Proxy Explicite : Tunneling HTTP CONNECT

Le Proxy Explicite de votre Firebox gère le tunneling HTTP CONNECT pour le trafic HTTPS. Lorsque vous utilisez le tunneling CONNECT, un client envoie ses requêtes au Firebox via le Proxy Explicite sur le port 3128. Ces requêtes HTTP utilisent la méthode CONNECT pour contacter le port configuré dans les paramètres du Proxy Explicite (le port HTTPS 443 par défaut). Vous pouvez aussi configurer d'autres ports pour des serveurs Web HTTPS personnalisés. Le Proxy Explicite établit alors une connexion TCP avec la destination spécifiée. Lorsque la connexion est établie, le Proxy Explicite répond à la requête HTTP originale par une réponse HTTP au client, après quoi le client peut envoyer les données à la destination.

Avec le Proxy Explicite, vous pouvez autoriser, refuser ou bloquer une requête en fonction des ports spécifiés ou configurer une action de proxy HTTPS pour le trafic du tunnel HTTP CONNECT.

Configurer le Proxy Explicite pour le Tunneling HTTP CONNECT

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
    La page Stratégies s'affiche.
  2. Cliquez sur Ajouter une Stratégie.
    La page Ajouter une Stratégies de pare-feu s'affiche.
  3. Sélectionnez Proxies.
  4. Dans la liste déroulante Proxies, choisissez Proxy Explicite.

Capture d'écran de la page Ajouter une Stratégie pour le proxy Explicite

  1. Cliquez sur Ajouter une Stratégie.
  1. Sélectionnez Modifier > Ajouter une stratégie.
    La boîte de dialogue Ajouter une Stratégie s'affiche.
  2. Développez la liste Proxies.
  3. Sélectionnez Proxy Explicite.

Capture d'écran de la boîte de dialogue Ajouter des Stratégies pour le proxy Explicite

  1. Cliquez sur Ajouter.

Configurer une Action de Proxy pour le Proxy Explicite

Lorsque vous ajoutez la stratégie de proxy Explicite, l'action de proxy prédéfinie Explicite-Web.Standard est automatiquement sélectionnée. Il est impossible de modifier une action de proxy prédéfinie, vous devez donc cloner l'action de proxy puis configurer les paramètres de l'action de proxy clonée.

  1. Sur la page Ajouter une Stratégie du Proxy Explicite, sélectionnez l'onglet Action de Proxy.
    La page Action de Proxy apparaît avec tous les onglets des paramètres de catégorie.
    Si (prédéfini) apparaît à côté de la liste déroulante Action de Proxy, vous devez cloner l'action de proxy pour en configurer les paramètres.
  2. Dans la liste déroulante Action de Proxy, sélectionnez Cloner l'action de proxy actuelle.
    La page s'actualise et l'action de proxy clonée apparaît avec toutes les options disponibles. Par défaut, le nom de l'action de proxy clonée est Explicite-Web.Standard.1.
  3. Pour changer le nom de l'action de proxy clonée, saisissez un nouveau nom représentatif dans la zone de texte Nom.
  4. Dans la liste déroulante Proxy Web Explicite, sélectionnez Tunneling CONNECT.
    La liste de Tunneling CONNECT apparaît avec la règle par défaut qui autorise le trafic HTTPS sur le port 443 avec journalisation activée.

Screen shot of the Proxy Action setting, Explicit Web Proxy tab > CONNECT Tunneling option
L'option de Tunneling CONNECT

Capture d'écran de la liste de Tunneling CONNECT avec la règle HTTPS par défaut
La liste de Tunneling CONNECT avec la règle de trafic HTTPS par défaut

  1. Pour ajouter une règle, cliquez sur Ajouter. Astuce !
    La boîte de dialogue Ajouter une Règle s'affiche.

Capture d'écran de la boîte de dialogue Ajouter une règle

  1. Dans la zone de texte Nom de Règle, saisissez un nom représentatif pour la règle.
  2. Dans la liste déroulante Type, sélectionnez Port Uniqueou Plage de Ports.
  3. Si vous avez sélectionné Port Unique, dans la zone de texte Port, entrez le numéro de port
    Si vous avez sélectionné Plage de Ports, dans les zones de texte Port de début et Port de fin, entrez le premier et le dernier port de la plage de ports.
  4. Dans la liste déroulante Action, sélectionnez une action pour cette règle :
    • Autoriser — Autorise la connexion.
    • Refuser — Refuse la requête concernée, mais conserve la connexion dans la mesure du possible. Envoie une réponse au client.
    • Abandonner — Refuse la requête concernée et abandonne la connexion. N'envoie pas de réponse à l'expéditeur.
    • Bloquer — Refuse la requête, abandonne la connexion et bloque le site. Tout le trafic provenant de l'adresse IP de ce site est refusé pour toute la durée indiquée dans la configuration des Sites Bloqués.
      Pour plus d'informations sur les sites bloqués, consultez À propos des Sites bloqués.
    • Action de Proxy HTTPS — Lorsque vous sélectionnez cette option, une liste déroulante apparaît avec les actions de proxy HTTPS disponibles dans la configuration de votre Firebox. Sélectionnez l'action de proxy HTTPS à appliquer à ce trafic.
  5. Cliquez sur OK pour enregistrer la règle.
  6. Dans la liste déroulante Action à entreprendre si aucune règle ci-dessus ne correspond, sélectionnez une action pour le trafic qui ne correspond à aucune règle de la liste de Tunneling CONNECTION.
    • Autoriser — Autorise la connexion.
    • Refuser — Refuse la requête concernée, mais conserve la connexion dans la mesure du possible. Envoie une réponse au client.
    • Abandonner — Refuse la requête concernée et abandonne la connexion. N'envoie pas de réponse à l'expéditeur.
    • Bloquer — Refuse la requête, abandonne la connexion et bloque le site. Tout le trafic provenant de l'adresse IP de ce site est refusé pour toute la durée indiquée dans la configuration des Sites Bloqués.
      Pour plus d'informations sur les sites bloqués, consultez À propos des Sites bloqués.
    • Action de Proxy HTTPS — Lorsque vous sélectionnez cette option, une liste déroulante apparaît avec les actions de proxy HTTPS disponibles dans la configuration de votre Firebox. Sélectionnez l'action de proxy HTTPS à appliquer à ce trafic.
  7. Cliquez sur Enregistrer.
  1. Sélectionnez Configuration > Actions > Proxies, sélectionnez l'action de proxy Explicite-Web.Standard et cliquez sur Cloner.
    Ou, dans la boîte de dialogue Propriétés de la Nouvelle Stratégie pour la stratégie de Proxy Explicite, à côté de la liste déroulante Action de proxy, cliquez sur l'icône Cloner le Proxy.
    La boîte de dialogue Cloner la Configuration de l'Action de Proxy Explicite Web s'affiche. Par défaut, le nom de l'action de proxy clonée est Explicite-Web.Standard.1.
  2. Pour changer le nom de l'action de proxy clonée, saisissez un nouveau nom représentatif dans la zone de texte Nom.
  3. Dans l'arborescence Catégories, développez Proxy Web Explicite et sélectionnez Tunneling CONNECT.
    La liste de Tunneling CONNECT apparaît avec la règle par défaut qui autorise le trafic HTTPS sur le port 443 avec journalisation activée.

Capture d'écran de la boîte de dialogue Cloner la Configuration de l'Action de Proxy Explicite Web avec les paramètres de la catégorie Tunneling CONNECT

  1. Pour ajouter une règle, cliquez sur Ajouter. Astuce !
    La boîte de dialogue Nouvelle Règle de Tunneling CONNECT s'affiche.

Capture d'écran de la Nouvelle Règle de Tunneling CONNECT

  1. Dans la zone de texte Nom de Règle, saisissez un nom représentatif pour la règle.
  2. Dans la liste déroulante Type, sélectionnez Port Uniqueou Plage de Ports.
  3. Si vous avez sélectionné Port Unique, dans la zone de texte Port, entrez le numéro de port
    Si vous avez sélectionné Plage de Ports, dans les zones de texte Port de début et Port de fin, entrez le premier et le dernier port de la plage de ports.
  4. Dans la liste déroulante Action, sélectionnez une action pour cette règle :
    • Autoriser — Autorise la connexion.
    • Refuser — Refuse la requête concernée, mais conserve la connexion dans la mesure du possible. Envoie une réponse au client.
    • Abandonner — Refuse la requête concernée et abandonne la connexion. N'envoie pas de réponse à l'expéditeur.
    • Bloquer — Refuse la requête, abandonne la connexion et bloque le site. Tout le trafic provenant de l'adresse IP de ce site est refusé pour toute la durée indiquée dans la configuration des Sites Bloqués.
      Pour plus d'informations sur les sites bloqués, consultez À propos des Sites bloqués.
    • Action de Proxy HTTPS — Lorsque vous sélectionnez cette option, une liste déroulante apparaît avec les actions de proxy HTTPS disponibles dans la configuration de votre Firebox. Sélectionnez l'action de proxy HTTPS à appliquer à ce trafic.
  5. Cliquez sur OK pour enregistrer la règle.
  6. Dans la liste déroulante Action à entreprendre si aucune règle ci-dessus ne correspond, sélectionnez une action pour le trafic qui ne correspond à aucune règle de la liste de Tunneling CONNECTION.
    • Autoriser — Autorise la connexion.
    • Refuser — Refuse la requête concernée, mais conserve la connexion dans la mesure du possible. Envoie une réponse au client.
    • Abandonner — Refuse la requête concernée et abandonne la connexion. N'envoie pas de réponse à l'expéditeur.
    • Bloquer — Refuse la requête, abandonne la connexion et bloque le site. Tout le trafic provenant de l'adresse IP de ce site est refusé pour toute la durée indiquée dans la configuration des Sites Bloqués.
      Pour plus d'informations sur les sites bloqués, consultez À propos des Sites bloqués.
    • Action de Proxy HTTPS — Lorsque vous sélectionnez cette option, une liste déroulante apparaît avec les actions de proxy HTTPS disponibles dans la configuration de votre Firebox. Sélectionnez l'action de proxy HTTPS à appliquer à ce trafic.
  7. Enregistrez la configuration sur le Firebox.

Voir Également

À Propos du Proxy Explicite

Proxy Explicite : Proxy Web HTTP