Configurer APT Blocker

Vous pouvez utiliser APT Blocker en plus de Gateway AntiVirus pour assurer la protection contre les techniques malveillantes avancées qui exploitent des failles inédites et évitent l'analyse traditionnelle basée sur les signatures. Pour utiliser APT Blocker, vous devez disposer d'une clé de fonctionnalité qui active APT Blocker et Gateway AntiVirus.

APT Blocker participe au même processus d'analyse que Gateway AntiVirus. Lorsque vous activez APT Blocker dans une action de proxy, APT Blocker analyse uniquement le contenu s'il correspond à une règle d'action de proxy configurée dans l'action Analyse AV.

Pour utiliser APT Blocker, vous devez avoir une clé de fonctionnalité qui active le service.

Pour de plus amples informations, consultez :

APT Blocker et NTP

Lorsque vous utilisez APT Blocker, WatchGuard vous recommande d'activer NTP afin de synchroniser l'heure avec le centre de données. Pour de plus amples informations sur la façon d'activer et de configurer le NTP, consultez Activer le protocole NTP et configurer des serveurs NTP.

APT Blocker et IPv6

Dans Fireware v11.12 et les versions ultérieures, Fireware prend en charge IPv6 pour les stratégies de proxy et les services d'abonnement. APT Blocker utilise IPv4 pour se connecter au serveur. Si votre Firebox est configuré en mode IPv6, vous devez configurer son interface externe avec une adresse IPv4 et une adresse IPv6.

Activer APT Blocker et Configurer des Actions APT Blocker

Avant de pouvoir activer APT Blocker, Gateway AntiVirus doit être activé pour une ou plusieurs stratégies de proxy actives. Pour plus d'informations, consultez Activer Gateway AntiVirus dans une Stratégie de Proxy.

Lorsque vous configurez APT Blocker, vous spécifiez l'action qu'APT Blocker effectue pour chaque niveau de menace. Les options proposées sont :

Autoriser

Autorise et transmet le fichier ou la pièce jointe d'e-mail au destinataire.

Abandonner

  • HTTP et FTP — Abandonne immédiatement la connexion. Le Firebox ne transmet aucun message d'erreur au serveur émetteur.
  • SMTP et POP3 — Si vous utilisez l'action d'abandon avec le proxy SMTP ou le proxy POP3, la pièce jointe est supprimée avant que le message ne soit distribué au destinataire.

Bloquer

  • HTTP et FTP — Abandonne la connexion, et l'expéditeur ou l'adresse source est ajouté(e) à la liste des Sites Bloqués pendant 20 minutes.
  • SMTP et POP3 — Si vous utilisez l'action de blocage avec le proxy SMTP ou le proxy POP3, la pièce jointe est supprimée avant que le message ne soit distribué au destinataire. L'adresse source (expéditeur) est ajoutée à la liste des Sites Bloqués pendant 20 minutes.

Quarantaine (SMTP uniquement)

Lorsque vous utilisez le proxy SMTP avec APT Blocker, vous pouvez envoyer des e-mails au Quarantine Server. Le proxy SMTP supprime la partie du message qui a déclenché APT Blocker et envoie le message modifié au destinataire. La partie supprimée du message est remplacée par le message de refus configuré dans les paramètres de l'action de proxy. Si Quarantine Server ne peut pas être contacté, ce message est provisoirement rejeté.

Pour davantage d'informations sur le Quarantine Server, voir À propos de Quarantine Server.

Pour le proxy HTTP et le proxy FTP, l'action de mise en quarantaine est transformée en une action d'Abandon. Pour le proxy POP3, l'action de mise en quarantaine est transformée en action Enlever.

Pour activer APT Blocker :

  1. Sélectionnez services d'Abonnement > APT Blocker.

Capture d'écran de la page APT, onglet Paramètres

Configuration d'APT Blocker dans Fireware Web UI

Capture d'écran de la boîte de dialogue APT Blocker

Configuration d'APT Blocker dans Policy Manager

  1. Sélectionnez la case à cocher Activer ATP Blocker.
  2. Sélectionnez l'action à prendre pour chaque niveau de menace. Les actions disponibles sont :
    • Autoriser
    • Abandonner
    • Bloquer
    • Quarantaine
  1. Pour envoyer un message de journal pour chaque action d'APT Blocker, cochez la case Journal.
  2. Pour déclencher une alarme pour chaque action d'APT Blocker, cochez la case Alarme.
    Cliquez sur le bouton Paramètres de Notification pour configurer les types de notifications d'alarme que vous voulez recevoir.
  3. Cliquez sur OK.

Configurer d'Autres Paramètres d'APT Blocker

Dans la section Stratégies, vous pouvez désactiver ou activer APT Blocker pour chaque stratégie de votre configuration. Pour plus d'informations, consultez Activer ou Désactiver APT Blocker pour une Stratégie de Proxy.

Pour désactiver ou activer APT Blocker pour chaque stratégie, sélectionnez l'onglet Stratégies. Pour plus d'informations, consultez Activer ou Désactiver APT Blocker pour une Stratégie de Proxy

Pour envoyer des requêtes APT Blocker à un serveur sur site spécifique à une région ou local et pour spécifier s'il faut envoyer des fichiers PDF pour analyse, sélectionnez l'onglet Avancé. Pour plus d'informations, consultez Configurer les Paramètres Avancés d'APT Blocker.

Pour vous connecter au serveur APT Blocker avec un serveur proxy HTTP, depuis Policy Manager, sélectionnez l'onglet Serveur Proxy HTTP. Pour vous connecter au serveur APT Blocker avec un serveur proxy HTTP, depuis Fireware Web UI, sélectionnez l'onglet Avancé. Pour plus d'informations, consultez Configurer les Paramètres Avancés d'APT Blocker.

Pour surveiller l'activité d'APT Blocker, configurer la journalisation d'APT Blocker et consulter les rapports d'APT Blocker dans Dimension, consultez Surveiller l'Activité d'APT Blocker.

Pour configurer les paramètres de notification d'APT Blocker, cliquez sur Paramètres de Notification. Pour plus d'informations, consultez Définir les préférences de Journalisation et de Notification.

Pour spécifier des fichiers que vous ne voulez pas qu'APT Blocker analyse, cliquez sur Exceptions de Fichiers. Pour plus d'informations, consultez Configurer les Exceptions de Fichiers.

Voir Également

À propos d'APT Blocker

Activer ou Désactiver APT Blocker pour une Stratégie de Proxy