Proxy HTTPS : WebBlocker
Une action de proxy client HTTPS vous permet d'utiliser WebBlocker de manière à autoriser ou refuser le contenu d'un site Web en fonction des catégories WebBlocker. Dans les paramètres WebBlocker de l'action de proxy, sélectionnez l'action WebBlocker qui définit les catégories de contenu que vous souhaitez refuser. Dans les paramètres WebBlocker de l'action de proxy, vous pouvez sélectionner les catégories à inspecter et activer l'inspection des sites non catégorisés.
WebBlocker et Règles de Nom de Domaine
Les règles de nom de domaine ont priorité sur les actions WebBlocker configurées dans l'action de proxy HTTPS. Les règles de nom de domaine configurées dans les paramètres d'Inspection de Contenu contrôlent les paramètres de l'action de proxy utilisés et l'emploi éventuel de WebBlocker pour filtrer le contenu.
- Pour les requêtes HTTPS correspondant à une règle de nom de domaine comprenant l'action Inspecter, le proxy utilise le profil WebBlocker de l'action de proxy HTTP pour filtrer le contenu.
- Pour les requêtes HTTPS qui ne correspondent pas à une règle de nom de domaine, si l'action relative aux noms de domaine qui ne correspondent pas à un ensemble de règles a été définie comme Autorisé, le proxy utilise le profil WebBlocker et les paramètres d'inspection de l'action de proxy HTTPS.
- Pour les requêtes HTTPS correspondant à une règle de nom de domaine comprenant l'action Autoriser, WebBlocker n'est pas utilisé pour filtrer ni inspecter le contenu.
Pour de plus amples informations concernant les règles de nom de domaine, consultez Proxy HTTPS : Règles de Nom de Domaine.
Proxy HTTPS et Messages de Refus
Si vous activez WebBlocker dans une action de proxy HTTPS sans activer l'inspection de contenu, l'action de proxy utilise le certificat du site Web pour identifier sa catégorie et décider si l'accès doit être autorisé ou refusé. En l'absence d'inspection de contenu, l'action de proxy HTTPS ne peut pas refuser le contenu des sites Web de manière sélective et les utilisateurs ne voient pas s'afficher le message de refus lorsque le contenu est refusé par WebBlocker. En outre, l'utilisateur n'a pas la possibilité de saisir un mot de passe de contournement local de WebBlocker.
Afin d'autoriser l'action de proxy HTTPS à déchiffrer la connexion client et refuser le contenu des sites Web de manière sélective, activez l'inspection de contenu dans le proxy HTTPS. Lorsque l'inspection de contenu est activée, le Firebox affiche un message de refus à l'utilisateur lorsque le contenu est refusé par WebBlocker ou d'autres actions d'analyse de proxy.
Dans Fireware 12.4 et les versions ultérieures, les sites web appartenant aux catégories correspondant à l'action Avertir sont autorisés par l'action de proxy HTTPS lorsque vous activez WebBlocker sans activer l'inspection du contenu. Les utilisateurs ne voient pas s'afficher de message d'avertissement, à moins d'avoir activé l'inspection du contenu.
Pour de plus amples informations concernant l'inspection de contenu, consultez Proxy HTTPS : inspection du contenu.
Configurer WebBlocker dans une Action de Proxy HTTPS
- Ajoutez ou modifiez une action de proxy HTTPS.
- Sélectionnez WebBlocker.
- Dans la liste déroulante WebBlocker, sélectionnez une action WebBlocker.
Pour modifier l'action WebBlocker sélectionnée, cliquez sur Modifier.
Pour créer une nouvelle action WebBlocker, vous pouvez sélectionner une action existante et cliquer sur Cloner.
- Dans la colonne Inspecter, cochez les cases des catégories pour lesquelles vous souhaitez effectuer une inspection du contenu. Vous pouvez uniquement inspecter les catégories correspondant à l'action Autoriser ou Avertir. Il est impossible d'inspecter les catégories refusées par l'action WebBlocker.
- Pour inspecter le contenu des URL qui ne correspondent pas à une catégorie WebBlocker, cochez la case Inspecter lorsqu'une URL n'est pas catégorisée. Astuce !
- Dans la liste déroulante Action de Proxy en bas de la page, sélectionnez l'action de proxy à utiliser pour l'inspection.
- Cliquez sur Enregistrer.
- Modifiez l'action de proxy HTTPS.
- Dans l'arborescence Catégories, sélectionnez WebBlocker.
La page WebBlocker s'affiche. - Dans la liste déroulante WebBlocker, sélectionnez une action WebBlocker.
Ou, pour créer une nouvelle action WebBlocker, cliquez sur .
- Dans la colonne Inspecter, cochez les cases des catégories pour lesquelles vous souhaitez effectuer une inspection du contenu. Vous pouvez uniquement inspecter les catégories correspondant à l'action Autoriser ou Avertir. Il est impossible d'inspecter les catégories refusées par l'action WebBlocker.
- Pour inspecter le contenu des URL qui ne correspondent pas à une catégorie WebBlocker, cochez la case Inspecter lorsqu'une URL n'est pas catégorisée.
- Dans la liste déroulante Action de Proxy, spécifiez l'action de proxy à utiliser pour l'inspection.
- Cliquez sur OK.
Importer et Exporter les Paramètres d'Inspection de WebBlocker
Si vous gérez plusieurs périphériques Firebox ou utilisez WebBlocker avec plusieurs définitions de proxy, vous pouvez importer et exporter les paramètres d'inspection de contenu entre chaque périphérique. Vous économisez ainsi du temps en définissant les catégories d'inspection une fois pour toutes. Les paramètres sont exportés dans un fichier xml.
Pour exporter les paramètres d'inspection de WebBlocker d'une action de proxy client HTTPS :
- Modifiez l'action de proxy client HTTPS.
- Dans l'action de proxy, sélectionnez l'action WebBlocker.
- Cliquez sur Exporter.
Les catégories à inspecter sont exportées dans un fichier xml.- Dans Fireware Web UI, le fichier se nomme wb_cats_dpi.xml.
- Dans Policy Manager, le nom de fichier par défaut est wb_exports.xml.
Après avoir exporté les paramètres d'inspection de WebBlocker, vous pouvez importer le fichier dans une autre action de proxy HTTPS du Firebox ou d'un autre périphérique. Lorsque vous importez les catégories à inspecter à partir d'un fichier, elles remplacent les catégories précédemment sélectionnées dans la configuration de l'action de proxy.
Pour importer les paramètres d'inspection de WebBlocker dans une action de proxy client HTTPS :
- Modifiez l'action de proxy client HTTPS.
- Sélectionnez l'action WebBlocker.
- Cliquez sur Importer.
- Sélectionnez le fichier à importer.
L'inspection est activée pour les catégories WebBlocker figurant dans le fichier.
Si le fichier xml comprend des catégories WebBlocker d'inspection non autorisées dans la configuration WebBlocker de l'action de proxy, ces catégories ne sont pas sélectionnées pour l'inspection à l'issue de l'import.
Pour plus d'informations à propos de WebBlocker, consultez À propos de WebBlocker.