Configurer l'Analyse du Contenu dans WatchGuard Cloud

S'applique à : Fireboxes Gérés sur le Cloud

Pour les Fireboxes gérés sur le cloud, vous pouvez configurer l'analyse du contenu avec les services de sécurité suivants :

Afin que l'analyse du contenu s'applique au trafic transitant via le Firebox, vous devez également activer l'analyse du contenu dans les stratégies de pare-feu. Pour plus d'informations sur les paramètres de la stratégie, consultez Configurer les Services de Sécurité dans une Stratégie de Pare-feu.

Configurer Gateway AntiVirus

Gateway AntiVirus fonctionne avec les stratégies gérant SMTP, IMAP, POP3, HTTP, HTTPS, FTP et TCP-UDP. Lorsqu'une nouvelle attaque est identifiée, les caractéristiques uniques du virus sont enregistrées. Ces caractéristiques enregistrées sont connues sous le nom de signature. Gateway AntiVirus utilise des signatures pour trouver des virus lorsqu'il analyse le contenu. Gateway AntiVirus utilise automatiquement les dernières signatures lorsque vous l'activez.

Dans WatchGuard Cloud, vous pouvez configurer l'action que Gateway AntiVirus exécute lorsqu'un virus est détecté, une erreur se produit, le contenu analysé dépasse la limite de taille configurée ou le contenu analysé est chiffré. Pour de plus amples informations concernant la définition de la limite de la taille d'analyse, consultez la section Configurer les Paramètres Avancés. Nous vous recommandons de sélectionner l'option Alarme lorsqu'un virus est détecté.

Pour configurer Gateway AntiVirus :

  1. Sélectionnez Configurer > Périphériques.
  2. Sélectionnez un Firebox géré sur le cloud.
    L'état et les paramètres du Firebox sélectionné s'affichent.
  3. Sélectionnez Configuration du Périphérique.
    La page Configuration du Périphérique s'ouvre et affiche les Services de Sécurité WatchGuard Cloud.

    4. Screen shot of WatchGuard Cloud Configure Security Services (cloud-managed)

  4. Cliquez sur la mosaïque Analyse du Contenu.
    La page Analyse du Contenu s'ouvre.

WatchGuard Cloud screen shot of Content Scanning page

  1. Dans l'onglet Paramètres, activez Gateway AntiVirus.

WatchGuard Cloud screen shot of Gateway AntiVirus options

  1. Dans la colonne Action, sélectionnez la case à cocher Abandonner pour chaque état afin de spécifier la situation lors de laquelle vous souhaitez que le Firebox abandonne les connexions :
    • Lorsqu'un virus est détecté — Si Gateway AntiVirus détecte un virus dans un e-mail, un fichier, une page web ou un téléchargement web, le Firebox abandonne le paquet et la connexion. Aucune information n'est envoyée à la source du message.
    • Lorsqu'une erreur d'analyse se produit — Si le Firebox ne peut pas analyser un objet ou une pièce jointe, il abandonne le paquet et la connexion. Aucune information n'est envoyée à la source du message.
    • Lorsque le contenu dépasse la limite de taille d'analyse — Lorsque le contenu dépasse la limite de taille d'analyse configurée, le Firebox abandonne le paquet et la connexion. Aucune information n'est envoyée à la source du message.
    • Lorsque le contenu est chiffré — Lorsque Gateway AntiVirus ne peut pas analyser un fichier car il est chiffré, protégé par un mot de passe ou utilise un type de compression que Gateway AntiVirus ne prend pas en charge tel que les fichiers ZIP protégés par un mot de passe, le Firebox abandonne le paquet et la connexion. Aucune information n'est envoyée à la source du message.
  1. Pour générer une alarme, sélectionnez la case à cocher Alarme.
    Si vous ne souhaitez pas définir d'alarme, désélectionnez la case à cocher Alarme.
  1. Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Configurer IntelligentAV

Pour ajouter une autre couche de protection au service de sécurité Gateway AntiVirus, activez IntelligentAV. Après avoir activé IntelligentAV, Gateway AntiVirus utilise deux moteurs d'analyse fonctionnant conjointement pour améliorer la capacité du Firebox à détecter et bloquer les programmes malveillants avant qu'ils n'accèdent à votre réseau.

IntelligentAV utilise l'intelligence artificielle et non les signatures pour identifier et bloquer les malware connus et inconnus. IntelligentAV fonctionne avec tous les proxies pris en charge par Gateway AntiVirus. Pour plus d'informations, consultez À propos d'IntelligentAV.

Pour activer APT Blocker, vous devez d'abord activer Gateway AntiVirus.

Pour configurer IntelligentAV :

  1. Sélectionnez Configurer > Périphériques.
  2. Sélectionnez un Firebox géré sur le cloud.
    L'état et les paramètres du Firebox sélectionné s'affichent.
  3. Sélectionnez Configuration du Périphérique.
  4. Cliquez sur la mosaïque Analyse du Contenu.

    La page Analyse du Contenu s'ouvre.

WatchGuard Cloud screen shot of Content Scanning page

  1. Dans l'onglet Paramètres, activez IntelligentAV.
    Il n'existe pas de paramètres à configurer individuellement pour IntelligentAV.

  1. Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Configurer APT Blocker

Une attaque Advanced Persistent Threat (APT) est un type d'attaque réseau qui utilise des malware avancés et des failles inédites pour accéder aux réseaux et données confidentielles pendant de longs moments. APT Blocker est un service d'abonnement employant une analyse d'émulation du système complet permettant d'identifier les caractéristiques et le comportement des malware APT présents dans les fichiers et les pièces jointes d'e-mail qui accèdent à votre réseau. APT Blocker n'utilise pas des signatures comme les autres outils d'analyse traditionnels, les programmes antivirus par exemple. Pour plus d'informations, consultez À propos d'APT Blocker.

APT Blocker classe l'activité APT en fonction de la gravité de la menace. Dans WatchGuard Cloud, vous pouvez configurer l'action à exécuter pour chaque niveau de menace (Élevé, Moyen, Faible). Le niveau de menace Inoffensif vous aide à suivre l'état des fichiers analysés considérés comme non infectés et exempts de malware par APT Blocker. Nous vous recommandons de sélectionner l'option Alarme pour tous les niveaux de menace dans votre configuration d'APT Blocker pour surveiller l'activité d'APT Blocker.

Pour activer APT Blocker, vous devez d'abord activer Gateway AntiVirus.

Pour configurer APT Blocker :

  1. Sélectionnez Configurer > Périphériques.
  2. Sélectionnez un Firebox géré sur le cloud.
    L'état et les paramètres du Firebox sélectionné s'affichent.
  3. Sélectionnez Configuration du Périphérique.
  4. Cliquez sur la mosaïque Analyse du Contenu.
    La page Analyse du Contenu s'ouvre.

WatchGuard Cloud screen shot of Content Scanning page

  1. Dans l'onglet Paramètres, activez APT Blocker.


  1. Dans la colonne Action, sélectionnez la case à cocher Abandonner pour chaque Niveau de Menace pour lequel vous souhaitez qu'APT Blocker abandonne la connexion.
  2. Pour déclencher une alarme pour le niveau de menace, cochez la case Alarme.
    Si vous ne souhaitez pas définir d'alarme, décochez la case Alarme pour ce niveau de menace.
  3. Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Configurer les Paramètres Avancés

Le paramètre Analyse des Fichiers contrôle la taille maximale des fichiers que Gateway AntiVirus et IntelligentAV peuvent analyser. La limite d'analyse contrôle également la taille maximale des fichiers qu'APT Blocker envoie à des fins d'analyse. La taille d'analyse par défaut de Gateway AntiVirus est définie en fonction des capacités matérielles de chaque modèle de Firebox. La taille minimale d'analyse de tous les modèles est de 1 MO.

Pour de plus amples informations concernant les limites d'analyse, consultez la section À propos des Limites d'Analyse de Gateway AntiVirus.

Pour configurer la taille d'analyse des fichiers :

  1. Sélectionnez l'onglet Avancé.
    La valeur par défaut d'Analyse des Fichiers ainsi que la valeur maximale varient en fonction du modèle de Firebox et sont paramétrées par défaut avec la valeur recommandée.

WatchGuard Cloud screen shot of Content Scanning Advanced settings page

  1. Dans la zone de texte Kilo-octets Maximum, saisissez la limite d'analyse de fichiers en kilo-octets.
  2. Pour enregistrer les modifications de configuration sur le cloud, cliquez sur Enregistrer.

Configurer spamBlocker

Une trop grande quantité de courriers indésirables consomme de la bande passante, nuit à la productivité des employés et gaspille les ressources réseau. spamBlocker est un service d'abonnement qui utilise une combinaison de règles, une correspondance de signatures et la réputation de l'expéditeur pour identifier avec précision et bloquer les courriers indésirables et pour les garder hors de votre serveur de messagerie. Vous devez configurer au moins une stratégie de manière à gérer le trafic POP3, IMAP ou SMTP avant de pouvoir configurer le service spamBlocker. Vous pouvez définir des exceptions permettant à certains expéditeurs et destinataires de contourner les analyses de spamBlocker.

Pour configurer spamBlocker dans WatchGuard Cloud :

  1. Sélectionnez Configurer > Périphériques.
  2. Sélectionnez un Firebox géré sur le cloud.
    L'état et les paramètres du Firebox sélectionné s'affichent.
  3. Sélectionnez Configuration du Périphérique.
  4. Cliquez sur la mosaïque Analyse du Contenu.
    La page Analyse du Contenu s'ouvre.
  5. Dans l'onglet Paramètres, activez spamBlocker.

  1. Dans la liste déroulante Région du Serveur, sélectionnez la région.

WatchGuard Cloud sélectionne par défaut le centre de données de serveurs le plus proche. Vous pouvez sélectionner la région spécifique du centre de données auquel les requêtes spamBlocker doivent être adressées.

  1. Dans la liste déroulante Lorsqu'un message est indésirable, sélectionnez l'action que vous souhaitez que spamBlocker exécute lorsqu'il détecte un e-mail indésirable :
    • Autoriser — Autorise l'e-mail à passer par le Firebox.
    • Refuser — (SMTP uniquement) — Arrête la distribution de l'e-mail au serveur de messagerie. Le Firebox envoie ce message SMTP 571 au serveur de messagerie d'envoi : Delivery not authorized, message refused.
    • Ajouter un indicateur d'objet — Autorise l'e-mail à passer par le Firebox, mais du texte est inséré dans sa ligne d'objet pour le signaler comme courrier indésirable ou courrier potentiellement indésirable.
  2. Si vous sélectionnez Ajouter un indicateur d'objet, la boîte de dialogue Indicateur d'Objet s'affiche. Saisissez le texte que vous souhaitez ajouter à la ligne d'objet du message.

  1. Pour envoyer un message de journal lorsque spamBlocker analyse un e-mail mais ne le désigne pas comme courrier indésirable, cochez la case à cocher Envoyer un message de journal lorsque l'e-mail n'est pas indésirable.
  2. Dans la liste déroulante Lorsque spamBlocker est indisponible, sélectionnez l'action que vous souhaitez que le Firebox exécute pour les e-mails entrants lorsque le Firebox ne parvient pas à se connecter au serveur spamBlocker : Autoriser ou Refuser.
  3. Cliquez sur Enregistrer.

Pour de plus amples informations concernant la configuration des stratégies, consultez la section Configurer les Stratégies de Pare-feu dans WatchGuard Cloud.

Pour de plus amples informations concernant l'ajout des exceptions spamBlocker, consultez la section Ajouter des Exceptions dans WatchGuard Cloud.

Rubriques Connexes

Ajouter un Firebox Géré sur le Cloud à WatchGuard Cloud

Analyse du Contenu dans WatchGuard Cloud

About Gateway AntiVirus

About IntelligentAV

About APT Blocker

About spamBlocker