Optimizar y Resolver Problemas de Gateway AntiVirus

Optimizar Gateway AntiVirus

Si las páginas web se cargan con lentitud, puede limitar los tipos de contenido y reducir el tamaño de escaneo del archivo para optimizar el rendimiento de Gateway AntiVirus.

Escanear Objetos Basados en Tipos de Contenido

Los asistentes de configuración y el Gateway AntiVirus Activation Wizard configuran las políticas de proxy HTTP para utilizar una acción de proxy que escanea el tráfico permitido en busca de virus. Para optimizar el rendimiento, recomendamos que configure la acción de proxy para usar tipos de contenido con el fin de determinar si se escanea un objeto o no.

El tipo de contenido en el encabezado HTTP le dice al explorador si debe renderizar o descargar un objeto. Las amenazas generalmente se descargan, por lo que usted puede omitir los análisis AV para algunos tipos de contenido comunes que no se descargan, por ejemplo:

  • texto/simple
  • texto/html
  • texto/xml
  • texto/css
  • imagen/jpeg
  • imagen/jpg
  • aplicación/json
  • aplicación/ocsp-respuesta

Para escanear objetos basados en tipos de contenido, en Policy Manager, configure la acción de proxy HTTP de la siguiente manera:

  • En el conjunto de reglas Rutas URL, de la lista desplegable acción Ninguna coincidencia, seleccione Permitir.
  • En conjuntos de reglas Tipos de Contenido:
    • En la vista avanzada, agregue reglas para tipos de contenido más seguros y establezca la acción de la regla que desea Permitir. Para más información, consulte Agregar, Cambiar o Eliminar Reglas.
    • Haga clic en los botones Arriba y Abajo para mover las reglas para tipos de contenido más seguros al principio de la lista. Para más información, consulte Cambiar el Orden de las Reglas.

    Screenshot of Content Type rules.

    • Mantenga la acción de regla Predeterminada como Escaneo AV para que se escaneen los tipos de contenido que usted no desee permitir.
  • En el conjunto de reglas Tipos de Contenido de Cuerpo, de la lista desplegable acción Ninguna coincidencia, seleccione Permitir. Esto no significa que todos los demás tipos de archivos se permitirán sin un escaneo AV. El proxy HTTP aún puede decidir escanear archivos basándose en el conjunto de reglas Tipos de Contenido.

Utilizar el Límite de Escaneo Predeterminado de Gateway AntiVirus

La mayoría del malware se suministra en archivos menores a 1 MB. Debido a que es menos probable que los archivos más grandes se propaguen de manera viral, recomendamos que no aumente la configuración predeterminada del límite de escaneo para su dispositivo.

Si aumenta el límite de escaneo, Gateway AntiVirus escanea archivos más grandes, lo que puede resultar en menos conexiones concurrentes a través de su Firebox.

Para más información, vea Acerca de los Límites de Escaneo del Gateway AntiVirus

Actualizar el Firebox a la Versión Más Reciente del Sistema Operativo

Recomendamos que utilice la versión más reciente del sistema operativo disponible para su dispositivo Firebox. Para el desempeño del escaneo de Gateway AntiVirus es especialmente importante asegurarse de que su dispositivo utilice el motor de escaneo actual y la firma correcta establecida para su dispositivo. Para obtener más detalles sobre los conjuntos de firmas para dispositivos Firebox, consulte Tamaños de conjuntos de firmas de Gateway AntiVirus.

A partir de 2020, los Fireboxes que ejecutan Fireware v12.1.1 o inferior no obtendrán actualizaciones de Gateway AntiVirus.

Activar RED

Le recomendamos habilitar Reputation Enabled Defense (RED) para reducir los recursos usados por Gateway AntiVirus. Cuando usa RED, su dispositivo Firebox se salta los escaneos AV para los sitios con una reputación muy buena, y rechaza el acceso a los sitios con una reputación muy mala.

Para más información, consulte Acerca de Reputation Enabled Defense.

Configuración de la política

Habilite Gateway AntiVirus en cualquier acción de proxy que maneje el tráfico hacia o desde una red que no sea de confianza y tenga una opción para escanear virus.

Para la opción Cuando ocurre un error de escaneo, seleccione Cuarentena o Bloquear para evitar la pérdida de datos por errores de escaneo. Cuando desbloquea un archivo, asegúrese de escanear el archivo desbloqueado con un escáner de virus local o en línea.

Configuración Global

Gateway AntiVirus puede escanear dentro de archivos adjuntos comprimidos. La descompresión de archivos de Gateway AntiVirus siempre está habilitada en Fireware v12.0 y superiores, y no hay ajustes configurables. La cantidad de niveles a escanear depende de la cantidad de RAM que el Firebox tiene. Los modelos de Firebox con menos de 2 GB de RAM escanean 8 niveles de archivos comprimidos. Los modelos de Firebox con 2 GB o más de RAM escanean hasta 16 niveles de archivos comprimidos.

Para Fireware v11.12.4 e inferior, puede configurar los Ajustes de Descompresión de Gateway AntiVirus en Policy Manager. Recomendamos que use los Niveles predeterminados para escanear de 3. Si selecciona un valor más alto se podría afectar el rendimiento de la política de proxy. Si Gateway AntiVirus detecta que la profundidad del archivo es mayor que el valor establecido en este encabezado, generará un error de escaneo para el contenido.

Los adjuntos comprimidos que no se pueden escanear incluyen archivos cifrados o archivos que utilizan un tipo de compresión no admitido, tales como los archivos zip protegidos por contraseña.

Resolver Problemas del Gateway AntiVirus

Si un cliente en su red se infecta con un virus, es importante identificar el motivo por el que ocurrió:

  • Gateway AntiVirus no tiene una firma para detectar este virus
  • El archivo infectado no fue escaneado con Gateway AntiVirus
  • El dispositivo Firebox no descargó el conjunto de firmas más reciente

Prueba de Gateway AntiVirus

Puede usar la herramienta de prueba EICAR para confirmar que Gateway AntiVirus está habilitado para la política correcta y que puede detectar virus. Para obtener esta herramienta, vaya a Eicar.org. Para obtener información sobre cómo usarla, consulte Usar el Archivo de Prueba EICAR para probar Gateway AntiVirus en la Base de Consulta de WatchGuard.

Firmas de Virus

Gateway AntiVirus usa un conjunto de firmas para detectar archivos infectados. Si no se detecta un virus, o si se detecta un virus en un archivo que usted cree que no tiene un virus, puede reportar los falsos negativos o falsos positivos y enviar el archivo para su análisis.

En algunos casos, un virus que existe en la base de datos podría no estar en el conjunto de firmas usado por su Firebox. Algunos modelos del Firebox utilizan un conjunto más pequeño que se centra en los virus más comunes y podrían no detectar todos los virus. Para obtener más información, consulte el artículo Tamaños de los conjuntos de firmas de Gateway AntiVirus en la Base de Consulta de WatchGuard.

Revisar los Mensajes de Registro de los Escaneos de Gateway AntiVirus

Si su dispositivo Firebox está configurado para enviar datos de registro a un sistema Dimension o a un WatchGuard Log Server, puede buscar en sus datos de registro el nombre de archivo para identificar si su Firebox escaneó el archivo, y ver los resultados del escaneo.

De forma predeterminada, sus políticas de proxy registran todos los eventos en donde se encuentre un virus o si ocurre un error en el escaneo. Para asegurar que una política de proxy registre todos los eventos de proxy, incluidos los archivos donde no se haya encontrado infección, marque la casilla de selección Habilitar generación de registros para los informes en la acción de proxy.

Para obtener más información acerca de cómo buscar mensajes de registro en Dimension, consulte Buscar Mensajes de Registro de Dispositivo (Dimension).

Ejemplo de Mensaje de Registro

En este mensaje de registro, el Proxy HTTP escaneó un archivo de nombre eicar.com y detectó un virus.

Denegar 2-Internal-traffic 4-External-traffic tcp 10.0.1.8 192.168.53.92 57525 80 msg="ProxyDrop: HTTP Virus found" proxy_act="HTTP-Client.1" virus="EICAR_Test" host="192.168.53.92" path="/viruses/eicar.com" (HTTP-proxy-00)

Este mensaje de registro indica una falla en el servicio de Gateway AntiVirus en su dispositivo Firebox. Una causa común de este problema es un conjunto de firmas desactualizado o inválido. Revise el panel de control Servicios de Suscripción en Fireware Web UI o la pestaña Servicios de Suscripción en Firebox System Manager para confirmar si Gateway AntiVirus puede actualizar firmas, y la fecha en que se descargó la última actualización de firmas.

Permitir 1-Trusted 0-External tcp 10.0.1.2 8.25.35.115 51859 80 msg="ProxyAllow: HTTP AV scanning error" proxy_act="HTTP-Client.3" error="avg scanner is not created" host="api.yontoo.com" path="/LoadJS.ashx" (HTTP-proxy-00)

Para obtener más detalles sobre los servicios de suscripción en Firebox System Manager, consulte Estadísticas de Servicios de Suscripción (Servicios de Suscripción).

Este mensaje de registro indica una falla en el escaneo. Esto puede ocurrir con archivos .zip u otros archivos comprimidos que tengan demasiados niveles de compresión, o con archivos cifrados, o que no pueden ser abiertos por cualquier otro motivo.

Permitir 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 39589 25 msg="ProxyLock: SMTP Cannot perform Gateway AV scan" proxy_act="SMTP-Outgoing.1" sender="[email protected]" recipients="wg@localhost" error="scan request failed" filename="message.scr" (SMTP-proxy-00)

Si Gateway AntiVirus no puede escanear un archivo protegido por contraseña dentro de un archivo comprimido, el error de escaneo en el mensaje de registro incluye el nombre del archivo dentro del archivo. Por ejemplo, si Gateway AntiVirus no pudo analizar un archivo protegido por contraseña llamado protegido.xlsx en un archivo llamado archivo.zip, el error de escaneo en el mensaje de registro incluye los nombres de ambos archivos.

error="Object (protegido.xlsx) Encrypted" host="example.net: path-"/archivo.zip"

El mensaje de registro incluye el nombre del archivo dentro del archivo en Fireware v12.2 y superior.

Revisión de Encabezados de Correo Electrónico con Gateway AntiVirus

Si un usuario recibió un virus por correo electrónico, puede confirmar si el archivo fue escaneado y cuál fue el resultado. Busque un encabezado similar a X-WatchGuard-AntiVirus: scanned 'file.pdf'. clean action=allow para indicar si se detectó un virus.

Para obtener instrucciones sobre cómo conservar los encabezados de mensaje, consulte ¿Cómo conservo el encabezado original del mensaje cuando envío mensajes a soporte técnico para su análisis? en la Base de Consulta de WatchGuard.

Ver También

Configurar Acciones de Gateway AntiVirus

Actualizar la Configuración del Gateway AntiVirus