Optimiser et Dépanner Gateway AntiVirus
Optimiser Gateway AntiVirus
Si les pages Web se chargent lentement, vous pouvez limiter les types de contenu et réduire la taille d'analyse des fichiers de manière à optimiser les performances de Gateway AntiVirus.
Analyser les Objets en Fonction des Types de Contenu
Les assistants de configuration et l'assistant d'Activation de Gateway AntiVirus configurent des stratégies de proxy HTTP pour utiliser une action de proxy qui analyse le trafic autorisé à la recherche de virus. Pour optimiser les performances, nous vous recommandons de configurer l'action de proxy de manière à utiliser les types de contenu pour déterminer s'il faut ou non analyser un objet.
Le type de contenu dans l'en-tête HTTP indique au navigateur s'il doit afficher ou télécharger un objet. Les menaces sont généralement téléchargées, vous pouvez donc ignorer les analyses AV pour certains types de contenus courants qui ne sont pas téléchargés, tels que :
- text/plain
- text/html
- text/xml
- text/css
- image/jpeg
- image/jpeg
- application/json
- application/ocsp-response
Pour analyser des objets en fonction des types de contenu, dans Policy Manager, configurez l'action de proxy HTTP comme suit :
- Dans l’ensemble de règles Chemins URL, dans liste déroulante Aucune action correspondante, sélectionnez Autoriser.
- Dans l’ensemble de règles Types de Contenu :
- En vue avancée, ajoutez des règles pour les types de contenu sûrs et paramétrez l'action de règle sur Autoriser. Pour plus d'informations, consultez Ajouter, Modifier ou Supprimer des Règles.
- Cliquez sur les boutons Monter et Descendre pour déplacer les règles relatives aux types de contenu sûrs vers le haut de la liste. Pour plus d'informations, consultez Modifier l'Ordre des Règles .
- Gardez l'action de règle Par défaut définie sur Analyse AV afin que les types de contenu que vous ne choisissez pas d'autoriser soient analysés.
- Dans l’ensemble de règles Types de Contenu du Corps, dans la liste déroulante Aucune action correspondante, sélectionnez Autoriser. Cela ne signifie pas que tous les autres types de fichiers sont autorisés sans analyse AV. Le proxy HTTP peut toujours décider d'analyser les fichiers en fonction de l'ensemble de règles Types de Contenu.
Utiliser la Limite d'Analyse Par Défaut de Gateway AntiVirus
La plupart des programmes malveillants sont envoyés dans des fichiers de moins de 1 Mo. Comme les fichiers volumineux sont moins susceptibles de se propager de manière virale, nous vous recommandons de ne pas augmenter la limite d'analyse par défaut de votre périphérique.
Si vous augmentez la limite d'analyse, Gateway AntiVirus analyse les fichiers plus volumineux, ce qui peut entrainer une diminution des connexions simultanées via votre Firebox.
Pour plus d'informations, consultez À propos des Limites d'Analyse Gateway AntiVirus
Mettre à Jour le Firebox vers la Dernière Version du SE
Nous vous recommandons d'utiliser la dernière version de SE disponible pour votre périphérique Firebox. Afin d'optimiser les performances d'analyse de Gateway AntiVirus, il est particulièrement important que votre périphérique utilise le moteur d'analyse actuel ainsi que l'ensemble de signatures correspondant à votre périphérique. Pour de plus amples informations concernant les ensembles de signatures des périphériques Firebox, consultez la section Tailles des ensembles de signatures de Gateway AntiVirus.
À partir de 2020, les Fireboxes exécutant Fireware v12.1.1 ou une version antérieure n'obtiennent plus les mises à jour de Gateway AntiVirus.
Activer RED
Nous vous conseillons d'activer Reputation Enabled Defense (RED) pour réduire les ressources utilisées par Gateway AntiVirus. Lorsque vous utilisez RED, votre périphérique Firebox saute les analyses AV des sites ayant une très bonne réputation et refuse l'accès aux sites ayant une très mauvaise réputation.
Pour de plus amples informations, consultez la section À propos de Reputation Enabled Defense.
Configuration de la stratégie
Activez Gateway AntiVirus dans toute action de proxy qui gère le trafic vers ou depuis un réseau non approuvé et dispose d'une option pour analyser les virus.
En face de l'option Lorsqu'une erreur d'analyse se produit, sélectionnez l'action Mettre en quarantaine ou Verrouiller pour éviter les pertes de données liées aux erreurs d'analyse. Lorsque vous déverrouillez un fichier, assurez-vous d'analyser le fichier déverrouillé à l'aide d'un antivirus local ou en ligne.
Configuration Globale
Gateway AntiVirus peut analyser le contenu des fichiers compressés. La décompression des fichiers Gateway AntiVirus est toujours activée sur Fireware v12.0 et les versions ultérieures et il n'existe aucun paramètre configurable. Le nombre de niveaux à analyser dépend de la quantité de mémoire RAM du Firebox. Les modèles de Firebox équipés de moins de 2 GO de RAM analysent 8 niveaux de fichiers compressés. Les modèles de Firebox équipés de 2 GO de RAM ou davantage analysent jusqu'à 16 niveaux de fichiers compressés.
Dans Fireware v11.12.4 et les versions antérieures, vous pouvez configurer les Paramètres de Décompression de Gateway AntiVirus dans Policy Manager. Nous vous recommandons d'utiliser la valeur par défaut (3) pour le nombre de Niveaux à analyser. La sélection d'une valeur supérieure peut nuire aux performances de la stratégie de proxy. Si Gateway AntiVirus détecte que la profondeur des archives est supérieure à la valeur définie dans ce champ, une erreur d'analyse du contenu sera générée.
Les pièces jointes chiffrées ou employant un type de compression non pris en charge tels que les fichiers zip protégés par mot de passe ne peuvent pas être analysées.
Dépanner Gateway AntiVirus
Si un client de votre réseau est infecté par un virus, il est important de découvrir la raison de cette infection :
- Gateway AntiVirus ne dispose pas de signature permettant de détecter ce virus
- Le fichier infecté n'a pas été analysé par Gateway AntiVirus
- Le périphérique Firebox n'a pas téléchargé l'ensemble de signatures le plus récent
Tester Gateway AntiVirus
Vous pouvez utiliser l'outil de test EICAR pour vérifier que Gateway AntiVirus est activé pour la bonne stratégie et qu'il peut détecter des virus. Pour obtenir cet outil, consultez Eicar.org. Pour en savoir plus sur la façon de procéder, consultez Utiliser le Fichier de Test EICAR pour tester Gateway AntiVirus dans la Base de Connaissances WatchGuard.
Signatures de Virus
Gateway AntiVirus utilise un ensemble de signatures pour détecter les fichiers infectés. Si un virus n'est pas détecté ou détecté dans un fichier que vous n'estimez pas infecté, vous pouvez signaler le faux négatif ou le faux positif en soumettant le fichier à Bitdefender à des fins d'analyse.
Dans certains cas, un virus figurant dans la base de données ne figure pas dans l'ensemble de signatures utilisé par votre Firebox. Certains modèles de Firebox emploient un jeu restreint englobant uniquement les virus les plus courants, qui ne peut pas détecter tous les virus. Pour en savoir plus, consultez la rubrique Tailles des ensembles de signatures Gateway AntiVirus de la Base de Connaissances WatchGuard.
Consulter les messages de journal concernant les Analyses de Gateway AntiVirus
Si votre périphérique Firebox est configuré de sorte à envoyer des données de journal à un système Dimension ou à un serveur WatchGuard Log Server, vous pouvez rechercher le nom de fichier dans les données de votre journal pour déterminer si votre Firebox a analysé ce fichier et afficher les résultats d'analyse.
Par défaut, vos stratégies de proxy enregistrent tous les événements lors desquels un virus a été détecté ou un erreur d'analyse est survenue. Pour s'assurer qu'une stratégie de proxy enregistre tous les événements de proxy, y compris les fichiers dans lesquels aucune infection n'a été détectée, cochez la case Activer la journalisation des rapports dans l'action de proxy.
Pour de plus amples informations concernant la procédure de recherche des messages de journal dans Dimension, consultez Rechercher les Messages de Journal d'un Périphérique (Dimension).
Exemples de messages de journal
Dans ce message de journal, le Proxy HTTP a analysé un fichier dénommé eicar.com et a détecté un virus.
Deny 2-Internal-traffic 4-External-traffic tcp 10.0.1.8 192.168.53.92 57525 80 msg="ProxyDrop: HTTP Virus found" proxy_act="HTTP-Client.1" virus="EICAR_Test" host="192.168.53.92" path="/viruses/eicar.com" (HTTP-proxy-00)
Allow 1-Trusted 0-External tcp 10.0.1.2 8.25.35.115 51859 80 msg="ProxyAllow: HTTP AV scanning error" proxy_act="HTTP-Client.3" error="avg scanner is not created" host="api.yontoo.com" path="/LoadJS.ashx" (HTTP-proxy-00)
Pour plus de détails concernant les services d'abonnement dans Firebox System Manager, consultez Statistiques des Services d'Abonnement (Services d'Abonnement).
Ce message de journal indique un échec d'analyse. Ceci peut se produire avec des fichiers .zip ou d'autres fichiers compressés qui ont trop de niveaux de compression, ou des fichiers chiffrés ou qui ne peuvent être ouverts pour une autre raison.
Allow 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 39589 25 msg="ProxyLock: SMTP Cannot perform Gateway AV scan" proxy_act="SMTP-Outgoing.1" sender="[email protected]" recipients="wg@localhost" error="scan request failed" filename="message.scr" (SMTP-proxy-00)
Si Gateway AntiVirus ne parvient pas à analyser un fichier protégé par mot de passe d'un fichier d'archive compressé, l'erreur d'analyse du message de journal indique le nom du fichier appartenant à l'archive. Par exemple, si Gateway AntiVirus n'est pas parvenu à analyser le fichier protégé par mot de passe protected.xlsx de l'archive archive.zip, l'erreur d'analyse du message de journal indique le nom des deux fichiers.
error="Object (protected.xlsx) Encrypted" host="example.net: path-"/archive.zip"
Le message de journal comprend le nom du fichier de l'archive sur Fireware v12.2 et les versions ultérieures.
Consulter les en-têtes d'e-mails pour Gateway AntiVirus
Si un utilisateur a reçu un virus par e-mail, vous pouvez vérifier si le fichier concerné a été analysé et quel a été le résultat. Recherchez un en-tête similaire à X-WatchGuard-AntiVirus: scanned 'file.pdf'. clean action=allow pour indiquer si un virus a été détecté.
Pour obtenir des instructions sur la façon de préserver les en-têtes de message, consultez Lorsque je soumets des messages au support technique pour analyse, comment puis-je préserver l'en-tête du message d'origine ? dans la Base de Connaissances WatchGuard.