Bonnes Pratiques et Dépannage pour WebBlocker

Meilleures pratiques de WebBlocker

Observez ces meilleures pratiques pour optimiser l'efficacité et les performances de WebBlocker.

Configuration de la stratégie

Utilisez WebBlocker pour les stratégies de proxy HTTP et HTTPS sortants. Vous pouvez également utiliser WebBlocker sur un proxy TCP-UDP pour catégoriser les sites sur les ports autres que 80 et 443.

Exceptions WebBlocker

Pour une exécution optimale, nous vous recommandons de définir des Exceptions WebBlocker sous forme d'expressions rationnelles. Lorsque vous utilisez une correspondance de modèle ou une correspondance exacte, le périphérique Firebox doit la convertir en une expression rationnelle avant d'évaluer chaque site. Lorsque vous utilisez une expression rationnelle, cette étape n'est pas nécessaire et la recherche WebBlocker est plus rapide. Pour plus d'informations et des instructions de configuration, consultez l'article de la base de connaissances Utiliser des expressions rationnelles dans les définitions de proxy.

Si vous souhaitez que WebBlocker autorise ou refuse toujours l'accès à un site Web, quelle que soit l'action WebBlocker utilisée, nous vous recommandons d'ajouter une exception WebBlocker globale pour ce site et de supprimer toute exception en double dans vos actions WebBlocker. Les exceptions globales WebBlocker permettent de réduire la taille de votre fichier de configuration. Pour plus d'informations sur les exceptions globales, consultez Configurer les Paramètres Globaux de WebBlocker.

WebBlocker n'évalue pas la chaîne de requête (le texte suivant un point d'interrogation) pour une requête HTTP. Vous pouvez utiliser la configuration de Chemins d'URL du proxy HTTP pour refuser une requête spécifique. Pour plus d'informations sur le refus de chemins spécifiques avec un Proxy HTTP, consultez Requête HTTP : Chemins URL.

Pour créer une exception WebBlocker pour le trafic employant les ports non standards, consultez l'article Ajouter une exception WebBlocker pour le trafic employant les ports non standards de la Base de Connaissances.

Exceptions de Proxy HTTP ou Exceptions WebBlocker

Lorsque vous configurez une stratégie de proxy HTTP avec WebBlocker, il est important de comprendre que les Exceptions de Proxy HTTP s'appliquent uniquement au contenu des sites auxquels l'utilisateur accède via le proxy. Les Exceptions WebBlocker n'ont d'incidence que si l'accès à un site est refusé par WebBlocker.

Une entrée d'Exception de Proxy HTTP pour un site n'empêche pas WebBlocker de refuser ce site, et une exception WebBlocker n'a aucune incidence sur le fait que l'action de proxy HTTP puisse modifier ou supprimer le contenu reçu par l'utilisateur.

N'autoriser l'Accès qu'à des Sites Web Spécifiques

Si vous prévoyez de n'autoriser l'accès qu'à certains sites avec le Proxy HTTP, il n'est pas nécessaire d'utiliser WebBlocker. Vous pouvez configurer le Proxy HTTP pour qu'il autorise uniquement des chemins spécifiques dans la requête HTTP. Pour en savoir plus, consultez Requête HTTP : Chemins URL.

WebBlocker via HTTPS sans Inspection de Contenu

WebBlocker examine à la fois les champs SNI (Indication du Nom de Serveur) et CN (Nom Commun) lors de l'échange de certificat pour déterminer l'adresse Web. Ceci permet à WebBlocker d'identifier correctement le domaine ou le sous-domaine d'un site web à bloquer ou autoriser.

Choix de Serveur et DNS

Pour optimiser les performances de WebBlocker Cloud, consultez l'article de la Base de Connaissances Optimiser les Performances de WebBlocker.

Connexions WebBlocker pour les Recherches d'URL

Pour se connecter au WebBlocker Cloud pour la recherche d'URL, le Firebox crée une connexion HTTPS vers le serveur WebBlocker Cloud le plus proche.

Pour se connecter à un serveur WebBlocker Server sur site pour la recherche d'URL, le Firebox crée une connexion HTTPS au serveur WebBlocker Server local configuré dans les Paramètres Globaux de WebBlocker. Pour plus d'informations, consultez Configurer les Paramètres Globaux de WebBlocker.

Dépanner WebBlocker

WebBlocker peut générer des messages de journal utiles à la résolution des problèmes. Si aucun message de journal correspondant aux sites refusés par WebBlocker ne s'affiche, veillez à activer la journalisation dans l'action WebBlocker utilisée par votre action de proxy HTTP.

Pour activer la journalisation dans l'action WebBlocker :

  1. Modifier l'action WebBlocker utilisée par l'action de proxy HTTP.
  2. Dans l'action WebBlocker, sélectionnez l'onglet Catégories.
  3. Pour envoyer un message de journal lorsqu'un utilisateur tente d'accéder à un site appartenant à une catégorie ou sous-catégorie et que le système lui refuse, cochez la case correspondante dans la colonne Journal.
  4. Pour envoyer un message de journal lorsqu'un utilisateur tente d'accéder à un site non catégorisé, cochez la case Consigner cette Action en face de la liste déroulante Lorsqu'une URL n'est pas catégorisée.

Pour plus d'informations, consultez Configurer les Catégories WebBlocker.

Pour diagnostiquer les problèmes WebBlocker, vous devez d'abord connaître leur périmètre :

  • Perturbe-t-il certains sites ou la totalité du trafic Web ?
  • Le problème autorise-t-il ou bloque-t-il l'accès aux sites de manière incorrecte ?

Problèmes Concernant Uniquement Certains Sites

S'il s'avère que certains sites sont bloqués ou autorisés de manière incorrecte, voici quelques causes possibles :

  1. Cela peut se produire si le site ne correspond pas à la catégorie à laquelle vous pensez qu'il appartient. Pour apprendre à identifier la catégorie d'un site et suggérer une modification, visitez le Portail de Sécurité de WatchGuard. Rappelez-vous que vous pouvez toujours créer une exception WebBlocker de manière à autoriser ou bloquer un site si vous ne souhaitez pas modifier la gestion la catégorie entière.

Lorsqu'un site est autorisé ou refusé en fonction de la catégorie, les journaux de trafic peuvent contenir un message du type :

Allow 1-Trusted 0-External tcp 10.0.1.2 50.16.210.117 50790 80 msg="ProxyAllow: HTTP Request categories" proxy_act="HTTP-Client.2" cats="Reference Materials" op="GET" dstname="www.walkscore.com" arg="/" (HTTP-proxy-00)

  1. Ceci peut se produire si WebBlocker n'est pas activé pour un proxy HTTPS. Les sites Web consultés via HTTPS ne seront pas bloqués.
  2. Ceci peut se produire si WebBlocker est activé pour le HTTPS, mais que vous n'utilisez pas l'inspection de contenu sur ces actions de Proxy HTTPS. Pour en savoir plus, consultez ce problème connu : WebBlocker ne refuse parfois pas certains sites HTTPS dont les certificats comportent des caractères génériques.

Problèmes Concernant Tous les Sites

Si tout le trafic utilisateur est autorisé ou refusé, plusieurs causes possibles sont à envisager :

  1. La configuration de la stratégie peut être incorrecte. Assurez-vous que le trafic Web utilisateur est géré par la bonne stratégie de proxy HTTP, HTTPS ou TCP-UDP pour l'action de WebBlocker.
  2. Si vous utilisez WebBlocker Cloud, il se peut que le Firebox ne puisse pas atteindre le serveur ou ne reçoive pas de réponse en temps voulu. Pour de plus amples informations concernant la résolution des problèmes de connexion de WebBlocker Cloud, consultez la section Optimiser les Performances de WebBlocker.
  3. Si vous utilisez WebBlocker Server sur site, assurez-vous que le serveur fonctionne et qu'il est peut répondre.

Si le serveur WebBlocker Server est inactif ou si WebBlocker contient une adresse IP incorrecte dans sa configuration, il se peut que vous trouviez un message de journal du type :

Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.23 23.21.224.150 60921 80 msg="ProxyDeny: HTTP Service unavailable" proxy_act="HTTP-Client.1" service="WebBlocker.1" details="Webblocker server is not available" (HTTP-proxy-00)

Voir Également

Configurer WebBlocker

Importer ou Exporter des Exceptions WebBlocker

Démarrer avec WebBlocker