Configurer Reputation Enabled Defense (RED)
Vous pouvez activer Reputation Enabled Defense (RED) afin de renforcer la sécurité et les performances des stratégies de proxy HTTP, en utilisation conjointe avec Gateway AntiVirus. Reputation Enabled Defense est uniquement pris en charge dans les actions de proxy client HTTP. Il n'est pas pris en charge dans les actions de proxy serveur HTTP.
Si vous activez Reputation Enabled Defense pour une stratégie de proxy HTTP pour laquelle Gateway AntiVirus est également activé, Reputation Enabled Defense peut renforcer les performances globales, dans la mesure où le proxy HTTP ignore l'analyse de Gateway AntiVirus pour les sites jouissant d'une bonne ou d'une mauvaise réputation.
Si vous activez Reputation Enabled Defense pour une stratégie de proxy HTTP pour laquelle Gateway AntiVirus n'est pas activé, le proxy HTTP effectue tout de même une recherche de score de réputation pour chaque URL et refuse les sites ayant une mauvaise réputation. Mais, car aucune analyse de Gateway AntiVirus n'est évitée, les performances demeurent équivalentes et les performances du proxy HTTP peuvent être moindres si Reputation Enabled Defense n'est pas activé.
Pour une efficacité et des performances optimales, nous vous recommandons d'activer Reputation Enabled Defense, Gateway AntiVirus et APT Blocker dans vos stratégies de proxy client HTTP.
APT Blocker analyse les fichiers même si l'analyse Gateway AntiVirus n'est pas effectuée du fait d'une bonne réputation.
Avant de Commencer
Reputation Enabled Defense (RED) est un service d'abonnement. Avant de pouvoir configurer RED, vous devez Obtenir une Clé de Fonctionnalité Firebox et Ajouter ou Supprimer Manuellement une Clé de Fonctionnalité.
Le Firebox envoie des requêtes de réputation via le port UDP 10108. Assurez-vous que ce port est ouvert entre votre Firebox et Internet.
Avant de configurer Reputation Enabled Defense pour la stratégie de proxy HTTP dans Fireware Web UI, vous devez configurer la stratégie pour utiliser une action de proxy définie par l'utilisateur. Pour créer une action de proxy définie par l'utilisateur, vous pouvez cloner l'action de proxy (prédéfinie) par défaut, et appliquer cette action de proxy à la stratégie de proxy.
Pour trouver l'action de proxy utilisée par votre stratégie :
- Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
- Sélectionnez la stratégie de proxy, et à partir du menu Action, sélectionnez Modifier la Stratégie.
La page Configuration de la Stratégie s'affiche. - Sélectionnez l'onglet Action de Proxy.
L'onglet Action de Proxy de cette stratégie s'affiche au-dessus. - Vérifiez si l'action de proxy est prédéfinie ou définie par l'utilisateur.
Pour plus d'informations sur les actions de proxy, voir À propos des Actions de Proxy.
Si la stratégie de proxy utilise une action de stratégie de proxy prédéfinie, vous devez cloner cette action de proxy avant de pouvoir activer les services d'abonnement pour cette stratégie de proxy. Vous pouvez cloner l'action de proxy sous l'onglet Action de Proxy lorsque vous modifiez la stratégie de proxy.
- Dans la liste déroulante Action de Proxy, sélectionnez Cloner l'action de proxy actuelle.
- Saisissez un nouveau nom pour l'action de proxy clonée, ou utilisez le nom par défaut.
- Modifiez l'action de proxy.
Pour plus d'informations, consultez À propos des Actions de Proxy. - Cliquez sur Enregistrer.
Activer Reputation Enabled Defense (RED)
- Sélectionnez services d'Abonnement > Reputation Enabled Defense.
La page de configuration de Reputation Enabled Defense s'affiche avec une liste d'actions de proxy HTTP.
- Sélectionnez une action de proxy HTTP définie par l'utilisateur. Cliquez sur Configurer. Vous ne pouvez pas configurer les paramètres de Reputation Enabled Defense pour des actions de proxy prédéfinies.
Les paramètres de configuration de Reputation Enabled Defense pour cette action de proxy s'affichent.
- Cochez la case Refuser immédiatement les URL possédant une mauvaise réputation pour refuser l'accès aux sites dont le score est supérieur au seuil de mauvaise réputation configuré.
- Cochez la case Ignorer toute analyse de virus configurée pour les URL possédant une bonne réputation de sorte que Gateway AntiVirus n'analyse pas les sites dont le score est inférieur au seuil de bonne réputation configuré.
- Pour déclencher une alerte pour une action, cochez la case Alerte pour cette action RED. Pour désactiver l'alerte, décochez la case Alerte pour cette action.
- Pour enregistrer les messages de journal d'une action, cochez la case Consigner au journal pour cette action RED. Si vous ne souhaitez pas enregistrer les messages de journal pour réponse RED, décochez la case Journal pour cette action.
Pour activer Reputation Enabled Defense, dans Policy Manager :
- Dans Policy Manager, sélectionnez services d'Abonnement > Reputation Enabled Defense.
La boîte de dialogue Reputation Enabled Defense s'affiche. - Sélectionnez la stratégie de proxy HTTP pour laquelle vous souhaitez activer RED puis cliquez sur Activer. Vous devez configurer au moins une stratégie de proxy HTTP pour pouvoir utiliser RED.
L'état de Reputation Enabled Defense est alors défini sur Activé. - Cliquez sur Configurer.
Les paramètres de Reputation Enabled Defense pour cette stratégie s'affichent.
Si vous voulez qu'une action de Reputation Enabled Defense apparaisse dans les rapports que vous générez du Log and Report Manager de WatchGuard, assurez-vous de :
- Sélectionnez la case Journal pour l'action de Reputation Enabled Defense.
- Sélectionnez la case Activer la journalisation pour les rapports dans les paramètres Généraux de l'action de proxy HTTP.
Configurer les Seuils de Réputation
Vous pouvez modifier les paramètres avancés des seuils de réputation.
- Cliquez sur Avancé dans les paramètres de configuration de Reputation Enabled Defense.
La boîte de dialogue Paramètres avancés s'affiche.
- Dans la zone de texte Seuil de mauvaise réputation, saisissez ou sélectionnez le score du seuil de mauvaise réputation.
Le proxy peut refuser l'accès aux sites dont le score de réputation est supérieur à ce seuil. - Dans la zone de texte Seuil de bonne réputation, saisissez ou sélectionnez le score du seuil de bonne réputation.
Le proxy peut contourner l'analyse de Gateway AntiVirus pour les sites dont le score de réputation est inférieur à ce seuil. - Cliquez sur Restaurer les valeurs par défaut si vous souhaitez restaurer les valeurs par défaut des seuils de réputation.
- Cliquez sur OK.
Vous pouvez aussi configurer Reputation Enabled Defense à partir de la boîte de dialogue Modifier les propriétés de la stratégie de Policy Manager :
- Double-cliquez sur la stratégie.
- Sélectionnez l'onglet Stratégie.
- À côté de la liste déroulante Action de proxy, cliquez sur .
- Sélectionnez Reputation Enabled Defense dans la liste Catégories.
Configurer la notification d'alarme pour les actions de RED
Une alarme est un mécanisme qui consiste à avertir les utilisateurs dès qu'une règle de proxy s'applique au trafic réseau. Lorsque vous activez l'alarme pour une action de proxy, vous devez également configurer le type d'alarme qui sera utilisé dans la stratégie de proxy.
Pour configurer le type d'alarme à utiliser pour une stratégie de proxy HTTP, dans Policy Manager :
- Double-cliquez sur la stratégie.
- Sélectionnez l'onglet Propriétés.
- Cliquez sur .
- Sélectionnez la catégorie Alarmes de proxy et d'antivirus.
- Configurez les paramètres des Alarmes AV/Proxy tel que décrit dans Définir les préférences de Journalisation et de Notification.
Voir Également
À propos de Reputation Enabled Defense (RED)
Envoyer les Résultats d'Analyse de Gateway AntiVirus et APT Blocker à WatchGuard