Opciones de Acceso a Internet A Través de un Túnel de Mobile VPN with SSL
Forzar Todo el Tráfico de Cliente a Través del Túnel
Ésta es la opción más segura. Requiere que todo el tráfico de Internet de usuarios remotos se enrute a través del túnel VPN al Firebox. Desde el Firebox, el tráfico luego se envía de vuelta a Internet. Con esta configuración (conocida también como VPN de ruta-predeterminada), el Firebox puede examinar todo el tráfico y proveer mayor seguridad. Sin embargo, esto requiere más capacidad de procesamiento y ancho de banda del Firebox. Esto puede afectar el rendimiento de la red si tiene un número grande de usuarios de VPN. Por defecto, una política nombrada Permitir Usuarios-SSLVPN permite el acceso a todos los recursos internos y a Internet.
El cliente de Mobile VPN with SSL configura las rutas de los clientes que coinciden con su configuración de Firebox. Es posible que los equipos de los usuarios tengan rutas adicionales configuradas manualmente o debido a otro software instalado. En ese caso, no todo el tráfico se enruta a través del túnel VPN al Firebox.
Permitir Acceso Directo a Internet
Si seleccionó Tráfico de VPN enrutado en la configuración de Mobile VPN with SSL, y no fuerza todo el tráfico de los clientes a través del túnel, debe configurar los recursos permitidos para los usuarios de VPN SSL. Si seleccionó Especificar los recursos permitidos o Permitir el acceso a todas las redes de confianza, red opcional y red personalizada, solo el tráfico hacia esos recursos se enviará a través del túnel VPN. Todo el resto del tráfico va directamente a Internet y a la red a la que está conectado el usuario de SSL VPN remoto. Esta opción puede afectar su seguridad porque cualquier tráfico enviado a Internet o a la red cliente remota no está cifrado ni es sujeto a las políticas configuradas en el Firebox.
Utilizar el proxy HTTP para Controlar el Acceso a Internet para Usuarios de Mobile VPN with SSL
Si configura Mobile VPN with SSL para forzar todo el tráfico del cliente a través del túnel, puede utilizar políticas de proxy HTTP para restringir el acceso a Internet. La política predeterminada Permitir Usuarios-SSLVPN no tiene ninguna restricción en el tráfico que se permite de clientes SSL a Internet. Para restringir el acceso a Internet, puede utilizar la política de proxy HTTP que ya ha configurado o agregar una nueva política de proxy HTTP para clientes SSL.
- Seleccione Firewall > Políticas de Firewall.
- Haga doble clic en la política para abrir la página Configuración de Política.
- En la pestaña Política, haga clic en Agregar en el área Desde.
- En la lista desplegable Tipo de Miembro, seleccione Grupo de SSLVPN.
- Seleccione Usuarios-SSLVPN y haga clic en Aceptar.
- Haga clic en Guardar.
- Haga doble clic en la política proxy HTTP para editarla.
Aparece el cuadro de diálogo Editar Propiedades de Política. - En la pestaña Política, haga clic en Agregar en el área Desde.
- Haga clic en Agregar Usuario.
- Para Tipo, seleccione SSL VPN y Grupo.
- Seleccione Usuarios-SSLVPN y haga clic en Seleccionar.
- Haga clic en Aceptar para regresar al cuadro de diálogo Editar Propiedades de la Política.
- Haga clic en Aceptar. Guardar el archivo de configuración.
La política de proxy HTTP prevalece sobre la política Cualquier. Puede dejar que la política Cualquier administre el tráfico que no sea HTTP o puede seguir estos mismos pasos con otra política para administrar el tráfico desde los clientes SSL.
Para obtener más información acerca de cómo configurar una política de proxy HTTP, consulte Acerca del Proxy HTTP.