Prise en charge du protocole proxy
Le protocole PROXY offre un moyen pratique de transmettre en toute sécurité des informations de connexion, telles que l'adresse d'un client, à travers plusieurs couches de NAT ou de proxys d' TCP.
Il est conçu pour nécessiter peu de modifications des composants existants et pour limiter l'impact sur les performances dû au traitement des informations transportées. Des informations détaillées sur le protocole proxy sont disponibles sur le site web haproxy : https://www.haproxy.com/blog/haproxy/proxy-protocol/.
WebSEAL a la capacité d'accepter l'en-tête du protocole proxy et d'utiliser les informations relatives à l'adresse du client contenues dans l'en-tête comme adresse "réelle" du client. L'adresse du client est utilisée dans des domaines tels que les décisions d'autorisation (POP basés sur le réseau), les journaux des demandes et les enregistrements d'audit. WebSEAL reconnaîtra l'en-tête du protocole proxy pour la version 1 et la version 2 du protocole proxy.
La prise en charge du protocole proxy peut être activée par interface et par protocole à l'aide des entrées de configuration http-proxy-protocol et https-proxy-protocol. Par défaut, la prise en charge du protocole proxy est désactivée.
Si la prise en charge du protocole proxy est activée pour une interface, WebSEAL s'attend à ce que l'en-tête du protocole proxy soit fourni. Si l'en-tête n'est pas fourni, un message d'erreur sera enregistré et la connexion sera immédiatement fermée.
Du point de vue de la sécurité, il est important de restreindre l'accès à l'interface WebSEAL lorsque la prise en charge du protocole proxy a été activée, afin qu'un client "non fiable" ne puisse pas falsifier l'en-tête du proxy et, par conséquent, usurper les informations relatives à l'adresse du client. WebSEAL permet de spécifier les règles utilisées pour déterminer si un client est autorisé à se connecter à WebSEAL. Pour plus d'informations, voir Règles IP du client.