Rubriques Connexes
Requête HTTP : paramètres généraux
Dans la configuration Paramètres Généraux de Requête HTTP pour une Action de Proxy HTTP, vous pouvez définir des paramètres HTTP de base comme le délai d'inactivité ou la longueur d'URL.
Définir le délai d'inactivité de la connexion à
Cette option contrôle les performances.
Pour fermer le connecteur de protocole TCP pour la connexion HTTP lorsqu'aucun paquet n'a transité via le connecteur de protocole TCP pendant le délai que vous avez spécifié, cochez la case Définir le délai d'inactivité de la connexion à. Dans la zone de texte adjacente, saisissez ou sélectionnez le temps d'attente du proxy avant qu'il ne ferme la connexion, en minutes.
Étant donné que toute session TCP ouverte utilise une petite partie de mémoire sur le Firebox, et que les navigateurs et les serveurs ne ferment pas toujours très bien les sessions HTTP, nous vous conseillons de cocher cette case. Ceci afin de vous assurer que les connexions TCP devenues inutiles sont fermées, ainsi que pour économiser de la mémoire sur le Firebox. Vous pouvez réduire le délai jusqu'à cinq minutes sans diminuer les standards de performances.
Définir la longueur de chemin d'URL maximum à
Pour définir un nombre maximum de caractères autorisés dans une URL, cochez la case Définir le lien de chemin d'accès URL maximum à.
Dans cette zone du proxy, l'URL peut tout inclure dans l'adresse Web après le domaine de plus haut niveau. Cela comprend la barre oblique, mais pas le nom d'hôte (www.monexemple.com ou monexemple.com). Par exemple, l'URL www.monexemple.com/produits compte neuf caractères vers cette limite, car /produits comporte neuf caractères.
La valeur par défaut, 4 096, est généralement suffisante pour toute URL demandée par un ordinateur derrière votre Firebox. Une URL très longue peut indiquer une tentative malveillante envers un serveur Web. La longueur minimale est de 15 octets. Il est conseillé de conserver les paramètres par défaut. Cela aide à protéger votre système contre les clients Web infectés sur les réseaux protégés par le proxy HTTP.
Autoriser les requêtes de plage via « non modifié »
Pour autoriser des requêtes de plage sur le Firebox, cochez cette case. Les requêtes de plage permettent à un client de demander des sous-ensembles des octets dans une ressource Web, plutôt que l'entièreté du contenu. Par exemple, si vous n'êtes intéressé que par quelques parties d'un fichier Adobe de grande taille, et non par le fichier entier, le téléchargement est plus rapide et empêche le téléchargement de pages non nécessaires si vous ne demandez que ce qui vous intéresse.
Les requêtes de plage introduisent des risques de sécurité. Des contenus malicieux peuvent être dissimulés n'importe où dans un fichier, et une requête de plage permet de diviser n'importe quel contenu d'une limite de plage à une autre. Le proxy peut passer à côté de modèles recherchés si le fichier s'étend sur deux opérations GET.
Nous vous conseillons de ne pas cocher cette case si les règles que vous ajoutez dans la section Types de contenu de corps du proxy sont destinées à identifier les signatures d'octets en profondeur dans un fichier, plutôt que simplement dans l'en-tête du fichier.
Pour ajouter un message de journal concernant le trafic lorsque le proxy entreprend l'action indiquée par la case à cocher en ce qui concerne les requêtes de plage, cochez la case Consigner cette action.
Autoriser YouTube pour les Écoles
À partir du 1er juillet 2016, Google ne propose plus YouTube for Schools. Pour en savoir plus sur ce changement, visitez le Fonctionnement de YouTube for Schools.
Pour s'assurer que les élèves puissent accéder uniquement au contenu approprié sur YouTube via le réseau de l'école, les écoles peuvent activer le Filtre Éducation. Grâce à ce filtre, le contenu YouTube est filtré afin de limiter l'accès au contenu non pédagogique sur YouTube.com et permet un accès illimité uniquement au contenu éducatif de YouTube for Schools.
Pour configurer cette fonction, les écoles doivent d'abord contacter YouTube afin d'obtenir un Code ID unique. Ensuite, cochez la case Activer YouTube for Schools et saisissez ou collez le code ID unique dans la zone de texte ID de l'école.
Lorsque vous configurez cette option, le filtre X-YouTube-Edu-Filter est ajouté à la requête HTTP comme règle d'en-tête et comprend le code ID de l'école dans ce format :
X-YouTube-Edu-Filter :<SchoolIDCode>
Par exemple :
X-YouTube-Edu-Filter : ABCD1234567890abcdef
Si ce texte n'apparaît pas dans l'en-tête de la requête HTTP, YouTube for Schools n'est pas correctement activé et le contenu n'est pas limité.
Recherche sécurisée
La recherche sécurisée est une fonctionnalité incluse dans les moteurs de recherche des navigateurs Web. Elle permet aux utilisateurs de spécifier le niveau de contenu potentiellement inapproprié pouvant figurer dans les résultats. Lorsque vous activez la fonction de recherche sécurisée dans l'action de proxy du client HTTP, le niveau le plus strict des règles de la recherche sécurisée sont appliquées, peu importe les paramètres configurés dans les moteurs de recherche des navigateurs Web clients.
Pour imposer une recherche sécurisée sur certains sites qui nécessitent des connexions HTTPS (y compris Google et YouTube), vous devez utiliser la stratégie de proxy HTTPS et activer l'inspection du contenu. Vous pouvez sélectionner l'action de proxy HTTP-Client avec la Recherche Sécurisée activée à utiliser avec le trafic HTTPS déchiffré. Pour plus d'informations sur HTTPS et l'inspection du contenu, voir HTTPS-Proxy : inspection du contenu.
Activer la journalisation pour les rapports
Pour créer un message du journal concernant le trafic pour chaque transaction, sélectionnez cette case à cocher. Cette option crée un fichier journal volumineux, mais ces informations peuvent s'avérer très utiles en cas d'attaque contre votre pare-feu. Si vous ne cochez pas cette case, vous ne verrez pas les informations détaillées concernant les connexions de proxy HTTP dans les rapports.
Pour générer des messages de journal pour les rapports d'Audit Web et WebBlocker, vous devez sélectionner cette option. Pour plus d'informations sur la génération de rapports pour les message de journal depuis votre périphérique, voir Configurer les paramètres de génération de rapports.
Si vous utilisez l'authentification Active Directory, assurez-vous que votre périphérique Firebox est configuré pour utiliser l'authentification Single Sign-On. Cela vous permet de créer des rapports selon les noms d'utilisateur authentifiés. Pour en savoir plus sur l'authentification Single Sign-On, voir À propos de Single Sign-On (SSO) avec Active Directory.
Remplacer le niveau de journalisation de diagnostic pour les stratégies de proxy qui utilisent cette action de proxy
Pour préciser le niveau de la journalisation de diagnostic pour l'ensemble des stratégies de proxy qui utilisent cette action de proxy, cochez cette case. Puis, dans la liste déroulante Niveau de journalisation de diagnostic pour cette action de proxy, sélectionnez un niveau de journalisation :
- Error
- Avertissement
- Informations
- Débogage
Le niveau de journalisation que vous choisissez remplace le niveau de journalisation de diagnostic qui est configuré pour tous les messages du journal de ce type de stratégie de proxy.
Pour plus d'informations sur le niveau de journalisation de diagnostic, voir Définir le niveau de la journalisation de diagnostic.
Voir aussi
À propos de la journalisation, des fichiers journaux et de la notification
Appliquer la Recherche Sécurisée (Vidéo)