Bonjour,
Juste un avis : je pense que le filtre http ne devrait pas etre utilisé de manière intensive pour faire du filtrage de mot clés et plus particulièrement si : la liste de mot à bloquer devient importante car :
--> L'interface d'administration du filtre HTTP est plutot rustique et donc pas forcément adaptée à recevoir une liste de signatures très importantes (bien entendu, ce type de saisie peut etre scripté)
--> si l'analyse se fait sur l'intégralité de la page, cela signifie que tout le contenu HTTP (Body) va etre analysé ce qui risque d'avoir un réel impact négatif sur les performances
C'est donc une solution à éviter telle quelle (après cela dépend aussi du nombre de clients simultanées et de la configuration matérielle de la machine ISA)
Maintenant pour empecher les clients SecureNAT de passer par ISA, il y a des solutions :
1- via GPO, forcer le paramétrage du proxy (fonctionne pour IE) et bloquer les navigateurs tiers (par signature HTTP sur le user-agent par exemple)
2- demander une authentification (intégrée) pour la règle d'accès Web (par définition, un client SecureNAT ne peut pas envoyer ses crédentiels)
Stanislas Quastana, CISSP
Architecte Infrastructure
Microsoft France
Weblog : http://blogs.technet.com/stanislas