Total Security Suite 登録により、Firebox および WatchGuard セキュリティ サービスは攻撃に対する包括的な保護を提供しています。一部のサービスをグローバルに有効化し、ポリシーで他のサービスを有効化することができます。共に、統合および階層化されたセキュリティ ソリューションを提供します。
Total Security Suite 登録が有効になっている Firebox でパケットが受信されると、これらのグローバル サービスによりパケットが検査されます。
- 既定の脅威防止
- Botnet Detection
- DNSWatch (パケットが UDP ポート 53 で内部的に到着する場合)
パケットが許可されると、パケットはポリシーベースの検査とそれらのポリシーで有効化されているセキュリティ サービスに移動します。このリストには、セキュリティ サービスでパケットがスキャンされる順序、またプロキシ ポリシーで有効化されている場合はコンテンツが検査される順序が示されています。
- Geolocation
- Application Control および Intrusion Prevention Service
- WebBlocker または spamBlocker
- Reputation Enabled Defense
- Gateway AntiVirus
- IntelligentAV
- APT Blocker
- Data Loss Prevention
順序はパケットの種類に基づいて変更できます。通常、複数のサービスで競い合ってコンテンツが検査され、コンテンツが拒否された最初のサービスにより接続が切断されます。接続が切断された後は、他のサービスによるパケットのスキャンは行われません。
HTTPS パケット インスペクションの例
この例には、コンテンツ インスペクションが有効化されているアクティブな HTTPS プロキシ ポリシーが割り当てられている Firebox で HTTPS パケットが経る工程が示されています。Firebox の工程で接続が切断されない場合は、パケットは次の工程に進みます。
- Default Threat Prevention と Botnet Detection により接続が検査され、送信元と宛先 IP アドレスおよびポート番号が安全であることが確認されます。
- Fireware では、HTTPS プロキシ ポリシーがチェックされます。有効化されている場合は、Geolocation により送信元 IP と宛先 IP が検査されます。
- コンテンツ インスペクションが有効化されている場合は、Application Control と Intrusion Prevention Service (IPS) によりパケットが検査されます。
- 残りのセキュリティ サービスでパケットまたはコンテンツのスキャンが開始される前に、プロキシで拒否されたもの (ドメイン、URL、メディアの種類、ファイルの種類など) のプロキシ アクションが検査されます。
- Reputation Enabled Defense (RED) により URL が検査されます。
- WebBlocker では URL、ドメイン、および IP アドレス (IPv4) が検査され、カテゴリまたは例外に一致するかどうかが判断されます。
- こうした WatchGuard セキュリティ サービスでは、以下の順序でパケットのコンテンツが検査されます。
- Gateway AntiVirus — 既知の脅威の有無についてコンテンツがスキャンされ、ウイルスが検出された場合はブロックされます。
- IntelligentAV — 署名を使用せずに、既知および未知のマルウェアが特定されてブロックされます。
- APT Blocker — ファイルと電子メールの添付ファイル内の APT マルウェアの特性と動作が特定されてブロックされます。
- Data Loss Prevention — ネットワーク外またはネットワーク境界を越えて、機密情報の偶発的または不正な送信が検出されてブロックされます。
RED から同時に、またはサービスでコンテンツのスキャンが開始された後に応答が返される場合は、サービスでコンテンツのスキャンが続行されます。コンテンツが拒否された最初のサービスにより接続が切断されます。