avec le fichier demandé, un message d'erreur ou un autre type d'informations.
Le proxy HTTP est un filtre de contenu ultra performant. Il examine le trafic Web afin d'identifier les contenus suspects pouvant véhiculer des virus ou tout autre type d'intrusion. Il peut aussi protéger votre serveur HTTP contre les attaques. WatchGuard vous recommande d'utiliser les stratégies Proxy HTTP pour le trafic HTTP entre votre réseau et les hôtes externes.
Avec un filtre de proxy HTTP, vous pouvez :
- Ajuster le délai d'attente et les limites de longueur des requêtes et des réponses HTTP afin d'éviter que les performances réseau ne soient réduites et de prévenir diverses attaques.
- Personnaliser le message de refus que les utilisateurs voient lorsqu'ils tentent de se connecter à un site Web bloqué par le proxy HTTP.
- Filtrer les types MIME de contenu Web.
- Bloquer des modèles de chemins et URL spécifiques.
- Refuser des cookies provenant de sites Web spécifiques.
Vous pouvez combiner le proxy HTTP avec l'abonnement au service de sécurité WebBlocker. Pour plus d'informations, voir À propos de WebBlocker.
Pour faire en sorte que les utilisateurs puissent télécharger les mises à jour Windows via le proxy HTTP, vous devez changer les paramètres de votre proxy HTTP. Pour plus d'informations, voir Activer Windows Update sur le proxy HTTP.
Le proxy TCP/UDP est disponible pour les protocoles sur les ports non standard. Lorsque le proxy HTTP utilise un port autre que le port 80, le proxy TCP/UDP lui relaie le trafic. Pour obtenir des informations sur le proxy TCP/UDP, voir À propos du proxy TCP-UDP.
Pour ajouter le proxy HTTP à la configuration de votre Firebox, voir Ajouter une stratégie de proxy à votre configuration.
Quelle Action de Proxy Utiliser
Lorsque vous configurez une stratégie de proxy, vous devez sélectionner une action de proxy adaptée à la stratégie. Pour une stratégie de proxy qui autorise les connexions issues de vos clients internes vers Internet, utilisez l'action de proxy Client. Pour une stratégie de proxy qui autorise les connexions à vos serveurs internes à partir d'Internet, utilisez l'action de proxy Serveur.
Les actions de proxy prédéfinies dont le nom se termine par Standard comprennent les paramètres standard recommandés qui reflètent les dernières tendances de trafic réseau d'Internet.
Dans Fireware v11.12 et les versions ultérieures, les assistants Web Setup Wizard et WSM Quick Setup Wizard ajoutent automatiquement la stratégie de proxy HTTP qui utilise l'action de proxy Client-HTTP-par-Défaut. L'action de proxy Client-HTTP-par-Défaut s'appuie sur l'action proxy HTTP-Client.Standard et active les services d'abonnement dont la licence figure sur la clé de fonctionnalité lors de l'exécution de l'assistant de configuration. Si vous ajoutez une nouvelle stratégie de proxy HTTP, l'action de proxy Client-HTTP-par-Défaut convient parfois mieux que l'action de proxy HTTP-Client.Standard. Pour de plus amples informations concernant l'action de proxy Client-HTTP-par-Défaut, consultez Stratégies et Paramètres par Défaut de l'Assistant Setup Wizard.
À propos des Actions de Contenu
Le proxy HTTP vous permet de sélectionner une action de contenu HTTP au lieu d'une action de proxy. Une action de contenu permet au Firebox de router les requêtes HTTP vers différents serveurs Web internes et d'utiliser différentes actions de proxy serveur HTTP en fonction du contenu de l'en-tête d'hôte HTTP. Utilisez une action de contenu au lieu d'une action de proxy serveur HTTP si vous souhaitez réduire le nombre d'adresses IP publiques nécessaires aux connexions aux serveurs Web publics situés derrière le Firebox. Pour plus d'informations, voir À propos des Actions de Contenu.
Pour obtenir un exemple de configuration d'une stratégie de proxy HTTP comprenant une action de contenu HTTP, consultez Exemple : Proxy HTTP avec une Action de Contenu HTTP.
Configurer une Action de Proxy HTTP
Onglet Paramètres
Sur l'onglet Paramètres, vous pouvez définir des informations de base sur une stratégie de proxy, par exemple, si elle autorise ou refuse le trafic, créer des règles d'accès pour une stratégie, configurer le routage basé sur stratégie, activer les quotas de temps et de bande passante, la traduction d'adresses réseau (NAT) statique ou l'équilibrage de charge côté serveur. L'onglet Paramètres affiche également le port et le protocole de la stratégie ainsi qu'une description facultative de la stratégie. Vous pouvez utiliser les paramètres de cet onglet pour définir la journalisation, la notification, le blocage automatique et les préférences de délai d'attente.
- Les connexions sont — Précisez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisé), et définissez celui qui apparaît dans les listes De et À (dans l'onglet Stratégie de la définition du proxy). Afficher Définir des Règles d'Accès pour une Stratégie.
- Utiliser le routage basé sur stratégie — Voir Configurer le routage basé sur stratégie.
- Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Afficher Configurer la traduction d'adresses réseau statique et Configurer l'équilibrage de charge côté serveur.
- Pour spécifier les paramètres de journalisation pour cette stratégie, configurez les paramètres dans la section Journalisation.
Pour plus d'informations, voir Définir les préférences de journalisation et de notification. - Si vous choisissez d ans la liste déroulante Les connexions sont l'état Refusé ou Refusé (envoi réinitialisé), les sites tentant de recourir au protocole HTTP seront bloqués.
Pour plus d'informations, voir Bloquer temporairement les sites avec des paramètres de stratégie. - Pour modifier le délai d'inactivité défini par le Firebox ou le serveur d'authentification, voir Définir un délai d'inactivité personnalisé.
- Pour activer les quotas de temps et de bande passante, voir À propos des Quotas.
Onglet Application Control
Si Application Control est activé sur votre Firebox, vous pouvez définir l'action que ce proxy utilise pour Application Control.
- Sélectionnez l'onglet Application Control.
- Dans la liste déroulante Action Application Control, sélectionnez l'action d'Application Control à utiliser pour cette stratégie ou créez une nouvelle action.
- (Facultatif) Modifier les paramètres d'Application Control pour l'action sélectionnée.
- Cliquez sur Enregistrer.
Pour de plus amples informations, consultez la rubrique Activer Application Control dans une stratégie.
Onglet Gestion du Trafic
Dans l'onglet Gestion du Trafic, vous pouvez sélectionnez l'action de Gestion de Trafic pour la stratégie. Vous pouvez également créer une nouvelle action de Gestion du Trafic. Pour plus d'informations sur les Actions de Gestion du Trafic, voir Définir une Action de Gestion de Trafic dans v11.8.x et les Versions Antérieures et Ajouter une action de gestion de trafic à une stratégie.
Pour appliquer une action de Gestion de Trafic à une stratégie :
- Sélectionnez l'onglet Gestion du trafic.
- Dans la liste déroulante Action de Gestion de Trafic, sélectionnez une action de Gestion du Trafic.
Ou, pour créer une nouvelle action de Gestion de Trafic, sélectionnez Créer une nouvelle et configurez les paramètres tel que décrit dans la rubrique Définir une Action de Gestion de Trafic dans v11.8.x et les Versions Antérieures. - Cliquez sur Sauvegarder.
Onglet Action de Proxy
Vous pouvez choisir une action de proxy prédéfinie ou configurer une action de proxy définie par l'utilisateur pour ce proxy. Pour plus d'informations sur la façon de configurer les actions de proxy, voir À propos des actions de proxy.
Pour configurer l'action de proxy :
- Sélectionnez l'onglet Action de Proxy.
- Dans la liste déroulante Action de Proxy, sélectionnez l'action de proxy à utiliser pour cette stratégie.
Pour plus d'informations sur les actions de proxy, voir À propos des actions de proxy. - Cliquez sur Sauvegarder.
Pour le proxy HTTP, vous pouvez configurer les catégories de paramètres suivantes pour une action de proxy :
- Requête HTTP : paramètres généraux
- Requête HTTP : méthodes de requête
- Requête HTTP : chemins URL
- Requête HTTP : champs en-têtes
- Requête HTTP : autorisation
- Réponse HTTP : paramètres généraux
- Réponse HTTP : champs en-têtes
- Réponse HTTP : Types de Contenus
- Réponse HTTP : cookies
- Réponse HTTP : Types de contenus du corps
- Utiliser un serveur proxy de mise en cache
- Proxy HTTP : Exceptions
- Proxy HTTP : Data Loss Prevention
- Proxy HTTP : WebBlocker
- HTTP-Proxy : AntiVirus
- HTTP-Proxy : Reputation Enabled Defense
- HTTP-Proxy : message de refus
- HTTP-Proxy : alarmes proxy et AV
- Proxy HTTP : APT Blocker
Onglet Planification
Dans l'onglet Planification, vous pouvez définir un planning d'application pour la stratégie. Vous pouvez sélectionnez un planning existant ou en créer un nouveau.
- Sélectionnez l'onglet Planification.
- Dans la liste déroulante Planifier une action, sélectionnez un planning.
Ou, pour créer un nouveau planning, sélectionnez Créer un nouveau et configurez les paramètres tel que décrit dans les rubriques Créer des Plannings pour les Actions Firebox et Définir un calendrier d'application. - Cliquez sur Sauvegarder.
Onglet Avancé
L'onglet Avancé comprend des paramètres pour les options NAT, QoS, multi-WAN et ICMP.
Pour modifier ou ajouter un commentaire à la configuration de cette stratégie de proxy, saisissez le commentaire dans la zone de texte Commentaire.
Pour plus d'informations sur les options de cet onglet, voir :
Onglet Stratégie
Pour définir les règles d'accès et d'autres options, sélectionnez l'onglet Stratégie.
- Les connexions du proxy HTTP sont — Précisez si l'état des connexions est Autorisé, Refusé ou Refusé (envoi réinitialisé), et définissez celui qui apparaît dans les listes De et À (dans l'onglet Stratégie de la définition du proxy). Afficher Définir des Règles d'Accès pour une Stratégie.
- Utiliser le routage basé sur stratégie — Voir Configurer le routage basé sur stratégie.
- Vous pouvez également configurer la traduction d'adresses réseau (NAT) statique ou configurer l'équilibrage de charge serveur. Afficher Configurer la traduction d'adresses réseau statique et Configurer l'équilibrage de charge côté serveur.
- Action de proxy — Sélectionnez l'action de proxy à utiliser pour cette stratégie. Vous pouvez également modifier les ensembles de règles pour les actions de proxy.
- Pour activer les quotas de temps et de bande passante, voir À propos des Quotas.
Onglet Propriétés
Vous pouvez configurer les options suivantes dans l'onglet Propriétés :
- Pour modifier ou ajouter un commentaire à la configuration de cette stratégie, saisissez le commentaire dans la zone de texte Commentaire.
- Pour définir les paramètres de journalisation pour la stratégie, cliquez sur Journalisation.
Pour plus d'informations, voir Définir les préférences de journalisation et de notification. - Si vous choisissez dans la liste déroulante Les connexions du proxy HTTP sont (dans l'onglet Stratégie) l'état Refusé ou Refusé (envoi réinitialisé), vous pouvez bloquer les sites tentant de recourir au protocole HTTP.
Pour plus d'informations, voir Bloquer temporairement les sites avec des paramètres de stratégie. - Pour modifier le délai d'inactivité défini par le Firebox ou le serveur d'authentification, voir Définir un délai d'inactivité personnalisé.
Onglet Avancé
Vous pouvez aussi configurer les options suivantes dans votre définition de proxy :
- Définir un calendrier d'application
- Ajouter une action de gestion de trafic à une stratégie
- Définir la gestion des erreurs ICMP
- Appliquer des règles NAT (Les règles 1-to-1 NAT et NAT dynamique sont activées par défaut dans toutes les stratégies).
- Définir des limites de vitesse de connexion
- Activer le Marquage QoS et la Priorité pour une Stratégie
- Définir la durée de connexion persistante pour une stratégie
Configurer l'action de proxy
Vous pouvez choisir une action de proxy prédéfinie ou configurer une action de proxy définie par l'utilisateur pour ce proxy. Pour plus d'informations sur la façon de configurer les actions de proxy, voir À propos des actions de proxy.
Pour le proxy HTTP, vous pouvez configurer les catégories de paramètres suivantes pour une action de proxy :
- Requête HTTP : paramètres généraux
- Requête HTTP : méthodes de requête
- Requête HTTP : chemins URL
- Requête HTTP : champs en-têtes
- Requête HTTP : autorisation
- Réponse HTTP : paramètres généraux
- Réponse HTTP : champs en-têtes
- Réponse HTTP : Types de Contenus
- Réponse HTTP : cookies
- Réponse HTTP : Types de contenus du corps
- Utiliser un serveur proxy de mise en cache
- Proxy HTTP : Exceptions
- Proxy HTTP : Data Loss Prevention
- Proxy HTTP : WebBlocker
- HTTP-Proxy : AntiVirus
- HTTP-Proxy : Reputation Enabled Defense
- HTTP-Proxy : message de refus
- Alarmes de proxy et d'antivirus
- Proxy HTTP : APT Blocker