Configurar APT Blocker

Puede usar APT Blocker junto con Gateway AntiVirus para proporcionar protección contra técnicas avanzadas de malware que explotan vulnerabilidades de día cero y evaden el escaneo tradicional basado en firmas. Para usar APT Blocker, debe tener una llave de licencia que habilite APT Blocker y Gateway AntiVirus.

APT Blocker forma parte del mismo proceso de escaneo que Gateway AntiVirus. Cuando habilita APT Blocker en una acción de proxy, APT Blocker escanea el contenido solo cuando éste coincide con una regla de acción de proxy configurada con la acción AV Scan.

Para utilizar APT Blocker, debe tener una llave de licencia que habilite el servicio.

Para obtener más información, consulte:

APT Blocker y NTP

Cuando usa APT Blocker, WatchGuard le recomienda que habilite NTP para asegurarse que la hora esté sincronizada con el centro de datos. Para obtener más información sobre cómo habilitar y configurar NTP, consulte Habilitar NTP y Configurar Servidores NTP.

APT Blocker e IPv6

En Fireware v11.12 y superior, Fireware admite IPv6 para los servicios de suscripción y políticas de proxy. APT Blocker usa IPv4 para conectarse al servidor. Si su Firebox está configurado para IPv6, debe configurar la interfaz externa con una dirección IPv4 y una dirección IPv6.

Habilitar APT Blocker y Configurar Acciones de APT Blocker

Para poder habilitar APT Blocker, Gateway AntiVirus debe estar habilitado para una o más políticas de proxy activas. Para más información, consulte Habilitar el Gateway AntiVirus en una Política de Proxy.

Cuando configura APT Blocker, usted especifica la acción que el APT Blocker toma para cada nivel de amenaza. Las opciones incluyen:

Permitir

Permite y entrega el archivo o el adjunto de correo electrónico al destinatario.

Descartar

  • HTTP y FTP — Descarta la conexión inmediatamente. El Firebox no le brinda ningún mensaje de error al servidor emisor.
  • SMTP y POP3 — Si usa la opción de descartar con proxy SMTP o proxy POP3, el adjunto se elimina antes de que el mensaje sea entregado al destinatario.

Bloquear

  • HTTP y FTP — Descarta la conexión y el remitente o la dirección de origen se agrega a la lista de Sitios Bloqueados durante 20 minutos.
  • SMTP y POP3 — Si usa la acción de bloquear con proxy SMTP o proxy POP3, el adjunto se remueve antes de que el mensaje sea entregado al destinatario. La dirección del remitente o de origen se agrega a la lista de sitios bloqueados por 20 minutos.

Poner en cuarentena (sólo SMTP)

Cuando utiliza el Proxy SMTP con APT Blocker, puede enviar mensajes de correo electrónico al Quarantine Server. El Proxy SMTP elimina la parte del mensaje que activó el APT Blocker y envía el mensaje modificado al destinatario. La parte eliminada del mensaje se substituye con el Deny message que se configura en los ajustes de la acción de proxy. Si no se puede contactar al Quarantine Server, el mensaje se rechaza temporalmente.

Para obtener más información acerca del Quarantine Server, consulte Acerca de Quarantine Server.

Para el proxy HTTP y el proxy FTP, la acción de cuarentena se convierte en una acción Descartar. Para el proxy POP3, la acción de cuarentena se convierte en una acción Extraer.

Para habilitar APT Blocker:

  1. Seleccione Servicios de Suscripción > APT Blocker.

Screen shot of the APT page, Settings tab

Configuración de APT Blocker en Fireware Web UI

Screen shot of APT Blocker dialog box

Opciones de configuración de APT Blocker en Policy Manager

  1. Marque la casilla de selección Habilitar APT Blocker.
  2. Para cada nivel de amenaza, seleccione la acción. Las acciones disponibles son:
    • Permitir
    • Descartar
    • Bloquear
    • Cuarentena
  1. Para enviar un mensaje de registro para una acción de APT Blocker, marque la casilla de selección Registro.
  2. Para desencadenar una alarma para una acción APT Blocker, marque la casilla de selección Alarma.
    Haga clic en el botón Ajustes de Notificación para configurar los tipos de notificaciones de alarma que quiere recibir.
  3. Haga clic en Aceptar.

Configurar otros Ajustes de APT Blocker

En la sección Políticas, puede deshabilitar o habilitar APT Blocker para cada política en su configuración. Para más información, consulte Habilitar o Deshabilitar APT Blocker para una Política de Proxy.

Para deshabilitar o habilitar APT Blocker para cada política, seleccione la pestaña Políticas. Para más información, vea Habilitar o Deshabilitar APT Blocker para una Política de Proxy

Para enviar solicitudes de APT Blocker a un servidor específico de una región o un servidor local in-situ, y para especificar si desea enviar archivos PDF para su análisis, seleccione la pestaña Avanzado. Para más información, consulte Configurar los Ajustes Avanzados de APT Blocker.

Para conectarse al servidor APT Blocker con un servidor proxy HTTP, en Policy Manager, seleccione la pestaña Servidor Proxy HTTP. Para conectarse al servidor APT Blocker con un servidor proxy HTTP, desde Fireware Web UI, seleccione la pestaña Avanzado. Para más información, consulte Configurar los Ajustes Avanzados de APT Blocker.

Para monitorizar la actividad de APT Blocker, configure la generación de registros para APT Blocker y para ver los informes de APT Blocker Dimension, consulte Monitorizar la Actividad de APT Blocker.

Para ajustar la configuración de notificaciones para APT Blocker, haga clic en Ajustes de Notificación. Para más información, consulte Establecer las Preferencias de Generación de Registros y Notificación.

Para especificar archivos que no desea que APT Blocker escanee, haga clic en Excepciones de Archivo. Para más información, consulte Configurar Excepciones de Archivo.

Ver También

Acerca de APT Blocker

Habilitar o Deshabilitar APT Blocker para una Política de Proxy