Gateway AntiVirus を最適化およびトラブルシューティングする
Gateway AntiVirus を最適化する
Web ページの読み込みが遅い場合は、コンテンツ タイプを制限し、ファイル スキャン サイズを減らすことで、Gateway AntiVirus のパフォーマンスを最適化することができます。
コンテンツ タイプに基づいてオブジェクトをスキャンする
Setup Wizard と Gateway AntiVirus Activation Wizard により、許可されたトラフィックのウイルスをスキャンするプロキシ アクションが使用されるように HTTP プロキシ ポリシーが構成されます。性能を最適化するため、コンテンツ タイプを使用してオブジェクトをスキャンするかどうかが決定されるようにプロキシ アクションを構成することをお勧めします。
HTTP ヘッダーのコンテンツ タイプにより、ブラウザでオブジェクトがレンダリングされるか、ダウンロードされるかが決まります。通常、脅威はダウンロードによりもたらされるため、以下のようなダウンロードされない一般的なコンテンツ タイプの AV スキャンは省略することができます。
- テキスト/プレーン
- テキスト/html
- テキスト/xml
- テキスト/css
- 画像/jpeg
- 画像/jpg
- アプリケーション/json
- アプリケーション/ocsp-response
コンテンツ タイプに基づいてオブジェクトがスキャンされるようにするには、Policy Manager で、以下のように HTTP プロキシ アクションを構成します。
- URL パス ルールセットで、一致なしアクション ドロップダウン リストから、許可 を選択します。
- コンテンツ タイプ ルールセットで以下を実行します。
- 詳細ビューで、より安全なコンテンツ タイプのルールを追加し、ルール アクションを 許可 に設定します。詳細については、ルールを追加、削除、または変更する を参照してください。
- 上へ および 下へ ボタンをクリックして、より安全なコンテンツ タイプのルールをリストの一番上に移動します。詳細については、ルールの順序を変更する を参照してください。
- 既定 のルール アクションを AV スキャン に設定したままにすると、許可していないコンテンツ タイプがスキャンされるようになります。
- 本文のコンテンツ タイプ のルールセットで、一致なしアクション ドロップダウン リストから、許可 を選択します。これにより、他のすべてのファイルの種類が AV スキャンなしで許可されるわけではありません。HTTP プロキシにより、コンテンツ タイプのルールセットに基づいてファイルがスキャンされるかどうかが決定されます。
既定の Gateway AntiVirus スキャン制限を使用する
ほとんどのマルウェアは 1 Mb より小さいサイズのファイルで配信されます。大きなファイルはウイルスのように広がる可能性が低いため、デバイスの既定のスキャン制限設定を上げないことをお勧めします。
スキャン制限を上げると、Gateway AntiVirus が大きなサイズのファイルをスキャンするようになるため、Firebox 経由の同時接続の性能が低下する可能性があります。
詳細については、次を参照してください:Gateway AntiVirus のスキャンの制限について
Firebox を最新の OS バージョンに更新する
Firebox デバイスにインストールできる最新の OS バージョンを使用することをお勧めします。Gateway AntiVirus のスキャン パフォーマンスに関しては、デバイスで現在のスキャン エンジンが使用されていること、およびデバイスに正しい署名が設定されていることを確認することが特に重要となります。Firebox デバイスの署名セットの詳細については、Gateway AntiVirus 署名セットのサイズ を参照してください。
2020年の時点で、Fireware v12.1.1 以前を実行している Firebox には、Gateway AntiVirus の更新が提供されません。
RED を有効化する
Gateway AntiVirus が使用するリソースを低減させるために、Reputation Enabled Defense (RED) を有効にすることをお勧めします。RED を使用すると、Firebox デバイスは評価の高いサイトの AV スキャンをスキップし、悪評サイトへのアクセスを拒否します。
詳細については、Reputation Enabled Defense について を参照してください。
ポリシー構成
信頼できないネットワークとの間のトラフィックを処理し、ウイルスをスキャンするオプションがあるプロキシ アクションで Gateway AntiVirus を有効化します。
スキャン エラーが発生した場合のオプションで、検疫 または ロック を選択して、スキャン エラーによるデータの損失を回避します。ファイルのロックを解除したときは、ロック解除したファイルを必ずローカル スキャナまたはオンライン ウイルス スキャナでスキャンしてください。
グローバル構成
Gateway AntiVirus では、圧縮された添付ファイル内をスキャンすることができます。Gateway AntiVirus ファイルの圧縮解除は、Fireware v12.0 以降では常に有効になっており、構成可能な設定はありません。スキャンされるレベルは、Firebox に搭載されている RAM の容量によって異なります。RAM が 2 GB 未満の Firebox モデルでは、8 レベルの圧縮ファイルがスキャンされます。RAM が 2 GB 以上の Firebox モデルでは、最大 16 レベルの圧縮ファイルがスキャンされます。
Fireware v11.12.4 以前の場合は、Policy Manager で Gateway AntiVirus 解凍設定を構成することができます。既定のスキャン レベル「3」を使用することをお勧めします。より高い値を選択すると、プロキシ ポリシーのパフォーマンスに影響が発生する可能性があります。アーカイブの深さがこのフィールドで設定された値より大きいことを、Gateway AntiVirus が検出すると、コンテンツに対してスキャン エラーが生成されます。
スキャンできない圧縮添付ファイルには、パスワード保護された Zip ファイルなど、暗号化ファイルまたはサポートされていない圧縮タイプを使用しているファイルなどが含まれます。
Gateway AntiVirus をトラブルシューティングする
ネットワーク上のクライアントがウイルスに感染した場合、その発生理由を特定することが重要です。
- Gateway AntiVirus にはこのウイルスを検出するための署名がない
- 感染したファイルが Gateway AntiVirus によりスキャンされなかった
- Firebox デバイスが最新の署名セットをダウンロードしていなかった
Gateway AntiVirus のテスト
Gateway AntiVirus が適切なポリシーで有効になっていること、かつウイルスを検出できることを確認するために、EICAR テスト ツールを使用できます。このツールを入手するには、Eicar.org を参照してください。これを実行する方法の詳細については、WatchGuard ナレッジ ベースで EICAR テスト ファイルを使って Gateway AntiVirus をテストする を参照してください。
ウイルス署名
Gateway AntiVirus では、署名セットを使用して感染しているファイルが検出されます。ウイルスが検出されなかった場合、またはウイルスが存在しないと思われるファイルでウイルスが検出された場合は、検出漏れまたは誤検出を報告して、分析に ファイルを送信 することができます。
データベースに存在するウイルスが、Firebox で使用される署名セットには含まれていない場合もあります。一部の Firebox モデルは、一般的なウイルスに的を絞ったより小規模な署名セットを使用しているため、すべてのウイルスを検出できない場合があります。詳細は、WatchGuard ナレッジ ベースの記事 Gateway AntiVirus 署名セットのサイズ を参照してください。
Gateway AntiVirus スキャンのログ メッセージを確認する
Firebox デバイスがログ データを Dimension システムまたは WatchGuard Log Server に送信するよう構成されている場合は、ログ データでファイル名を検索し、Firebox がそのファイルをスキャンしたかどうかを特定し、スキャン結果を確認することができます。
既定では、ウイルスが検出された場合、またはスキャン中にエラーが発生した場合にプロキシ ポリシーはイベントをすべてログに記録します。感染が検出されなかったファイルを含めて、すべてのプロキシ イベントをプロキシ ポリシーに記録させるには、プロキシ アクションで レポートのログ記録を有効にする チェックボックスをオンにします。
Dimension でログ メッセージを検索する方法の詳細については、以下を参照してください:デバイス ログ メッセージを検索する (Dimension)。
ログ メッセージの例
このログ メッセージでは、HTTP プロキシが eicar.com という名前のファイルをスキャンし、ウイルスを検出しました。
Deny 2-Internal-traffic 4-External-traffic TCP 10.0.1.8 192.168.53.92 57525 80 msg="ProxyDrop: HTTP ウイルスが検出されました" proxy_act="HTTP-Client.1" virus="EICAR_Test" host="192.168.53.92" path="/viruses/eicar.com" (HTTP-proxy-00)
Allow 1-Trusted 0-External tcp 10.0.1.2 8.25.35.115 51859 80 msg="ProxyAllow: HTTP AV スキャン エラー" proxy_act="HTTP-Client.3" error="AVG スキャナが作成されていません" host="api.yontoo.com" path="/LoadJS.ashx" (HTTP-proxy-00)
Firebox System Manager における登録サービスの詳細については、以下を参照してください:登録サービスの統計 (登録サービス)。
このログ メッセージはスキャンの失敗を示しています。これは、圧縮レベルが多すぎる .zip やその他の種類の圧縮ファイル、または暗号化されたファイルやその他の理由により開くことのできないファイルで発生する可能性があります。
Allow 1-Trusted 0-External tcp 10.0.1.2 100.100.100.11 39589 25 msg="ProxyLock: SMTP は Gateway AV スキャンを実行できません" proxy_act="SMTP-Outgoing.1" sender="[email protected]" recipients="wg@localhost" error="スキャン要求に失敗しました" filename="message.scr" (SMTP-proxy-00)
Gateway AntiVirus で圧縮されたアーカイブ ファイル内にあるパスワード保護されたファイルをスキャンできなかった場合は、ログ メッセージのスキャン エラーにアーカイブ内のファイル名が含まれます。たとえば、archive.zip というアーカイブの protected.xlsx というパスワード保護されたファイルが Gateway AntiVirus でスキャンできなかった場合は、ログ メッセージのスキャン エラーに両方のファイル名が含まれます。
error="Object (protected.xlsx) Encrypted" host="example.net: path-"/archive.zip"
ログ メッセージには、Fireware v12.2 以降のアーカイブのファイル名が含まれます。
Gateway AntiVirus の電子メール ヘッダーを確認する
ユーザーが電子メールでウイルスを受信した場合、ファイルがスキャンされたかどうか、その結果がどうだったかを確認することができます。X-WatchGuard-AntiVirus: scanned 'file.pdf'. clean action=allow に似たヘッダーを探して、ウイルスが検出されたかどうかを示します。
メッセージ ヘッダーを保存する方法の詳細については、次を参照してください:技術サポートに分析を求めるメッセージを送信する際に、元のメッセージ ヘッダーをどうすれば保存できますか?。。