Avec un abonnement Total Security Suite, les services de sécurité Firebox et WatchGuard offrent une protection complète contre les attaques. Vous activez certains services au niveau global et vous activez d'autres services dans les stratégies. Ensemble, ils offrent une solution de sécurité intégrée à plusieurs niveaux.
Lorsqu'un Firebox avec un abonnement Total Security Suite reçoit un paquet, ces services globaux inspectent le paquet :
- Default Threat Protection
- Botnet Detection
- DNSWatch (lorsque le paquet arrive en interne sur le port UDP 53)
Si le paquet est autorisé, il passe alors à l'inspection basée sur les stratégies et aux services de sécurité qui sont activés dans ces stratégies. Cette liste indique l'ordre dans lequel les services de sécurité analysent le paquet et, lorsqu'ils sont activés dans une stratégie de proxy, inspectent le contenu :
- Geolocation
- Application Control et Intrusion Prevention Service
- WebBlocker ou spamBlocker
- Reputation Enabled Defense
- Gateway AntiVirus
- IntelligentAV
- APT Blocker
- Data Loss Prevention
L'ordre peut changer en fonction du type de paquet. En général, les services inspectent le contenu en même temps et le premier service qui refuse le contenu abandonne la connexion. Après l'abandon de la connexion, les autres services n'analysent pas le paquet.
Exemple d'Inspection de Paquet HTTPS
Cet exemple montre les étapes que suit un paquet HTTPS pour un Firebox avec une stratégie de proxy HTTPS active avec l'option d'inspection du contenu activée. Si le Firebox n'abandonne pas la connexion pendant une certaine étape, alors le paquet passe à l'étape suivante.
- Default Threat Protection et Botnet Detection inspectent la connexion pour s'assurer que les adresses IP de source et de destination et le numéro de port sont sécurisés.
- Fireware vérifie la présence d'une stratégie de proxy HTTPS. S'il est activé, Geolocation inspecte les IP de source et de destination.
- Lorsque l'inspection du contenu est activée, Application Control et Intrusion Prevention Service (IPS) inspectent le paquet.
- Le proxy inspecte les actions de proxy pour rechercher tout ce qui est refusé (par exemple, les domaines, les URL, les types de médias, les types de fichiers, etc.) avant que les autres services de sécurité ne commencent à analyser le paquet ou le contenu.
- Reputation Enabled Defense (RED) inspecte l'URL.
- WebBlocker inspecte l'URL, le domaine et l'adresse IP (IPv4) pour déterminer s'ils correspondent à une catégorie ou à une exception.
- Ces services de sécurité WatchGuard inspectent le contenu du paquet dans l'ordre suivant :
- Gateway AntiVirus — Analyse le contenu à la recherche de menaces connues pour trouver des virus et les bloquer.
- IntelligentAV — Identifie et bloque les programmes malveillants connus et inconnus, sans utiliser de signatures.
- APT Blocker — Identifie les caractéristiques et le comportement d’un programme malveillant APT dans les fichiers et les pièces jointes des courriels et les bloque.
- Data Loss Prevention — Détecte la transmission accidentelle ou non autorisée d'informations confidentielles en dehors de votre réseau ou au-delà des limites du réseau et la bloque.
Si RED renvoie une réponse au même moment ou après qu'un service ait commencé à analyser le contenu, le service continue à analyser le contenu. Le premier service qui refuse le contenu abandonne la connexion.