Configurar Acciones de Gateway AntiVirus
Cuando habilita Gateway AntiVirus para una política de proxy, establece las acciones que se deben tomar si se detecta un virus o un archivo no se puede escanear en:
- Mensaje de correo electrónico (servidores proxy SMTP, IMAP o POP3)
- Descarga de página Web o carga de publicación (proxy HTTP, TCP-UDP o Explícito)
- Archivo cargado o descargado (proxy FTP)
Los límites de tamaño de escaneo predeterminados y máximos de Gateway AntiVirus se establecen basándose en las capacidades de hardware de cada modelo de Firebox. El tamaño mínimo de escaneo para todos los modelos es de 1 MB. Gateway AntiVirus no escanea archivos más grandes que el límite de escaneo que usted establezca.
Los límites de tamaño de escaneo predeterminados y máximos se cambiaron en Fireware v12.0.1. Cuando actualiza Fireware OS, el límite de tamaño del Escaneo de Gateway AntiVirus no cambia automáticamente al nuevo valor predeterminado. Recomendamos que actualice el Límite de tamaño de escaneo al valor predeterminado para su modelo Firebox. Para más información, consulte Acerca de los Límites de Escaneo del Gateway AntiVirus.
Puede configurar Gateway AntiVirus para que realice estas acciones cuando identifique un virus o cuando se produzca un error de escaneo:
Permite que el paquete se envíe al receptor, aunque el contenido incluya un virus.
Deniega el archivo o correo electrónico y envía un deny message. Puede personalizar el mensaje de denegación en la acción de proxy.
La acción Denegar es compatible con el proxy SMTP en Fireware OS v12.2.1 y superior.
Bloquea el archivo adjunto. Es una buena opción para archivos que el Firebox no puede escanear. El usuario no puede abrir fácilmente un archivo bloqueado. Solo el administrador puede desbloquear el archivo. El administrador puede utilizar una herramienta antivirus diferente para escanear el archivo y examinar el contenido del archivo adjunto.
Para obtener información acerca de cómo desbloquear un archivo bloqueado por el Gateway AntiVirus, consulte Desbloquear un Archivo Bloqueado por el Gateway AntiVirus.
Cuando utiliza el proxy SMTP con la suscripción de seguridad de Gateway AntiVirus, puede enviar los mensajes de correo electrónico que contengan virus o posibles virus al Quarantine Server. El proxy de SMTP elimina la parte del mensaje que accionó al escáner y envía el mensaje modificado al destinatario. El mensaje eliminado es sustituido con el deny message configurado en el proxy. Si no se puede contactar al Quarantine Server, el mensaje se rechaza temporalmente.
Para obtener más información acerca del Quarantine Server, consulte Acerca de Quarantine Server. Para obtener información sobre cómo configurar el Gateway AntiVirus para que funcione con el Quarantine Server, consulte Configurar el Gateway AntiVirus para Colocar Mensajes de Correo Electrónico en Cuarentena.
Elimina el archivo adjunto y envía el resto del mensaje al destinatario. Sustituye el adjunto eliminado con el deny message configurado en el proxy.
Descarta el paquete y la conexión. No se envía información a la fuente del mensaje.
Se bloquea el paquete y se agrega la dirección IP del remitente a la lista de sitios bloqueados.
Las acciones del Gateway AntiVirus solo se producen cuando se configura una regla en la acción de proxy con la acción Escaneo de AV. Para obtener información sobre cómo configurar el Gateway AntiVirus en las reglas en una acción de proxy, consulte Habilitar el Gateway AntiVirus en una Política de Proxy.
Configurar Acciones del Gateway AntiVirus para un Proxy
Para cada acción de proxy, puede habilitar el Gateway AntiVirus y puede seleccionar las acciones a tomar cuando se detecte un virus y cuando se produzca un error de escaneo. Cuando habilita el Gateway AntiVirus para una acción de proxy, esto cambia automáticamente la acción de las reglas en la acción de proxy de Permitir a Escaneo de AV.
Puede configurar las acciones de Gateway AntiVirus para un proxy en los ajustes de Gateway AntiVirus en la acción de proxy. O bien puede editar los ajustes de la acción de proxy en los ajustes de Gateway AntiVirus. El procedimiento en este tema utiliza el segundo método.
- Seleccione Servicios de Suscripción > Gateway AV.
Se abre la página de configuración del Gateway AntiVirus.
- Seleccione una acción de proxy definida por el usuario y haga clic en Configurar.
Se abre la configuración del Gateway AntiVirus para esa acción de proxy.
- Para habilitar Gateway AntiVirus para esta acción de proxy, marque la casilla de selección Habilitar Gateway AntiVirus.
- En la lista desplegable Cuando se detecta un virus, seleccione la acción que el Firebox realiza si se detecta un virus en un mensaje de correo electrónico, archivo, página web o carga web. Consulte el comienzo de esta sección para obtener una descripción de las acciones.
- En la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que el Firebox realiza cuando no puede escanear un objeto o adjunto. Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos cifrados o archivos que utilizan un tipo de compresión no admitido por el Gateway AntiVirus como los archivos Zip protegidos por contraseña. Consulte el comienzo de esta sección para obtener una descripción de las acciones.
Seleccione la acción Cuarentena o Bloquear para evitar la pérdida de datos por errores de escaneo. Cuando desbloquea un archivo, asegúrese de escanear el archivo desbloqueado con un escáner AV local.
- En la lista desplegable Cuando el contenido supere el límite de tamaño de escaneo, seleccione la acción que el Firebox realiza cuando el contenido supera el límite de tamaño de escaneo configurado. Los límites de tamaño de escaneo predeterminados y máximos de Gateway AntiVirus se establecen basándose en las capacidades de hardware de cada modelo de Firebox. El tamaño mínimo de escaneo para todos los modelos es de 1 MB. Para obtener información acerca de los límites de escaneo máximos y predeterminados para cada modelo de Firebox, consulte Acerca de los Límites de Escaneo del Gateway AntiVirus.
- En la lista desplegable Cuando el contenido está cifrado, seleccione la acción que el Firebox realiza cuando Gateway AntiVirus no puede escanear un archivo porque está cifrado (protegido por contraseña).
- Para crear mensajes de registro para la acción, marque la casilla de selección Registro. Si no desea registrar mensajes de registro para una respuesta del antivirus, desmarque la casilla de selección Registro.
- Para desencadenar una alarma para la acción, marque la casilla de selección Alarma. Si no desea establecer una alarma, desmarque la casilla de selección Alarma para esa acción.
- En el cuadro de texto Límite de tamaño de escaneo, ingrese el límite de escaneo de archivos en kilobytes. Esto establece el archivo de tamaño máximo que Gateway AntiVirus e IntelligentAV pueden escanear. Para obtener información acerca de los límites de escaneo máximos y predeterminados para cada modelo de Firebox, consulte Acerca de los Límites de Escaneo del Gateway AntiVirus.
El límite de escaneo también controla el tamaño máximo de los archivos que APT Blocker envía para su análisis. APT Blocker no puede enviar archivos de más de 10 MB para su análisis. Si establece un límite de escaneo de Gateway AntiVirus superior a 10 MB, APT Blocker no envía archivos superiores a 10 MB para su análisis.
- Seleccione Servicios de Suscripción > Gateway AntiVirus > Configurar.
Se abre el cuadro de diálogo Gateway AntiVirus.
- Seleccione la política para la cual desea habilitar el Gateway AntiVirus y haga clic en Habilitar.
El estado del Gateway AntiVirus cambia a Habilitado. - Haga clic en Configurar.
Se abre los Ajustes Generales de Gateway AntiVirus para esa política.
- En la lista desplegable Cuando se detecta un virus, seleccione la acción que el Firebox realiza si se detecta un virus en un mensaje de correo electrónico, archivo, página web o carga web. Consulte el comienzo de esta sección para obtener una descripción de las acciones.
- En la lista desplegable Cuando ocurre un error de escaneo, seleccione la acción que el Firebox realiza cuando no puede escanear un objeto o adjunto. Los adjuntos que no se pueden escanear incluyen mensajes codificados de BinHex, determinados archivos cifrados o archivos que utilizan un tipo de compresión no admitido por el Gateway AntiVirus como los archivos Zip protegidos por contraseña. Consulte el comienzo de esta sección para obtener una descripción de las acciones.
Seleccione la acción Cuarentena o Bloquear para evitar la pérdida de datos por errores de escaneo. Cuando desbloquea un archivo, asegúrese de escanear el archivo desbloqueado con un escáner AV local.
- En la lista desplegable Cuando el contenido supere el límite de tamaño de escaneo, seleccione la acción que el Firebox realiza cuando el contenido supera el límite de tamaño de escaneo configurado.
- En la lista desplegable Cuando el contenido está cifrado, seleccione la acción que el Firebox realiza cuando Gateway AntiVirus no puede escanear un archivo porque está cifrado (protegido por contraseña).
Este ajuste se aplica a Fireware v12.0.1 y superior. En versiones inferiores de Fireware, cuando un archivo cifrado no puede ser escaneado, el Firebox realiza la acción configurada para Cuando ocurre un error de escaneo.
- Para crear mensajes de registro para la acción, marque la casilla de selección Registro. Si no desea grabar los mensajes de registro para una acción, desmarque la casilla de selección Registrar.
- Para desencadenar una alarma para la acción, marque la casilla de selección Alarma. Si no desea configurar una alarma para una acción, desmarque la casilla de selección Alarma.
- En el cuadro de texto Límite de tamaño de escaneo, ingrese el límite de escaneo de archivos en kilobytes. Esto establece el archivo de tamaño máximo que Gateway AntiVirus e IntelligentAV pueden escanear. Para obtener información acerca de los límites de escaneo máximos y predeterminados para cada modelo de Firebox, consulte Acerca de los Límites de Escaneo del Gateway AntiVirus.
El límite de escaneo también controla el tamaño máximo de los archivos que APT Blocker envía para su análisis. APT Blocker no puede enviar archivos de más de 10 MB para su análisis. Si establece un límite de escaneo de Gateway AntiVirus superior a 10 MB, APT Blocker no envía archivos superiores a 10 MB para su análisis.
También puede configurar las acciones de Gateway AntiVirus en el cuadro de diálogo Editar Propiedades de la Política.
- Haga doble clic en la política.
- Seleccione la pestaña Propiedades.
- Haga clic en
. - En la lista Categorías, seleccione Antivirus.
Si habilita DLP y Gateway AntiVirus para la misma acción de proxy, el mayor límite de escaneo configurado se usa para ambos servicios.
Para el proxy HTTP (y los servidores proxy Explícito y TCP-UDP), los ajustes Generales de Gateway AntiVirus solo se aplican cuando se selecciona Escaneo de AV en las listas desplegables Acción en las reglas Rutas de URL, Tipos de Contenido y Tipos de Contenido del Cuerpo para la política.
Puede configurar un proxy HTTP para escanear objetos según los tipos de contenido y los tipos de contenido del cuerpo. Para más información, consulte Optimizar Gateway AntiVirus.
De forma predeterminada, cuando habilita Gateway AntiVirus para una política de proxy desde la configuración del Gateway AntiVirus, la acción predeterminada para el contenido que no coincide con una regla de proxy se establece automáticamente a Escaneo de AV. Usted puede mejorar el rendimiento del Gateway AntiVirus si cambia la acción predeterminada para el contenido HTTP que no coincida con una regla de proxy configurada. Para más información, consulte Configurar Acciones del Gateway AntiVirus para Contenido HTTP.
Cuando habilita Gateway AntiVirus en una acción de proxy, aparece un mensaje de advertencia en los ajustes de Gateway AntiVirus si las actualizaciones automáticas están deshabilitadas para las firmas de Gateway AntiVirus. Para configurar actualizaciones automáticas, consulte Configurar el Servidor de Actualización de Gateway AntiVirus.