Options pour l'accès à internet par le biais d'un tunnel Mobile VPN with SSL
Forcer tout le trafic client à passer par le tunnel
Il s'agit de l'option la plus sûre. Elle consiste à acheminer tout le trafic Internet des utilisateurs distants vers le Firebox par le biais du tunnel VPN. Depuis le Firebox, le trafic est ensuite renvoyé à Internet. Dans cette configuration (appelée « VPN avec route par défaut »), le Firebox peut examiner tout le trafic et offrir une sécurité accrue. Toutefois, cela nécessite plus de puissance de traitement et de bande passante du Firebox. Cela peut avoir une incidence sur les performances réseau si vous avez un grand nombre d'utilisateurs VPN. Par défaut, une stratégie intitulée Autoriser SSLVPN-Users permet d'accéder à toutes les ressources internes et à Internet.
Le client Mobile VPN with SSL configure les routes clients correspondant à la configuration du Firebox. Certains ordinateurs des utilisateurs possèdent parfois des routes supplémentaires configurées manuellement ou par d'autres logiciels installés. Dans ce cas, une partie du trafic n'est pas routé par le tunnel VPN vers le Firebox.
Autoriser l'accès direct à Internet
Si vous sélectionnez Trafic VPN routé dans la configuration Mobile VPN with SSL et que vous forcez tout le trafic client par le tunnel, vous devez configurer ressources autorisées pour les utilisateurs VPN SSL. Si vous sélectionnez Spécifier les ressources autorisées ou Autoriser l'accès à tous les réseaux Approuvés, Facultatifs et Personnalisés, seul le trafic vers ces ressources est envoyé par le tunnel VPN. Tout le reste du trafic passe directement sur Internet et sur le réseau auquel l'utilisateur SSL VPN distant est connecté. Cette option peut nuire à la sécurité car tout le trafic envoyé sur Internet ou sur le réseau du client distant n'est pas chiffré ou soumis aux stratégies que vous avez configurées dans le Firebox.
Utiliser le proxy HTTP pour contrôler l'accès Internet pour les utilisateurs Mobile VPN with SSL
Si vous configurez Mobile VPN with SSL pour forcer tout le trafic client par l'intermédiaire du tunnel, vous pouvez utiliser des stratégies de proxy HTTP pour limiter l'accès à Internet. La stratégie par défaut Autoriser SSLVPN-Users n'a aucune restriction sur le trafic qu'il autorise en provenance des clients SSL vers Internet. Pour limiter l'accès Internet, vous pouvez utiliser une stratégie de proxy HTTP que vous avez déjà configurée ou ajouter une nouvelle stratégie de proxy HTTP pour les clients SSL.
- Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
- Double-cliquez sur la stratégie pour ouvrir la page Configuration de stratégie.
- Dans l'onglet Stratégie, cliquez sur Ajouter dans la zone De.
- Dans la liste déroulante Type de Membre, sélectionnez Groupe SSLVPN.
- Sélectionnez SSLVPN-Users et cliquez sur OK.
- Cliquez sur Enregistrer.
- Double-cliquez sur la stratégie de proxy HTTP pour la modifier.
La boîte de dialogue Modifier les propriétés de la stratégie s'affiche. - Dans l'onglet Stratégie, cliquez sur Ajouter dans la zone De.
- Cliquez sur Ajouter un Utilisateur.
- Pour l'option Type, sélectionnez VPN SSL et Groupe.
- Sélectionnez SSLVPN-Users et cliquez sur Sélectionner.
- Cliquez sur OK pour revenir à la boîte de dialogue Modifier les Propriétés de la Stratégie.
- Cliquez sur OK. Enregistrez le Fichier de Configuration..
La stratégie de proxy HTTP est prioritaire sur la stratégie Tout. Vous pouvez laisser la stratégie Tout gérer le trafic autre que le trafic HTTP ou utiliser ces mêmes étapes avec une autre stratégie afin de gérer le trafic provenant des clients SSL.
Pour plus d'informations sur la configuration d'une stratégie de proxy HTTP, consultez À propos du Proxy HTTP.