Mejores Prácticas y Resolver Problemas para WebBlocker

Mejores Prácticas para WebBlocker

Siga estas mejores prácticas para optimizar la efectividad y el rendimiento de WebBlocker.

Configuración de la política

Utilice WebBlocker para políticas de proxy de HTTP y HTTPS salientes. También puede utilizar WebBlocker en un proxy TCP-UDP para categorizar sitios en puertos que no sean 80 y 443.

Excepciones de WebBlocker

Para obtener el mejor rendimiento, recomendamos definir Excepciones de WebBlocker como expresiones regulares. Cuando utilice una coincidencia de patrón o una coincidencia exacta, el dispositivo Firebox debe convertirla a una expresión regular antes de que evalúe cada sitio. Cuando use una expresión regular, este paso no será necesario y la búsqueda de WebBlocker se realizará más rápidamente. Para conocer más información e instrucciones de configuración, consulte el artículo básico de conocimientos Usar expresiones regulares en definiciones proxy.

Si desea que WebBlocker siempre permita o deniegue el acceso a un sitio web, independientemente de la acción de WebBlocker utilizada, recomendamos que agregue una excepción global de WebBlocker para ese sitio y elimine las excepciones duplicadas de sus acciones de WebBlocker. Las excepciones globales de WebBlocker ayudan a reducir el tamaño de su archivo de configuración. Para obtener más información sobre las excepciones globales, consulte Configurar los Ajustes Globales de WebBlocker.

WebBlocker no evalúa la cadena de consulta (cualquier texto posterior al símbolo de interrogación) para una solicitud HTTP. Puede utilizar la configuración de Rutas URL del proxy HTTP para rechazar una consulta específica. Para obtener más información sobre cómo rechazar rutas específicas con Proxy HTTP, consulte Solicitud HTTP: Rutas de URL.

Para crear una excepción de WebBlocker para tráfico en un puerto no estándar, consulte el artículo Agregar una excepción de WebBlocker para tráfico en puertos no estándares en la Base de Consulta.

Excepciones de Proxy HTTP o Excepciones de WebBlocker

Cuando configure una política de proxy HTTP con WebBlocker, es importante entender que las Excepciones de Proxy HTTP solo se aplican al contenido de los sitios a los que los usuarios acceden a través del proxy. Las Excepciones de WebBlocker solo impactan la determinación de si WebBlocker deniega o permite el acceso a un sitio.

Una indicación en las Excepciones de Proxy HTTP para un sitio no impide que WebBlocker lo deniegue, y una excepción de WebBlocker no tiene impacto en si la acción de Proxy HTTP puede cambiar o eliminar el contenido recibido por el usuario.

Permitir Acceso solo a Sitios Web Específicos

Si tiene planeado permitir solamente el acceso del usuario a sitios específicos con el Proxy HTTP, no es necesario utilizar WebBlocker. Puede configurar el Proxy HTTP para permitir solamente rutas específicas en la solicitud HTTP. Para obtener más información, consulte Solicitud HTTP: Rutas de URL.

WebBlocker sobre HTTPS sin Inspección de Contenido

WebBlocker examina tanto los campos de Indicación de Nombre de Servidor (SNI) como los de Nombre Común (CN) durante el intercambio de certificados para determinar la dirección web. Esto permite que WebBlocker pueda identificar con éxito el dominio o subdominio de un sitio que debe permitir o denegar.

Selección de Servidor y DNS

Para optimizar el rendimiento de WebBlocker Cloud, consulte el artículo de la base de consulta Optimizar el Rendimiento de WebBlocker.

Conexiones de WebBlocker para Búsquedas de URL

Para conectarse a WebBlocker Cloud para búsquedas de URL, el Firebox crea una conexión HTTPS con el servidor WebBlocker Cloud alojado en la ubicación más cercana.

Para conectarse a un WebBlocker Server local para búsquedas de URL, el Firebox crea una conexión HTTPS con el WebBlocker Server local configurado en los Ajustes Globales de WebBlocker. Para más información, consulte Configurar los Ajustes Globales de WebBlocker.

Resolución de problemas de WebBlocker

WebBlocker puede generar mensajes de registro que son útiles para la resolución de problemas. Si no ve mensajes de registro de sitios que WebBlocker deniega, asegúrese de que la generación de registros esté habilitada en la acción de WebBlocker usada por su acción de proxy HTTP.

Para habilitar la generación de registros en la acción de WebBlocker:

  1. Edite la acción de WebBlocker utilizada por la acción de proxy HTTP.
  2. En la acción de WebBlocker, seleccione la pestaña Categorías.
  3. Para enviar un mensaje de registro cuando un usuario intenta visitar un sitio en una categoría o subcategoría y se le niega, marque la casilla de selección correspondiente en la columna Registro.
  4. Para enviar un mensaje de registro cuando un usuario intenta visitar un sitio sin categorizar, a un lado de la lista desplegable Cuando un URL no está categorizada, marque la casilla de selección Registrar esta Acción.

Para más información, consulte Configurar Categorías de WebBlocker.

Para resolver problemas de WebBlocker, primero debe comprender el alcance del problema:

  • ¿Tiene impacto solamente en sitios específicos o en todo el tráfico de la Web?
  • ¿El problema permite o deniega el acceso a sitios de forma incorrecta?

Problemas que Afectan Solo a Sitios Específicos

Si nota que algunos sitios se denegaron, o no se denegaron, incorrectamente esto puede deberse a una serie de causas posibles:

  1. Esto puede ocurrir si el sitio no corresponde a la categoría que esperaba. Para saber cómo probar a qué categoría corresponde un sitio y cómo sugerir un cambio, visite el Portal de Seguridad de WatchGuard. Recuerde que siempre puede crear una excepción de WebBlocker para permitir o denegar un sitio en caso de que no desee cambiar la manera en que maneja la categoría completa.

Cuando se permite o bloquea un sitio según la categoría, es posible que los registros de tráfico contengan un mensaje como este:

Allow 1-Trusted 0-External tcp 10.0.1.2 50.16.210.117 50790 80 msg="ProxyAllow: HTTP Request categories" proxy_act="HTTP-Client.2" cats="Reference Materials" op="GET" dstname="www.walkscore.com" arg="/" (HTTP-proxy-00)

  1. Esto puede ocurrir si no tiene habilitado WebBlocker para un Proxy HTTPS. Los sitios web con acceso por HTTPS no serán denegados.
  2. Esto puede ocurrir si tiene habilitado WebBlocker para HTTPS, sin embargo, no utilice la inspección de contenido en esas acciones de Proxy HTTPS. Para obtener más información, consulte este problema conocido: es posible que WebBlocker no logre denegar sitios HTTPS con certificados comodín.

Problemas que Afectan a Todos los Sitios

Si todo el tráfico del usuario es permitido o todo es rechazado, existen varias causas que se deben considerar:

  1. Es posible que la configuración de políticas sea incorrecta. Asegúrese de que el tráfico web del usuario se maneje por una política correcta de proxy HTTP, HTTPS o TCP-UDP para la acción de WebBlocker.
  2. Si usa WebBlocker Cloud, es posible que el Firebox no pueda comunicarse con el servidor o que no reciba una respuesta oportuna. Para obtener más información sobre cómo resolver algunos problemas comunes de conexión para WebBlocker Cloud, consulte Optimizar el Rendimiento de WebBlocker.
  3. Si usa el WebBlocker Server local, asegúrese de que el servidor esté en funcionamiento y pueda responder.

Si el WebBlocker Server se encuentra inactivo o WebBlocker tiene una dirección IP incorrecta en la configuración, es posible que vea un mensaje de registro como el siguiente:

Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.23 23.21.224.150 60921 80 msg="ProxyDeny: HTTP Service unavailable" proxy_act="HTTP-Client.1" service="WebBlocker.1" details="Webblocker server is not available" (HTTP-proxy-00)

Ver También

Configurar WebBlocker

Importar o Exportar Excepciones de WebBlocker

Activación de WebBlocker