Généralités
Le moteur de règles global est composé de 4 onglets représentant les différents moments du cycle de vie du trafic :
- Les onglets Connexion et Accès permettent de traiter les requêtes :
Connexion : pilote les règles d'accès pour certains proxys non-HTTP
Accès : pilote les actions à appliquer (ou non) et les modalités de filtrage pour accéder aux destinations
De loin le plus utilisé, c'est l'onglet "Accès" qui est affiché par défaut lorsque vous affichez la page Administration.
- Les onglets Aperçu et Contenu permettent de traiter les réponses
reçues
Aperçu : pilote les règles d'analyse au cours de la réception de la réponse (y compris l'application de quotas de réception de données)
Contenu : pilote les règles d'analyse une fois la réponse reçue totalement.
Tous les onglets proposent la même logique : un ensemble de règles et une règle terminale ("Pour le reste")
Figure: Une règle du moteur avec sa configuration par défaut (ici Accès)
- Active : Oui / Non -si la règle est inactive, elle est évidemment ignorée par le moteur
- Priorité : les flèches permettent de modifier le niveau de priorité d'une règle dans le moteur. Plus elle est haute, plus elle est prioritaire.
- Plages horaires : plage horaire pendant laquelle la règle s'applique - par défaut en permanence.
- Sources : plages d'IP ou utilisateurs de vos annuaires - par défaut toutes
- [spécifique à Connexion et Accès] Flux : Protocole(s) de la requête - par défaut tous.
- Destinations: domaines/URLs concernés par la règle - par défaut toutes
- [spécifique à Contenu et Aperçu] Contenu : Le contenu de la réponse
- Action : l'action à appliquer - celle ci peut varier selon l'onglet, voir ci-dessous
Onglet "Connexion"
L'onglet Connexion correspond au droit de se connecter à des serveurs distants pour les instances de proxys TCP,FTP ou SOCKS créées via les écrans dédiés.
NB : cet onglet ne s'applique pas dans le cas de requêtes HTTP/HTTPS ou RTSP, car pour ces protocoles l'établissement de la connexion au serveur et l'accès aux ressources se font en une même étape : ces règles sont définies dans l'onglet Accès.
- Autoriser
- Bloquer
Onglet "Accès"
L'onglet Accès correspond au droit d'accéder à des ressources distantes (pages html, fichiers téléchargés par FTP, vidéos, etc), une fois la connexion avec le serveur établie, et à certaines modalités d'accès à ces ressources.
- Appliquer des restrictions sur les accès HTTP, HTTPS, FTP et RTSP (c'est-à-dire faire du filtrage d'URL).
- Mettre en place une authentification par portail captif, par portail public
- Activer les chartes internet. Si les chartes internet sont activées, Olfeo enverra la charte aux utilisateurs ne l'ayant pas déjà signée (et pour lesquels une charte internet a été définie). Une fois la charte signée, le moteur passe à la règle suivante.
- Réaffecter une URL à une catégorie pour certains utilisateurs.
- Réécrire des URLs
- ou encore, pour certains cas d'usages, choisir de sortir directement du moteur pour appliquer une politique de filtrage d'URL, indépendamment de ce que vous pourriez avoir défini comme politique de filtrage utilisateur.
Une fois toutes les règles de l'onglet parcourues, si le champ "Pour le reste" a pour valeur Politique utilisateur, Olfeo passe la requête au moteur de politiques utilisateur et parcourt la liste des utilisateurs (le tableau du bas de la page) afin d'appliquer la politique de filtrage d'URL appropriée.
- Autoriser : l'accès à la requête est permis pour la(les) source(s) désignée(s) et la(les) destinations ciblées par la règle.
- Bloquer : l'accès à la requête est refusé pour la(les) source(s) désignée(s) et la(les) destinations ciblées par la règle - attention à la cohérence des règles avec les politiques par utilisateur !
- Portail captif / surrogate NTLM : le portail captif sera présenté pour authentification
- Charte internet : la charte internet sera présentée, si elle n'a pas déjà été signée -nécessite d'avoir défini une charte par ailleurs (voir Chartes informatiques)
- SSO LDAP bientôt déprécié
- Attribuer une catégorie : les requêtes répondant à cette règle se verront attribuer un identifiant de catégorie de destination de votre choix, potentiellement différent de celui d'Olfeo
- Réécriture d'URL : tout ou partie de l'URL est réécrite à la volée
- Authentification G Suite bientôt déprécié
- [versions 6.8 et supérieures] Appliquer la politique - les requêtes répondant à cette règle se voient appliquer une politique précise, sans tenir compte de la logique d'héritage du moteur par utilisateurs - utile pour identifier des utilisateurs depuis un annuaire mais pour leur appliquer des règles localement différentes (par sous-réseau par ex.)
Onglet "Aperçu"
L'onglet Aperçu permet de définir des actions d'analyse de contenu à effectuer sur les contenus au cours de leur téléchargement (éventuellement depuis un proxy externe), doncavant qu'ils n'aient été reçus entièrement.
Les actions possibles
- Autoriser
- Bloquer
- Limiter : vous pouvez définir la taille maximale
- Transfert des données : Vous pouvez définir le comportement à afficher à vos utilisateurs : ne rien faire jusqu'a ce que l'analyse soit complète, afficher une page de patience le temps du téléchargement et de l'analyse, servir le contenu progressivement
Onglet "Contenu"
L'onglet Contenu permet de définir des règles d'analyse de contenu à effectuer sur les contenus après qu'ils aient été reçus entièrement par les proxys HTTP et FTP (donc s'ils n'ont pas été bloqués par une règle de l'onglet Aperçu).
Les actions possibles
- Autoriser
- Bloquer
- Antivirus