Configurer les Actions de Gateway AntiVirus
Lorsque vous activez Gateway AntiVirus pour une stratégie de proxy, vous définissez les actions à effectuer lorsqu'un virus est détecté ou qu'un fichier ne peut pas être analysé dans un(e) :
- Message e-mail (proxy SMTP, IMAP ou POP3)
- Téléchargement ou transmission d'une page Web (proxy HTTP, TCP-UDP ou Explicite)
- Téléchargement ou transmission d'un fichier (proxy FTP)
La valeur par défaut et la valeur maximale de la limite de taille d'analyse de Gateway AntiVirus sont définies en fonction des capacités matérielles de chaque modèle de Firebox. La taille minimale d'analyse de tous les modèles est de 1 MO. Gateway AntiVirus n'analyse pas les fichiers dont la taille dépasse la limite d'analyse que vous avez définie.
Les limites de taille d'analyse maximales et par défaut ont été modifiées dans Fireware v12.0.1. Lors de la mise à niveau du système d'exploitation Fireware OS, la Limite de taille d'analyse de Gateway AntiVirus n'est pas automatiquement remplacée par la nouvelle valeur par défaut. Nous vous recommandons de remplacer la Limite de taille d'analyse par la valeur par défaut de votre modèle de Firebox. Pour plus d'informations, consultez À propos des Limites d'Analyse Gateway AntiVirus.
Vous pouvez configurer Gateway AntiVirus de manière à entreprendre ces actions lorsqu'il identifie un virus ou en cas d'erreur d'analyse :
Autorise le paquet à accéder au destinataire, même si le contenu est porteur d'un virus.
Refuse le fichier ou l'e-mail et envoie un message de refus. Vous pouvez personnaliser le message de refus dans l'action de proxy.
L'action Refuser est prise en charge pour le proxy SMTP dans le système d'exploitation Fireware OS v12.2.1 et les versions ultérieures.
Verrouille la pièce jointe. Cette option est utile pour les fichiers que le Firebox ne peut pas analyser. Un fichier verrouillé ne peut pas être ouvert facilement par l'utilisateur. Seul l'administrateur est en mesure de déverrouiller le fichier. L'administrateur peut utiliser un autre outil antivirus pour analyser le fichier et examiner le contenu de la pièce jointe.
Pour plus d'informations sur le déverrouillage d'un fichier verrouillé par Gateway AntiVirus, reportez-vous à la rubrique Déverrouiller un Fichier Verrouillé par Gateway AntiVirus.
Quand vous utilisez le proxy SMTP avec l'abonnement aux services de sécurité de Gateway AntiVirus, vous pouvez envoyer les e-mails contenant probablement ou certainement des virus au serveur Quarantine Server. Le proxy SMTP supprime la partie du message qui a déclenché l'analyse et envoie le message modifié au destinataire. La partie supprimée du message est remplacée par le message de refus configuré dans le proxy. Si Quarantine Server ne peut pas être contacté, ce message est provisoirement rejeté.
Pour davantage d'informations sur le Quarantine Server, voir À propos de Quarantine Server. Pour plus d'informations sur la façon de configurer Gateway AntiVirus pour qu'il fonctionne avec Quarantine Server, consultez Configurer Gateway AntiVirus pour Placer du Courrier en Quarantaine.
Supprime la pièce jointe et envoie le reste du message au destinataire. Remplace la pièce jointe supprimée par le message de refus configuré dans le proxy.
Abandonne le paquet et la connexion. Aucune information n'est envoyée à la source du message.
Bloque le paquet et ajoute l'adresse IP de l'expéditeur à la liste des sites bloqués.
Les actions Gateway AntiVirus se produisent uniquement lorsqu'une règle de l'action de proxy est configurée avec l'action Analyse AV. Pour obtenir des informations concernant la configuration de Gateway AntiVirus dans les règles d'une action de proxy, consultez Activer Gateway AntiVirus dans une Stratégie de Proxy.
Configurer les Actions de Gateway AntiVirus pour un Proxy
Pour chaque action de proxy, vous pouvez activer Gateway AntiVirus et sélectionner les actions à entreprendre lorsqu'un virus est détecté ou qu'une erreur d'analyse se produit. Lorsque vous activez Gateway AntiVirus pour une action de proxy, l'action des règles de l'action de proxy passe automatiquement d'Autoriser à Analyse AV.
Vous pouvez configurer les actions Gateway AntiVirus d'un proxy dans les paramètres Gateway AntiVirus de l'action de proxy. Vous pouvez également modifier les paramètres d'action de proxy dans les paramètres de Gateway AntiVirus. La procédure de cette section emploie la deuxième méthode.
- Sélectionnez services d'Abonnement > Gateway AV.
La page de configuration de Gateway AntiVirus s'ouvre.
- Sélectionnez une action de proxy définie par l'utilisateur, puis cliquez sur Configurer.
Les paramètres de configuration de Gateway AntiVirus de cette action de proxy s'ouvrent.
- Cochez la case Activer Gateway AntiVirus pour activer Gateway AntiVirus pour cette action de proxy.
- Dans la liste déroulante Lorsqu'un virus est détecté, sélectionnez l'action entreprise par le Firebox lorsqu'un virus est détecté dans un e-mail, un fichier, une page Web ou un transfert Web. Le début de cette section donne une explication de ces actions.
- Dans la liste déroulante Lorsqu'une erreur d'analyse se produit, sélectionnez l'action entreprise par le Firebox lorsqu'il ne peut analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des fichiers dont le type de compression n'est pas pris en charge par Gateway AntiVirus, tels les fichiers compressés protégés par mot de passe. Le début de cette section donne une explication de ces actions.
Sélectionnez l'action Mettre en quarantaine ou Verrouiller pour éviter la perte de données à cause d'erreurs d'analyse. Lorsque vous déverrouillez un fichier, assurez-vous d'analyser le fichier déverrouillé à l'aide d'un scanner AV local.
- Dans la liste déroulante Lorsque le contenu dépasse la limite de taille d'analyse, sélectionnez l'action effectuée par le Firebox lorsque le contenu dépasse la limite de taille d'analyse configurée. La valeur par défaut et la valeur maximale de la limite de taille d'analyse de Gateway AntiVirus sont définies en fonction des capacités matérielles de chaque modèle de Firebox. La taille minimale d'analyse de tous les modèles est de 1 MO. Pour plus d'informations sur les limites d'analyse par défaut et maximales de chaque modèle de Firebox, consultez À propos des Limites d'Analyse Gateway AntiVirus.
- Dans la liste déroulante Lorsque le contenu est chiffré, sélectionnez l'action effectuée par le Firebox lorsque Gateway AntiVirus ne parvient pas à analyser un fichier car il est chiffré (protégé par mot de passe).
- Si vous souhaitez enregistrer les messages de journal correspondant à une action, cochez la case Journal. Si vous ne souhaitez pas enregistrer les messages de journal pour une réponse antivirus, décochez la case Journal.
- Pour déclencher une alarme lors de chaque action, cochez la case Alarme. Si vous ne souhaitez pas définir d'alarme, décochez la case Alarme pour cette action.
- Dans la zone de texte Limite de taille d'analyse, saisissez la limite d'analyse de fichier en kilo-octets. Cette valeur définit la taille maximale des fichiers pouvant être analysés par Gateway AntiVirus et IntelligentAV. Pour plus d'informations sur les limites d'analyse par défaut et maximales de chaque modèle de Firebox, consultez À propos des Limites d'Analyse Gateway AntiVirus.
La limite d'analyse contrôle également la taille maximale des fichiers qu'APT Blocker envoie à des fins d'analyse. APT Blocker ne peut pas envoyer des fichiers de plus de 10 MO à des fins d'analyse. Si vous fixez la limite d'analyse de Gateway AntiVirus à une valeur supérieure à 10 MO, APT Blocker ne transmet pas les fichiers de taille supérieure à 10 MO à des fins d'analyse.
- Sélectionnez services d'Abonnement > Gateway Antivirus > Configurer.
La boîte de dialogue de Gateway AntiVirus s'ouvre.
- Sélectionnez la stratégie à mettre en vigueur pour la passerelle Gateway AntiVirus, puis cliquez sur Activer.
L'état de Gateway AntiVirus devient Activé. - Cliquez sur Configurer.
Les Paramètres Généraux de Gateway AntiVirus pour cette stratégie s'ouvrent.
- Dans la liste déroulante Lorsqu'un virus est détecté, sélectionnez l'action entreprise par le Firebox lorsqu'un virus est détecté dans un e-mail, un fichier, une page Web ou un transfert Web. Le début de cette section donne une explication de ces actions.
- Dans la liste déroulante Lorsqu'une erreur d'analyse se produit, sélectionnez l'action entreprise par le Firebox lorsqu'il ne peut analyser un objet ou une pièce jointe. Parmi les pièces jointes qui ne peuvent pas être analysées, on trouve les messages au format BinHex, certains fichiers chiffrés ou des fichiers dont le type de compression n'est pas pris en charge par Gateway AntiVirus, tels les fichiers compressés protégés par mot de passe. Le début de cette section donne une explication de ces actions.
Sélectionnez l'action Mettre en quarantaine ou Verrouiller pour éviter la perte de données à cause d'erreurs d'analyse. Lorsque vous déverrouillez un fichier, assurez-vous d'analyser le fichier déverrouillé à l'aide d'un scanner AV local.
- Dans la liste déroulante Lorsque le contenu dépasse la limite de taille d'analyse, sélectionnez l'action effectuée par le Firebox lorsque le contenu dépasse la limite de taille d'analyse configurée.
- Dans la liste déroulante Lorsque le contenu est chiffré, sélectionnez l'action effectuée par le Firebox lorsque Gateway AntiVirus ne parvient pas à analyser un fichier car il est chiffré (protégé par mot de passe).
Ce paramètre s'applique à Fireware v12.0.1 et aux versions ultérieures. Dans les anciennes versions de Fireware, lorsqu'un fichier chiffré ne peut pas être analysé, le Firebox exécute l'action configurée pour Lorsqu'une erreur d'analyse se produit.
- Si vous souhaitez enregistrer les messages de journal correspondant à une action, cochez la case Journal. Si vous ne désirez pas consigner les messages de journal correspondant à une action, décochez la case Journal.
- Pour déclencher une alarme lors de chaque action, cochez la case Alarme. Si vous ne souhaitez pas définir d'alarme, décochez la case Alarme de cette action.
- Dans la zone de texte Limite de taille d'analyse, saisissez la limite d'analyse de fichier en kilo-octets. Cette valeur définit la taille maximale des fichiers pouvant être analysés par Gateway AntiVirus et IntelligentAV. Pour plus d'informations sur les limites d'analyse par défaut et maximales de chaque modèle de Firebox, consultez À propos des Limites d'Analyse Gateway AntiVirus.
La limite d'analyse contrôle également la taille maximale des fichiers qu'APT Blocker envoie à des fins d'analyse. APT Blocker ne peut pas envoyer des fichiers de plus de 10 MO à des fins d'analyse. Si vous fixez la limite d'analyse de Gateway AntiVirus à une valeur supérieure à 10 MO, APT Blocker ne transmet pas les fichiers de taille supérieure à 10 MO à des fins d'analyse.
Les actions de Gateway AntiVirus peuvent aussi être configurées dans la boîte de dialogue Modifier les propriétés de la stratégie.
- Double-cliquez sur la stratégie.
- Sélectionnez l'onglet Propriétés.
- Cliquez sur .
- Dans la liste Catégories, sélectionnez AntiVirus.
Si vous activez DLP et Gateway AntiVirus pour la même action de proxy, la plus grande limite d'analyse configurée est utilisée pour les deux services.
Pour le proxy HTTP (ainsi que les proxies Explicite et TCP-UDP), les paramètres Généraux de Gateway AntiVirus s'appliquent uniquement quand l'Analyse AV est sélectionnée dans les listes déroulantes Action des règles Chemins URL, Types de Contenu et Types de Contenu du Corps de la stratégie.
Vous pouvez configurer un proxy HTTP de manière à analyser les objets en fonction des types de contenu et des types de contenu du corps. Pour plus d'informations, consultez Optimiser Gateway AntiVirus.
Par défaut, lorsque vous activez Gateway AntiVirus pour une stratégie de proxy dans la configuration de Gateway AntiVirus, l'action par défaut automatiquement définie pour le contenu ne correspondant par à une règle de proxy est Analyse AV. Vous pouvez améliorer les performances de Gateway AntiVirus si vous modifiez l'action par défaut pour le contenu HTTP qui ne correspond pas à l'une des règles de proxy configurées. Pour plus d'informations, consultez Configurer les Actions de Gateway AntiVirus pour le Contenu HTTP.
Lorsque vous activez Gateway AntiVirus dans une action de proxy, un message d'avertissement apparait dans les paramètres de Gateway AntiVirus si les mises à jour automatiques sont désactivées pour les signatures Gateway AntiVirus. Pour configurer les mises à jour automatiques, voir Configurer le Serveur de Mise à Jour pour Gateway AntiVirus.