Proxy HTTPS : Règles de Nom de Domaine

Une action de proxy HTTPS vous permet d'ajouter des règles de nom de domaine qui spécifient une action à entreprendre lorsque le domaine du serveur d'une négociation SSL HTTPS correspond à un motif spécifié. Ce domaine serveur peut être inclus dans l'extension SNI (Server Name Indication) pour TLS ou dans le certificat de serveur en tant que CN (Common Name). Vous devez également spécifier l'action à entreprendre lorsqu'une requête HTTPS ne correspond à aucune règle de nom de domaine.

Vous pouvez configurer des règles de nom de domaine permettant d'autoriser, refuser, abandonner ou bloquer les requêtes HTTPS vers un site.

Une action de proxy serveur HTTPS vous permet de configurer une règle de nom de domaine visant à router les requêtes HTTPS entrantes vers une adresse IP et un port spécifiques.

Vous pouvez également sélectionner le certificat à utiliser lorsque vous effectuez l'inspection du contenu des connexions HTTPS entrantes (correspondant par exemple à un serveur Web hébergé derrière le Firebox).

Motifs des Règles de Nom de Domaine

Afin de comparer le motif spécifié dans vos règles de nom de domaine au nom des requêtes HTTPS au serveur, vous pouvez utiliser le SNI, le nom commun du certificat ou l'adresse IP du serveur.

Le SNI est l'option la plus fiable. Un nom commun de certificat est la plupart du temps partagé entre plusieurs services du même site. Par exemple, de nombreux services Google, tels que YouTube et Google Maps partagent le même nom commun de certificat. Si vous bloquez les requêtes HTTPS à YouTube sur la base du nom commun de certificat, les requêtes à Google Maps et aux autres services présentant le même nom commun seront également bloquées. Le nom commun de certificat est utilisé si le SNI n'est pas disponible.

Lorsque vous créez vos règles de nom de domaine, assurez-vous de consulter les entrées HTTPS dans les message de journal de trafic pour les informations SNI/nom commun pertinentes.

Actions des Règles de Nom de Domaine

Pour chaque règle de nom de domaine, vous sélectionnez l'action entreprise par le proxy pour les requêtes HTTPS dont le SNI, le CN ou l'adresse IP correspond à un motif spécifié. Vous devez également configurer l'action à entreprendre lorsque les données ne correspondent à aucune règle de nom de domaine. Vous pouvez sélectionner l'une des actions suivantes pour chaque règle :

  • Autoriser — Autorise la requête HTTPS.
  • Inspecter — Utilise l'action de proxy HTTP ou l'action de contenu spécifiée pour inspecter le contenu. Pour obtenir des informations concernant les paramètres d'inspection de contenu, consultez Proxy HTTPS : inspection du contenu. Pour obtenir des informations concernant les actions de contenu, consultez À propos des Actions de Contenu.
  • Refuser — Refuse une requête spécifique tout en maintenant la connexion dans la mesure du possible. Envoie une réponse au client.
  • Abandonner — Refuse la requête, abandonne la connexion et envoie une réponse au client.
  • Bloquer — Refuse la requête, abandonne la connexion, bloque le site et envoie une réponse au client. Tout le trafic provenant de l'adresse IP de ce site est refusé pour toute la durée indiquée dans la configuration Sites Bloqués. Pour plus d'informations sur les sites bloqués, consultez À propos des Sites bloqués.

Dans Fireware v12.1 et les versions antérieures, vous devez activer l'inspection du contenu dans l'action de proxy avant de sélectionner l'action Inspecter dans les règles de nom de domaine.

Pour une action de proxy serveur HTTPS, lorsque vous sélectionnez l'action Autoriser ou Inspecter dans une règle de nom de domaine, vous pouvez configurer une action de routage et un port de manière à envoyer la requête à une destination différente de celle spécifiée dans la liste A de la stratégie. Le Firebox peut ainsi router les requêtes HTTPS entrantes vers une même adresse IP publique à différentes adresses IP internes ou différents ports en fonction du motif figurant dans l'en-tête HTTPS.

Si vous choisissez l'action Inspecter comprenant une action de contenu, vous pouvez configurer des règles dans l'action de contenu de manière à router la requête vers un serveur en fonction du contenu de la requête HTTP déchiffrée. Vous pouvez également activer le déchargement TLS/SSL. Pour plus d'informations, consultez Configurer les Actions de Contenu HTTP.

Exemples de règles de Noms de Domaine

Le motif d'une règle de nom de domaine peut correspondre à un domaine de haut niveau. Dans une règle de nom de domaine, vous spécifiez uniquement un nom de domaine et non un chemin.

Pour refuser le trafic provenant de l'ensemble des sites du domaine exemple.com, ajoutez une règle de nom de domaine comprenant le motif *.exemple.com et paramétrez l'action En cas de correspondance sur Refuser.

Pour bloquer une connexion au domaine exemple.com, ajoutez une règle de nom de domaine comprenant le motif *.exemple.com et paramétrez l'action En cas de correspondance sur Bloquer. Dans ce cas, l'adresse IP du serveur associée à exemple.com est bloquée pendant la durée par défaut de votre configuration des Sites Bloqués. Pour plus d'informations sur les sites bloqués, consultez À propos des Sites bloqués.

Pour autoriser une connexion sans inspection du contenu pour n'importe quel site du domaine exemple.com, ajoutez une règle de nom de domaine comprenant le motif *.exemple.com et paramétrez l'action En cas de correspondance sur Autoriser. Lorsque vous spécifiez un domaine dans une règle de nom de domaine, ne saisissez aucun caractère après le nom de domaine. Par exemple, *.exemple.com/ n'est pas un nom de domaine valide.

Pour procéder à l'inspection du contenu de l'ensemble des sites du domaine exemple.com, ajoutez une règle Noms de Domaine comprenant le motif *.exemple.com puis paramétrez l'action en sélectionnant Inspecter. Lorsque vous sélectionnez l'action Inspecter, vous devez sélectionner le proxy HTTP ou l'action de contenu HTTP à utiliser pour l'inspection.

Dans Fireware v12.2 et les versions ultérieures, pour chaque règle de nom de domaine d'inspection du contenu entrant sur un serveur Web de votre réseau, vous pouvez sélectionner le certificat de Serveur Proxy par défaut ou un autre certificat de Serveur Proxy à utiliser. Vous pouvez ainsi héberger plusieurs applications Web et serveurs publics derrière un Firebox et autoriser différentes applications à utiliser différents certificats pour le trafic HTTPS entrant. Pour plus d'informations, consultez Utiliser les Certificats avec l'Inspection du Contenu du Proxy HTTPS.

Pour activer l'inspection du contenu, vous devez configurer les règles de nom de domaine avec l'action Inspecter ou utiliser l'action Inspecter avec une catégorie WebBlocker.

Pour obtenir un exemple de configuration des règles de nom de domaine d'une action de proxy Serveur HTTP avec et sans inspection de contenu, consultez :

Ajouter des Règles de Nom de Domaine

Actions de Routage et Actions de Contenu

Une action de proxy serveur HTTPS vous permet d'utiliser une action de routage ou une action de contenu pour rediriger les requêtes HTTPS entrantes vers un serveur ou un port spécifique en fonction du domaine ou de l'adresse IP de la requête.

Pour utiliser une action de routage de manière à rediriger les requêtes HTTPS entrantes :

  1. Dans une action de proxy serveur HTTPS, ajoutez ou modifiez une règle de nom de domaine.
  2. Dans la règle de nom de domaine, sélectionnez l'action Autoriser ou Inspecter.
    Les paramètres Action de Routage et Port s'affichent.

Capture d'écran de la boîte de dialogue Ajouter une Règle d'une règle de nom de domaine d'une action de proxy serveur HTTPS dans Fireware Web UI

Règle de nom de domaine et paramètres de l'action de routage d'une action de proxy serveur HTTPS dans Fireware Web UI

Capture d'écran d'une règle de nom de domaine comprenant une action Autoriser pour une action de proxy serveur HTTPS dans Policy Manager

Règle de nom de domaine et paramètres de l'action de routage d'une action de proxy serveur HTTPS dans Policy Manager

  1. Pour indiquez une adresse IP de destination, sélectionnez Utiliser dans les paramètres de l'Action de Routage. Dans la zone de texte adjacente, spécifiez l'adresse IP du serveur interne.
  2. Pour indiquez un porte de destination, sélectionnez Utiliser dans les paramètres du Port. Dans la zone de texte adjacente, spécifiez le numéro de port.

Si l'inspection du contenu est activée, vous pouvez utiliser une action de contenu pour activer la redirection d'en-tête d'hôte. Une action de contenu vous permet de configurer des actions de routage pour chaque serveur interne et d'activer le Déchargement TLS/SSL dans le cadre de l'action d'une règle. Pour plus d'informations, consultez Utiliser une Action de Contenu HTTP pour le Déchargement TLS/SSL.

Noms de Domaine et WebBlocker

Une action de proxy client HTTPS vous permet de sélectionner une configuration WebBlocker de manière à autoriser, refuser, bloquer ou inspecter le contenu d'un site Web en fonction de sa catégorie WebBlocker.

Si la requête HTTPS ne correspond pas à une règle de domaine et que l'option Action à effectuer si aucune règle ci-dessus ne correspond à l'option est définie sur Autoriser, alors la configuration WebBlocker que vous spécifiez dans la Catégorie WebBlocker est utilisée pour déterminer les sites autorisés, refusés ou inspectés.

Si l'action définie pour une règle de nom de domaine est Inspecter, l'action WebBlocker configurée dans l'action de proxy HTTP est utilisée au lieu de la sélection de catégorie WebBlocker.

Pour plus d'informations à propos de WebBlocker, consultez Proxy HTTPS : WebBlocker.

Exceptions des Noms de Domaine et de l'Inspection du Contenu

Les Règles de Nom de Domaine sont prioritaires sur les correspondances de la liste des Exceptions d'Inspection de Contenu Prédéfinies.

Si une règle de nom de domaine est satisfaire, l'action de cette règle sera toujours appliquée.

Pour de plus amples informations concernant la liste des exceptions de contenu prédéfinies, consultez Proxy HTTPS : inspection du contenu.

Ordre des Règles de Noms de Domaine

Si plusieurs règles de nom de domaine s'appliquent à un domaine, elles sont appliquées dans l'ordre de la liste. Pour changer l'ordre de priorité des règles, sélectionnez une règle et utilisez les boutons Monter et Descendre.

Voir Également

À propos du Proxy HTTPS