Contents

Rubriques Connexes

Proxy HTTPS : Règles de Nom de Domaine

Une action de proxy HTTPS vous permet d'ajouter des règles de nom de domaine qui spécifient une action à entreprendre lorsque le domaine du serveur d'une négociation SSL HTTPS correspond à un motif spécifié. Ce domaine serveur peut être inclus dans l'extension SNI (Server Name Indication) pour TLS ou dans le certificat de serveur en tant que CN (Common Name).

Vous devez également spécifier l'action à entreprendre lorsqu'une requête HTTPS ne correspond à aucune règle de nom de domaine. Vous pouvez configurer des règles de nom de domaine permettant d'autoriser, refuser, abandonner ou bloquer les requêtes HTTPS vers un site. Une action de proxy serveur HTTPS vous permet également de configurer une règle de nom de domaine permettant de router les requêtes HTTPS entrantes vers une adresse IP et un port spécifiques.

Motifs des Règles de Nom de Domaine

Afin de comparer le motif spécifié dans vos règles de nom de domaine au nom des requêtes HTTPS au serveur, vous pouvez utiliser le SNI, le nom commun du certificat ou l'adresse IP du serveur.

Le SNI est l'option la plus fiable. Un nom commun de certificat est la plupart du temps partagé entre plusieurs services du même site. Par exemple, de nombreux services Google, tels que YouTube et Google Maps partagent le même nom commun de certificat. Si vous bloquez les requêtes HTTPS à YouTube sur la base du nom commun de certificat, les requêtes à Google Maps et aux autres services présentant le même nom commun seront également bloquées. Le nom commun de certificat est utilisé si le SNI n'est pas disponible.

Lorsque vous créez vos règles de nom de domaine, assurez-vous de consulter les entrées HTTPS dans les message du journal de trafic pour les informations SNI/nom commun pertinentes.

Actions des Règles de Nom de Domaine

Pour chaque règle de nom de domaine, vous sélectionnez l'action entreprise par le proxy pour les requêtes HTTPS dont le SNI, le CN ou l'adresse IP correspond à un motif spécifié. Vous devez également configurer l'action à entreprendre lorsque les données ne correspondent à aucune règle de nom de domaine. Vous pouvez sélectionner l'une des actions suivantes pour chaque règle :

  • Autoriser — Autorise la requête HTTPS.
  • Inspecter — Utilise l'action de proxy HTTP ou l'action de contenu spécifiée pour inspecter le contenu. L'inspection de contenu doit être activée dans l'action de proxy pour sélectionner l'action Inspecter. Pour obtenir des informations concernant les paramètres d'inspection de contenu, consultez HTTPS-Proxy : inspection du contenu. Pour obtenir des informations concernant les actions de contenu, consultez À propos des Actions de Contenu.
  • Refuser — Refuse une requête spécifique tout en maintenant la connexion dans la mesure du possible. Envoie une réponse au client.
  • Abandonner — Refuse la requête, abandonne la connexion et envoie une réponse au client.
  • Bloquer — Refuse la requête, abandonne la connexion, bloque le site et envoie une réponse au client. Tout le trafic provenant de l'adresse IP de ce site est refusé pour toute la durée indiquée dans la configuration Sites Bloqués. Pour plus d'informations sur les sites bloqués, consultez À propos des sites bloqués.

Pour une action de proxy serveur HTTPS, lorsque vous sélectionnez l'action Autoriser ou Inspecter dans une règle de nom de domaine, vous pouvez configurer une action de routage et un port de manière à envoyer la requête à une destination différente de celle spécifiée dans la liste A de la stratégie. Le Firebox peut ainsi router les requêtes HTTPS entrantes vers une même adresse IP publique à différentes adresses IP internes ou différents ports en fonction du motif figurant dans l'en-tête HTTPS.

Si vous choisissez l'action Inspecter comprenant une action de contenu, vous pouvez configurer des règles dans l'action de contenu de manière à router la requête vers un serveur en fonction du contenu de la requête HTTP déchiffrée. Vous pouvez également activer le déchargement TLS/SSL. Pour plus d'informations, voir Configurer les Actions de Contenu HTTP.

Exemples de règles de Noms de Domaine

Le motif d'une règle de nom de domaine peut correspondre à un domaine de haut niveau. Dans une règle de nom de domaine, vous spécifiez uniquement un nom de domaine et non un chemin.

Pour refuser le trafic provenant de l'ensemble des sites du domaine exemple.com, ajoutez une règle de nom de domaine comprenant le motif *.exemple.com et paramétrez l'action En cas de correspondance sur Refuser.

Pour bloquer une connexion au domaine exemple.com, ajoutez une règle de nom de domaine comprenant le motif *.exemple.com et paramétrez l'action En cas de correspondance sur Bloquer. Dans ce cas, l'adresse IP du serveur associée à exemple.com est bloquée pendant la durée par défaut de votre configuration des Sites Bloqués. Pour plus d'informations sur les sites bloqués, voir À propos des sites bloqués.

Pour autoriser une connexion sans inspection de contenu pour n'importe quel site du domaine exemple.com, ajoutez une règle de nom de domaine comprenant le motif *.exemple.com et paramétrez l'action En cas de correspondance sur Autoriser. Lorsque vous spécifiez un domaine dans une règle de nom de domaine, ne saisissez aucun caractère après le nom de domaine. Par exemple, *.exemple.com/ n'est pas un nom de domaine valide.

Pour procéder à l'inspection de contenu pour l'ensemble des sites du domaine exemple.com, ajoutez une règle Noms de Domaine comprenant le motif *.exemple.com et paramétrer l'action en sélectionnant Inspecter. Lorsque vous sélectionnez l'action Inspecter, vous devez sélectionner le proxy HTTP ou l'action de contenu HTTP à utiliser pour l'inspection.

Vous devez activer l'inspection du contenu et configurer les règles des Noms de Domaine avec l'action Inspecter ou utiliser l'action Inspecter avec une catégorie de WebBlocker pour que l'inspection puisse être exécutée.

Pour obtenir un exemple de configuration des règles de nom de domaine d'une action de proxy Serveur HTTP avec et sans inspection de contenu, consultez

Ajouter des Règles de Nom de Domaine

Avant de configurer une règle de nom de domaine comprenant l'action Inspecter, vous devez activer l'Inspection de Contenu dans l'action de proxy. Pour plus d'informations, voir HTTPS-Proxy : inspection du contenu.

Pour ajouter une règle de nom de domaine dans Fireware Web UI :Closed
  1. Dans la configuration de l'action de proxy HTTPS, sélectionnez Inspection de Contenu.
    Le Résumé de l'Inspection de Contenu et les paramètres des Noms de Domaine s'affichent.
  1. Sous la liste des Noms de Domaine, cliquez sur Ajouter.
    La boîte de dialogue Nouvelle Règle de Nom de Domaine s'affiche.
  1. Dans la zone de texte Nom de la Règle, saisissez un nom afin d'identifier cette règle.
  2. Dans la liste déroulante Type de Correspondance, choisissez l'une des options de correspondance suivantes pour les requêtes HTTPS :
    • Correspondance Exacte — Spécifiez un nom de domaine exact.
    • Correspondance de Motif — Spécifiez un motif correspondant à un nom de domaine.
    • Adresse IPv4 — Spécifiez une adresse IP.
    • Expression Rationnelle — Spécifiez un motif sous forme d'expression rationnelle.
  3. Dans la zone de texte Valeur, saisissez le texte de correspondance de cette règle. Si vous avez sélectionné le modèle de règle Correspondance de Modèle, utilisez un astérisque (*), un point (.) ou un point d'interrogation (?) comme caractères génériques.
  4. Dans la liste déroulante Action, sélectionnez l'action que le proxy entreprend pour cette règle.
  1. Si vous sélectionnez l'action Inspecter, vous devez sélectionner le proxy ou l'action de contenu à utiliser pour l'inspection. Le proxy HTTPS utilise l'action sélectionnée pour inspecter la requête HTTPS déchiffrée.
  • Dans une action de proxy client HTTP, dans la liste déroulante Action de Proxy, sélectionnez une action de proxy HTTP à utiliser pour l'inspection.
  • Dans une action de proxy serveur HTTP, dans la liste déroulante Action de Proxy ou Action de Contenu, sélectionnez une action de proxy HTTP ou une action de contenu à utiliser pour l'inspection et le routage. Pour de plus amples informations concernant les actions de contenu, consultez À propos des Actions de Contenu.
  1. Pour créer un message pour cet événement dans le journal du trafic, cochez la case Journal.
  2. Pour créer une alarme pour cet événement, cochez la case Alarme. Une alarme prévient les utilisateurs quand une règle de proxy s'applique au trafic du réseau.
  3. Le cas échéant, configurez l'Action de Routage et le Port comme indiqué à la section suivante.
  4. Cliquez sur OK.
    La règle de nom de domaine est ajoutée à la liste Noms de Domaine.
Pour ajouter une règle de nom de domaine dans Policy Manager :Closed
  1. Dans la configuration de l'action de proxy HTTPS, sélectionnez Inspection de Contenu.
    Le Résumé de l'Inspection de Contenu et les paramètres des Noms de Domaine s'affichent.
  1. Dans la section Noms de Domaine, cliquez sur Ajouter.
    La boîte de dialogue Nouvelle Règle de Nom de Domaine s'affiche.
  1. Dans la zone de texte Nom de la Règle, saisissez un nom afin d'identifier cette règle.
  2. Dans la section Paramètres de la Règle, sélectionnez l'une des options de correspondance suivantes pour les requêtes HTTPS :
    • Correspondance Exacte — Spécifiez un nom de domaine exact.
    • Correspondance de Motif — Spécifiez un motif correspondant à un nom de domaine.
    • Adresse IPv4 — Spécifiez une adresse IP.
    • Expression Rationnelle — Spécifiez un motif sous forme d'expression rationnelle.
  3. Dans la zone de texte adjacente, saisissez le texte de correspondance de cette règle. Si vous avez sélectionné le modèle de règle Correspondance de Modèle, utilisez un astérisque (*), un point (.) ou un point d'interrogation (?) comme caractères génériques.
  4. Dans la liste déroulante Action, sélectionnez l'action que le proxy entreprend pour cette règle.
  1. Si vous sélectionnez l'action Inspecter, vous devez sélectionner le proxy ou l'action de contenu à utiliser pour l'inspection. Le proxy HTTPS utilise l'action sélectionnée pour inspecter la requête HTTPS déchiffrée.
  • Dans une action de proxy client HTTP, dans la liste déroulante Action de Proxy, sélectionnez une action de proxy HTTP à utiliser pour l'inspection.
  • Dans une action de proxy serveur HTTP, dans la liste déroulante Action de Proxy ou Action de Contenu, sélectionnez une action de proxy HTTP ou une action de contenu à utiliser pour l'inspection et le routage. Pour de plus amples informations concernant les actions de contenu, consultez À propos des Actions de Contenu.
  1. Pour créer un message pour cet événement dans le journal du trafic, cochez la case Journal.
  2. Pour créer une alarme pour cet événement, cochez la case Alarme. Une alarme prévient les utilisateurs quand une règle de proxy s'applique au trafic du réseau.
  3. Le cas échéant, configurez l'Action de Routage et le Port comme indiqué à la section suivante.
  4. Cliquez sur OK.
    La règle de nom de domaine est ajoutée à la liste Noms de Domaine.
Pour spécifier l'action à entreprendre pour les domaines ne correspondant à aucune règle de nom de domaine configurée : Closed
  1. Dans les paramètres de l'Action à entreprendre si aucune règle ci-dessus ne correspond, dans la liste déroulante Action, sélectionnez l'action.

Action à entreprendre si aucune règle ci-dessus ne correspond pour une action de proxy serveur HTTPS dans Policy Manager

  1. Si vous sélectionnez l'action Inspecter, vous devez sélectionner le proxy ou l'action de contenu à utiliser pour l'inspection. Le proxy HTTPS utilise l'action sélectionnée pour inspecter la requête HTTPS déchiffrée.
  • Dans une action de proxy client HTTP, dans la liste déroulante Action de Proxy, sélectionnez une action de proxy HTTP à utiliser pour l'inspection.
  • Dans une action de proxy serveur HTTP, dans la liste déroulante Action de Proxy ou Action de Contenu, sélectionnez une action de proxy HTTP ou une action de contenu à utiliser pour l'inspection et le routage. Pour de plus amples informations concernant les actions de contenu, consultez À propos des Actions de Contenu.
  1. Pour créer un message pour cet événement dans le journal du trafic, cochez la case Journal.
  2. Pour créer une alarme pour cet événement, cochez la case Alarme. Une alarme prévient les utilisateurs quand une règle de proxy s'applique au trafic du réseau.
  3. Le cas échéant, configurez l'Action de Routage et le Port comme indiqué à la section suivante.

Actions de Routage et Actions de Contenu

Une action de proxy serveur HTTPS vous permet d'utiliser une action de routage ou une action de contenu pour rediriger les requêtes HTTPS entrantes vers un serveur ou un port spécifique en fonction du domaine ou de l'adresse IP de la requête.

Pour utiliser une action de routage de manière à rediriger les requêtes HTTPS entrantes :

  1. Dans une action de proxy serveur HTTPS, ajoutez ou modifiez une règle de nom de domaine.
  2. Dans la règle de nom de domaine, sélectionnez l'action Autoriser ou Inspecter.
    Les paramètres Action de Routage et Port s'affichent.
  1. Pour indiquez une adresse IP de destination, sélectionnez Utiliser dans les paramètres de l'Action de Routage. Dans la zone de texte adjacente, spécifiez l'adresse IP du serveur interne.
  2. Pour indiquez un porte de destination, sélectionnez Utiliser dans les paramètres du Port. Dans la zone de texte adjacente, spécifiez le numéro de port.

Si l'inspection de contenu est activée, vous pouvez utiliser une action de contenu pour procéder à la redirection d'en-tête d'hôte. Une action de contenu vous permet de configurer des actions de routage pour chaque serveur interne et d'activer le Déchargement TLS/SSL dans le cadre de l'action d'une règle. Pour plus d'informations, voir Utiliser une Action de Contenu HTTP pour le Déchargement TLS/SSL.

Pour utiliser une action de contenu de manière à rediriger les requêtes HTTPS entrantes :Closed
  1. Dans la règle de nom de domaine, sélectionnez l'action Inspecter.
  2. Dans la liste déroulante Action de Proxy ou Action de Contenu, sélectionnez ou ajoutez une action de contenu.
  3. Dans l'action de contenu, ajoutez les règles d'action de contenu avec les actions de routage de chaque serveur interne. Pour plus d'informations, voir À propos des Actions de Contenu.

Noms de Domaine et WebBlocker

Une action de proxy client HTTPS vous permet de sélectionner une configuration WebBlocker de manière à autoriser, refuser, bloquer ou inspecter le contenu d'un site Web en fonction de sa catégorie WebBlocker.

La configuration WebBlocker que vous spécifiez dans l'action de proxy HTTPS est uniquement utilisée lorsque la requête HTTP ne correspond à aucune règle de domaine et que l'action à entreprendre en cas de non-correspondance est Autoriser.

Si l'action définie pour une règle de nom de domaine est Inspecter, l'action WebBlocker configurée dans l'action de proxy HTTP est utilisée.

Pour plus d'informations à propos de WebBlocker, consultez Proxy HTTPS : WebBlocker.

Ordre des Règles de Noms de Domaine

Si plusieurs règles de nom de domaine s'appliquent à un domaine, elles sont appliquées dans l'ordre de la liste. Pour changer l'ordre de priorité des règles, sélectionnez une règle et utilisez les boutons Monter et Descendre.

Voir aussi

À propos du proxy HTTPS

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.