À propos des Sites bloqués
Un site bloqué est représenté par une adresse IP qui n'est pas autorisée à se connecter via le Firebox. Vous dites au Firebox de bloquer des sites que vous savez ou pensez représenter un risque de sécurité. Une fois que vous avez identifié la source du trafic suspect, vous pouvez bloquer l'ensemble des connexions en provenance de cette adresse IP. Il vous est en outre possible de configurer le Firebox pour qu'il envoie un message de journal chaque fois que la source tente de se connecter à votre réseau. Les services utilisés par les sources lors de leurs attaques sont mentionnés dans le fichier journal.
Vous pouvez définir deux types d'adresses IP bloquées : les adresses permanentes et les adresses automatiquement bloquées.
Sites bloqués de façon permanente
Le Firebox bloque toute connexion vers ou depuis les sites qui sont bloqués de manière permanente. Ces adresses de site sont stockées dans la liste des Sites Bloqués et doivent être ajoutées manuellement. Par exemple, vous pouvez ajouter à la liste des sites bloqués une adresse IP qui tente constamment d'analyser votre réseau, afin d'empêcher les analyses de port à partir de ce site.
Le Firebox bloque toutes les connexions vers ou depuis les sites qui sont bloqués de manière permanente.
Pour bloquer un site, consultez Bloquer un Site de façon Permanente.
Liste des sites automatiquement bloqués/sites bloqués de façon temporaire
Le Firebox empêche les connexions provenant des sites qui sont temporairement bloqués durant la durée que vous avez spécifiée.
Pour déterminer si un site doit être bloqué, le Firebox se base sur les règles de traitement des paquets spécifiées dans chaque stratégie. Par exemple, si vous créez une stratégie visant à refuser l'intégralité du trafic qui transite par le port 23 (Telnet), toute adresse IP essayant de faire circuler des données Telnet par le biais de ce port est automatiquement bloquée pour la durée spécifiée. Chaque fois que le Firebox reçoit une connexion de n'importe quel type de trafic provenant d'un site faisant partie de la liste des Sites Temporairement Bloqués, le compteur pour ce site est remis à zéro. L'adresse IP est supprimée de la liste des Sites Temporairement Bloqués uniquement une fois qu'aucun trafic n'est reçu depuis le site durant la période spécifiée dans les paramètres Durée pour les Sites Bloqués Automatiquement dans la configuration des Sites Bloqués.
Pour bloquer automatiquement des connexions provenant de sites envoyant du trafic refusé, consultez Bloquer Temporairement les Sites avec des Paramètres de Stratégie.
Par ailleurs, vous avez la possibilité de bloquer automatiquement les sites fournissant des paquets qui ne correspondent à aucune des règles de stratégie. Pour plus d'informations, consultez À propos des Paquets non Gérés.
Vous pouvez ajouter manuellement un site bloqué temporairement sur la page Sites Bloqués de Fireware Web UI. Pour plus d'informations, consultez Sites Bloqués.
Exceptions aux sites bloqués
Si le Firebox bloque les connexions à un site que vous pensez sûr, vous pouvez ajouter ce site à la liste des Exceptions aux Sites Bloqués, de sorte que le trafic provenant de ce site ne soit pas bloqué automatiquement.
Les Exceptions aux Sites Bloqués contournent les vérifications de Gestion des Paquets par Défaut, à l'exception des attaques par usurpation et par route de l'IP source. Le trafic en provenance d'un site classé comme exception et normalement bloqué par la Gestion des Paquets par Défaut n'apparaîtra pas comme une attaque dans les journaux de trafic. Dans Fireware v12.5.6/12.6.3 ou les versions ultérieures, le trafic qui serait normalement bloqué par la protection contre les Attaques Flood apparaît dans les journaux de trafic comme une attaque flood à partir d'un site d'exception.
Lorsque vous ajoutez un site aux listes de Botnet Detection, de Geolocation ou d'Exceptions aux Sites Bloqués, le site n'est bloqué par aucun de ces services ou par la Gestion des Paquets par Défaut.
Pour plus d'informations sur la manière d'ajouter une exception pour un site bloqué, consultez Créer des Exceptions aux Sites Bloqués.
Dans Fireware v11.12.2 et les versions ultérieures, la liste "Exceptions pour les Sites Bloqués" comprend les exceptions par défaut pour les serveurs sur lesquels les produits WatchGuard et les services souscrits doivent se connecter. Les exceptions pour les sites bloqués par défaut comprennent :
Produits et Services | Exceptions aux sites bloqués |
---|---|
Tous les services hébergés par WatchGuard | *.watchguard.com |
WatchGuard Wi-Fi Cloud |
*.cloudwifi.com *.mojonetworks.com *.airtightnetworks.com redirector.online.spectraguard.net |
spamBlocker |
*.ctmail.com (pour Fireware v12.1.3 et les versions antérieures, Fireware v12.2.x à Fireware v12.5.3, et filtrage et protection anti-spam d'URL Panda) *.cloudfilter.net (pour Fireware v12.5.4 et les versions ultérieures, ou Fireware v12.1.4 à Fireware v12.1.x) |
WebBlocker |
rp.cloud.threatseeker.com download.websense.com |
APT Blocker |
analysis.nl.emea.lastline.com analysis.lastline.com |
Tous les services hébergés par Panda Security |
*.pandasecurity.com |
Panda Aether Comms |
*.pandasecurity.com aether100proservicebus.servicebus.windows.net aether100pronotification.table.core.windows.net |
Gestion de chemin Panda | content.ivanti.com |
Certificats racine Panda |
*.globalsign.net *.globalsign.com *.digicert.com |
Ces exceptions autorisent les connexions vers ces sites au travers du Firebox, même si d'autres paramètres de configuration (par exemple le Blocage Géolocation) sont censés bloquer les connexions vers ces sites.
Afficher et gérer la liste des sites bloqués
Vous pouvez afficher une liste de tous les sites actuellement présents dans la liste des Sites Bloqués.
Dans Fireware Web UI, sélectionnez État du Système > Site Bloqués. A partir de la page Sites Bloqués, vous pouvez voir les sites actuellement bloqués et vous pouvez ajouter, modifier ou supprimer des sites bloqués de manière temporaire. Pour plus d'informations, consultez Sites Bloqués.
Dans Firebox System Manager, sélectionnez l'onglet Site Bloqués. À partir de l'onglet Sites Bloqués, vous pouvez voir les sites actuellement bloqués et vous pouvez ajouter, modifier ou supprimer des sites bloqués de manière temporaire. Pour plus d'informations, consultez Gérer la Liste des Sites bloqués (Sites bloqués)