Configurer des Actions WebBlocker pour les Groupes avec Authentification Firebox

Bon nombre d'entreprises souhaitent autoriser différents niveaux d'accès aux sites Web à leurs différents groupes d'utilisateurs. Pour ce faire, il faut d'abord configurer l'authentification des utilisateurs. Vous pouvez ensuite configurer différentes actions WebBlocker pour les stratégies qui s'appliquent à chaque groupe d'utilisateurs. À un niveau élevé, ces étapes sont :

• Configurer l'authentification des utilisateurs.
• Ajoutez les utilisateurs aux groupes pour leur donner un niveau différent d'accès.
• Ajoutez des stratégies à chaque groupe d'utilisateurs. La stratégie comprend l'action WebBlocker à utiliser pour ce groupe.
• Supprimer ou modifier la stratégie sortante par défaut.
• Configurer les paramètres d'authentification pour rediriger automatiquement les utilisateurs à la page d'authentification WatchGuard.

Exemple

Pour montrer comment définir cette configuration, nous utiliserons Policy Manager afin de configurer des stratégies WebBlocker pour une école ayant pris la décision d'avoir trois niveaux d'accès Internet, un pour chacun des groupes suivants :

• Élèves (plus de restrictions d'accès)
• Professeurs (moins de restrictions d'accès)
• Services informatiques (accès sans restriction)

Configuration de l'authentification

Avant de définir les paramètres WebBlocker, vous devez configurer l'authentification des utilisateurs. Utilisez à ces fins l'une des méthodes d'authentification : Active Directory, authentification locale, RADIUS ou LDAP. Pour plus d'informations sur les méthodes d'authentification prises en charge, consultez Types de Serveurs d'Authentification. Dans cet exemple, nous supposons que l'école utilise l'authentification Firebox.

Ajouter des Utilisateurs pour l'Authentification Firebox

1. Sélectionnez Configuration > Authentification > Serveurs d'Authentification.
   La boîte de dialogue Serveurs d'Authentification s'affiche.

2. Dans l'onglet Firebox, dans la section Utilisateurs, cliquez sur Ajouter.
   La boîte de dialogue Configuration d'utilisateur Firebox s'affiche.

3. Entrez le Nom et (facultatif) une Description du nouvel utilisateur.
   Le Nom est le nom d'utilisateur utilisé pour s'authentifier. Le nom ne peut pas contenir d'espace.
4. Saisissez et confirmez le Mot de Passe du nouvel utilisateur.

Quand vous tapez ce mot de passe, les caractères sont masqués et ils n'apparaissent plus en texte simple. Si vous oubliez le mot de passe, vous devez en définir un nouveau.

5. Dans la zone de texte Délai d'expiration de la session, entrez ou sélectionnez la durée maximale durant laquelle l'utilisateur peut envoyer du trafic au réseau externe.

Le paramètre minimal est un(e) (1) seconde, minute, heure ou jour. La valeur maximale est 365 jours.

6. Dans la zone de texte Délai d'inactivité, entrez ou sélectionnez la durée durant laquelle l'utilisateur peut rester authentifié tout en étant inactif (pas d'envoi de trafic au réseau externe).

Le paramètre minimal est un(e) (1) seconde, minute, heure ou jour. La valeur maximale est 365 jours.

7. Pour fermer la boîte de dialogue Configuration d'utilisateur Firebox, cliquez sur OK.
   La boîte de dialogue Serveurs d'authentification s'affiche, avec le nom d'utilisateur ajouté à la liste d'utilisateurs.

Répétez ces étapes pour ajouter chaque utilisateur à la base de données d'authentification de Firebox. Pour les besoins de cette démonstration, ajoutez tous les élèves, professeurs, et membres de l'équipe informatique.

Définir les groupes d'authentification Firebox

Vous devez ensuite définir les groupes d'utilisateurs correspondant aux différentes stratégies WebBlocker que vous souhaitez utiliser. Dans Policy Manager, créez un groupe pour chaque niveau différent d'accès aux sites Web que vous voulez autoriser. Dans cet exemple, trois groupes sont définis : Professeurs, Elèves et Informatique.

1. Sélectionnez Configuration > Authentification > Serveurs d'Authentification.
   La boîte de dialogue Serveurs d'Authentification s'affiche.

2. Dans la section Groupes d'utilisateurs, cliquez sur Ajouter.
   La boîte de dialogue Configuration de groupe Firebox s'affiche.

4. Tapez le nom du groupe. Dans cet exemple, le nom du groupe est Professeurs.
5. (Facultatif) Entrez une description du groupe.
6. Ajoutez les noms d'utilisateurs de tous les professeurs de ce groupe. Pour ajouter un utilisateur au groupe, sélectionnez le nom de l'utilisateur dans la liste Disponible. Cliquez sur pour déplacer le nom dans la liste Membre.
   Vous pouvez aussi double-cliquer sur le nom d'utilisateur dans la liste Disponible.
7. Après avoir ajouté tous les professeurs dans le groupe, cliquez sur OK.
   La boîte de dialogue Serveurs d'authentification s'affiche, avec le groupe d'utilisateurs Professeurs ajouté.

Répétez les mêmes étapes pour créer un groupe appelé Élèves contenant les noms d'utilisateurs de tous les élèves et un groupe appelé Service Informatique contenant les noms d'utilisateurs de tous les membres de l'équipe informatique.

Créer une stratégie de proxy HTTP pour les élèves

Le Firebox utilise deux catégories de stratégies pour filtrer le trafic réseau : les filtres de paquets et les proxies.

Stratégie de filtrage des paquets

Un filtre de paquets inspecte l'en-tête IP et TCP/UDP de chaque paquet. Lorsque l'information de l'en-tête du paquet est autorisée par les paramètres de filtrage, Firebox autorise le paquet. Dans le cas contraire, il l'abandonne.

Stratégie de proxy

Un proxy inspecte l'information d'en-tête et le contenu de chaque paquet. Lorsque l'information de l'en-tête du paquet et son contenu sont autorisés par les paramètres de proxy, Firebox autorise le paquet. Dans le cas contraire, il l'abandonne.

Pour refuser l'accès à des catégories de sites web à un groupe d'utilisateurs, utilisez Policy Manager pour créer une stratégie de proxy HTTP leur étant destinée puis définissez une action WebBlocker correspondant à cette stratégie. Le proxy HTTP inspectera alors le contenu et autorisera ou refusera l'accès à un site Web en fonction des catégories WebBlocker configurées pour cette stratégie.

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des Stratégies s'ouvre.
2. Développez le dossier Proxies et sélectionnez Proxy HTTP. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.

3. Changez le nom de la stratégie de proxy pour qu'il désigne le groupe auquel il s'applique.
   Dans cet exemple, nous nommons la stratégie de proxy Proxy HTTP Élèves.
4. Dans l'onglet Stratégie, dans la liste De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter pour ajouter le groupe d'utilisateurs à cette stratégie.
   La boîte de dialogue Ajouter une adresse s'affiche.
6. Cliquez sur Ajouter un Utilisateur. Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des Utilisateurs ou Groupes s'affiche.

7. Sélectionnez le groupe Élèves. Cliquez sur Sélectionner, puis sur OK.
   La boîte de dialogue Propriétés de la nouvelle stratégie s'affiche, avec le groupe Élèves (base de données Firebox-DB) dans la section De de la stratégie.

8. Cliquez sur .
   La boîte de dialogue Configuration de l'action de proxy HTTP s'affiche.

9. Dans la liste Catégories, sélectionnez WebBlocker.
   La configuration WebBlocker s'affiche.
10. En face de la liste déroulante WebBlocker, cliquez sur .
    La boîte de dialogue Cloner l'Action WebBlocker s'affiche.

11. Dans la zone de texte Nom, saisissez le nom de l'action WebBlocker.
    Pour les besoins de la démonstration, nommez cette configuration Élèves.
12. Sélectionnez l'onglet Catégories pour afficher les catégories de contenu pouvant être refusées.
13. Dans la colonne Refuser, cochez la case correspondant aux catégories que vous souhaitez refuser pour les utilisateurs du groupe Élèves.
14. Cliquez sur OK.

Créer une Stratégie de Proxy HTTP pour les Professeurs

Dans Policy Manager, répétez les mêmes étapes pour configurer une stratégie différente pour le groupe des Professeurs.

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des Stratégies s'ouvre.
2. Développez le dossier Proxies et sélectionnez Proxy HTTP. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.

3. Dans la zone de texte Nom, tapez un nom pour la stratégie de proxy qui décrit bien ce groupe.
   Par exemple, tapez HTTP-proxy-Professeurs.
4. Dans l'onglet Stratégie, dans la liste De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter pour ajouter le groupe d'utilisateurs à cette stratégie.
   Pour les besoins de la démonstration, ajoutez le groupe Professeurs.
6. Cliquez sur Ajouter un Utilisateur. Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des Utilisateurs ou Groupes s'affiche.

7. Sélectionnez le groupe Professeurs. Cliquez sur Sélectionner. Cliquez sur OK.
   La boîte de dialogue Propriétés de la nouvelle stratégie s'affiche, avec le groupe Professeurs (base de données Firebox-DB) dans la section De de la stratégie.

8. Cliquez sur .
   La boîte de dialogue Configuration de l'action de proxy HTTP s'affiche.
9. Dans la liste de catégories, sélectionnez WebBlocker.
   La configuration WebBlocker s'affiche.
10. À côté de la liste déroulante WebBlocker, cliquez sur .
    La boîte de dialogue Cloner l'Action WebBlocker s'affiche.
11. Dans la zone de texte Nom, tapez un nom pour cette configuration WebBlocker.
    Nous emploierons ici le nom Professeurs.
12. Sélectionnez l'onglet Catégories pour afficher les catégories de contenu pouvant être refusées.

13. Dans la colonne Refuser, cochez la case correspondant aux catégories que vous souhaitez refuser pour les utilisateurs du groupe Professeurs.
14. Cliquez sur OK.

Créer une stratégie de filtrage des paquets HTTP pour le groupe des services informatiques

L'équipe informatique a un accès sans restrictions à Internet. Puisque nous n'avons pas besoin d'une stratégie d'inspection du contenu des paquets HTTP pour ces utilisateurs, nous utilisons Policy Manager pour créer une stratégie de filtrage des paquets HTTP plutôt qu'une stratégie de proxy HTTP.

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des Stratégies s'ouvre.
2. Ouvrez le dossier Filtres de paquets et sélectionnez HTTP. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.

3. Changez le nom de la stratégie de proxy pour qu'il désigne le groupe auquel il s'applique.
   Dans cet exemple, nous nommons la stratégie de proxy Proxy HTTP Informatique.
4. Dans l'onglet Stratégie, dans la section De, cliquez sur Tout-Approuvé. Cliquez sur Supprimer.
5. Dans la section De, cliquez sur Ajouter pour ajouter le groupe d'utilisateurs à cette stratégie.
   Pour les besoins de la démonstration, ajoutez le groupe Informatique.
6. Cliquez sur Ajouter un Utilisateur. Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des Utilisateurs ou Groupes s'affiche.

7. Sélectionnez le groupe Informatique. Cliquez sur Sélectionner. Cliquez sur OK.
   La boîte de dialogue Propriétés de la nouvelle stratégie s'affiche, avec le groupe Informatique (base de données Firebox-DB) dans la section De de la stratégie.

8. Cliquez sur OK.

Les membres du groupe Informatique ne sont plus touchés par les restrictions de WebBlocker.

Supprimer ou modifier la stratégie de trafic sortant

Après avoir configuré votre proxy HTTP en ajoutant une action WebBlocker, vous devez vérifier que la stratégie de trafic Sortant par défaut n'autorise pas les clients du réseau à visiter des sites web sans authentification. Pour ce faire, vous pouvez utiliser Policy Manager afin de supprimer la stratégie de trafic sortant et ajouter les stratégies de réseau sortant nécessaires, ou bien vous pouvez modifier la stratégie de trafic sortant et y ajouter vos groupes d'authentification utilisateurs WebBlocker. Les options de cette alternative sont expliquées ci-après.

Option 1 : Supprimer la Stratégie de Trafic Sortant et Ajouter d'Autres Stratégies de Réseau Sortant

Cette option est recommandée si vous souhaitez un contrôle supérieur de l'accès réseau sortant. Vous devez savoir quels ports et protocoles sont nécessaires pour satisfaire aux exigences de votre entreprise.

Pour commencer, supprimez la stratégie de trafic sortant :

1. Sélectionnez la stratégie de trafic Sortant.
2. Sélectionnez Modifier > Supprimer la stratégie.
3. Cliquez sur Oui pour confirmer.

Ensuite, ajoutez une stratégie de filtrage des paquets DNS, autorisant les requêtes DNS sortantes :

1. Sélectionnez Modifier > Ajouter des Stratégies.
   La boîte de dialogue Ajouter des Stratégies s'ouvre.
2. Développez le dossier Filtres de paquets et sélectionnez DNS. Cliquez sur Ajouter.
   La boîte de dialogue Propriétés de la nouvelle stratégie apparaît.
3. Ajoutez l'ensemble de vos réseaux internes à la section De de la stratégie.
4. Cliquez sur OK pour enregistrer la stratégie.

Enfin, ajoutez d'autres stratégies personnalisées.

Ajoutez des stratégies personnalisées pour tout autre trafic sortant nécessaire. Exemples de stratégies personnalisées que vous pourriez ajouter :

• UDP
• SMTP (si vous avez un serveur de messagerie)

Pour obtenir des informations sur l'ajout d'une stratégie personnalisée, consultez À propos des Stratégies Personnalisées.

Option 2 : Ajouter Vos Groupes d'Authentification des Utilisateurs à la Stratégie de Trafic Sortant

Si vous ne savez pas très bien quels autres ports et protocoles sortants sont nécessaires à votre entreprise, ou bien le niveau de contrôle sortant fourni par votre configuration par défaut vous satisfait, vous pouvez alors simplement modifier la stratégie Sortant et y ajouter vos groupes d'authentification.

1. Double-cliquez sur la stratégie de trafic sortant.
   La boîte de dialogue Modifier les propriétés de la stratégie s'affiche.
2. Dans la liste De, sélectionnez Tout-Approuvé. Cliquez sur Supprimer.
3. Dans la liste De, sélectionnez Tout-Facultatif. Cliquez sur Supprimer.
4. Dans la section De, cliquez sur Ajouter.
   La boîte de dialogue Ajouter une adresse s'affiche.
5. Cliquez sur Ajouter un Utilisateur. Sélectionnez Pare-feu et Groupe dans les listes déroulantes.
   La boîte de dialogue Ajouter des Utilisateurs ou Groupes s'affiche.

6. Sélectionnez les trois groupes d'authentification que vous avez créés. Cliquez sur Sélectionner.
7. Cliquez sur OK.
   La boîte de dialogue Modifier les Propriétés de la Stratégie s'affiche pour la stratégie Sortante. Les groupes sélectionnés s'affichent à la section De de la stratégie.

Rediriger automatiquement les utilisateurs vers le portail de connexion

Dans Policy Manager, vous pouvez définir les paramètres globaux d'authentification pour rediriger automatiquement les utilisateurs ne s'étant pas encore authentifiés vers le portail d'authentification lorsqu'ils essaient d'accéder à Internet.

1. Sélectionnez Configuration > Authentification > Paramètres d'authentification.
   La boîte de dialogue Paramètres d'authentification s'ouvre.
2. Cochez la case Rediriger automatiquement les utilisateurs vers la page d'authentification.

WebBlocker est désormais configuré pour utiliser diverses stratégies selon les différents groupes d'utilisateurs authentifiés ; il redirige automatiquement ceux qui ne le sont pas vers une page d'authentification.

Voir Également

Utiliser des Actions WebBlocker dans des Définitions de Proxy

À propos du Proxy HTTP

Définir les valeurs d'Authentification globale au pare-feu