Contents

Rubriques Connexes

Bonnes Pratiques et Dépannage pour WebBlocker

Meilleures pratiques de WebBlocker

Observez ces meilleures pratiques pour optimiser l'efficacité et les performances de WebBlocker.

Websense ou SurfControl ?

WatchGuard vous recommande d'utiliser Websense Cloud pour la plupart des réseaux. Websense Cloud est une base de données de catégorisation d'URL avec plus de 100 catégories de contenu fournies par Websense. Websense Cloud met à disposition des serveurs répartis sur toute la planète pour répondre rapidement aux utilisateurs du monde entier. Il se peut que les requêtes Websense fonctionnent mal avec les connexions à forte latence.

Vous pouvez également utiliser un serveur WebBlocker Server pour héberger la base de données SurfControl de catégorisation d'URL à 54 catégories. Les catégories de cette base de données sont limitées, et celle-ci nécessite que vous installiez un serveur WebBlocker au sein du réseau local. Les périphériques compacts tels que le XTM-33 et le Firebox T10 peuvent aussi se connecter à un serveur WebBlocker hébergé par WatchGuard.

Configuration de la stratégie

Utilisez WebBlocker pour les stratégies de proxy HTTP et HTTPS sortants. Vous pouvez également utiliser WebBlocker sur un proxy TCP-UDP pour catégoriser les sites sur les ports autres que 80 et 443.

Exceptions WebBlocker

Pour une exécution optimale, WatchGuard vous recommande de définir des Exceptions WebBlocker sous forme d'expressions rationnelles. Lorsque vous utilisez une correspondance de modèle ou une correspondance exacte, le périphérique Firebox doit la convertir en une expression rationnelle avant d'évaluer chaque site. Lorsque vous utilisez une expression rationnelle, cette étape n'est pas nécessaire et la recherche WebBlocker est plus rapide. Pour plus d'informations et des instructions de configuration, consultez l'article de la base de connaissances Utiliser des expressions rationnelles dans les définitions de proxy.

WebBlocker n'évalue pas la chaîne de requête (le texte suivant un point d'interrogation) pour une requête HTTP. Vous pouvez utiliser la configuration de Chemins d'URL du proxy HTTP pour refuser une requête spécifique. Pour plus d'informations sur le refus de chemins spécifiques avec un Proxy HTTP, consultez Requête HTTP : chemins URL.

Pour créer une exception WebBlocker pour le trafic employant les ports non standards, consultez l'article Ajouter une exception WebBlocker pour le trafic employant les ports non standards de la Base de Connaissances.

Exceptions de Proxy HTTP ou Exceptions WebBlocker

Lorsque vous configurez une stratégie de proxy HTTP avec WebBlocker, il est important de comprendre que les Exceptions de Proxy HTTP s'appliquent uniquement au contenu des sites auxquels l'utilisateur accède via le proxy. Les Exceptions WebBlocker n'agissent que sur le blocage d'un site par WebBlocker.

L'inscription d'un site dans les Exceptions de Proxy HTTP n'empêche pas WebBlocker de bloquer ce site, et une exception WebBlocker n'empêchera pas l'action du Proxy HTTP de changer ou supprimer le contenu reçu par l'utilisateur.

N'autoriser l'Accès qu'à des Sites Web Spécifiques

Si vous prévoyez de n'autoriser l'accès qu'à certains sites avec le Proxy HTTP, il n'est pas nécessaire d'utiliser WebBlocker. Vous pouvez configurer le Proxy HTTP pour qu'il autorise uniquement des chemins spécifiques dans la requête HTTP. Pour en savoir plus, consultez Requête HTTP : chemins URL.

WebBlocker via HTTPS sans Inspection de Contenu

WebBlocker examine à la fois les champs SNI (Indication du Nom de Serveur) et CN (Nom Commun) lors de l'échange de certificat pour déterminer l'adresse Web. Ceci permet à WebBlocker d'identifier correctement le domaine ou le sous-domaine d'un site Web à bloquer ou autoriser.

Choix de Serveur et DNS

Pour optimiser les performances de WebBlocker avec Websense, consultez l'article de la base de connaissances Optimiser les Performances de WebBlocker avec Websense.

Connexions WebBlocker pour les Recherches d'URL

WebBlocker avec Websense crée une connexion HTTP vers l'un des 15 centres de données Websense dans le monde pour la catégorisation des URL.

WebBlocker avec SurfControl crée une connexion UDP 5003 au serveur WebBlocker local configuré pour la catégorisation des URL.

Pour plus d'informations, voir Modifier les Catégories WebBlocker à Bloquer.

Dépanner WebBlocker

WebBlocker peut générer des messages de journal utiles à la résolution des problèmes. Si aucun message de journal correspondant aux sites refusés par WebBlocker ne s'affiche, veillez à activer la journalisation dans l'action WebBlocker utilisée par votre action de proxy HTTP.

Pour activer la journalisation dans l'action WebBlocker :

  1. Modifier l'action WebBlocker utilisée par l'action de proxy HTTP.
  2. Dans l'action WebBlocker, sélectionnez l'onglet Catégories.
  3. Dans la section Action à Entreprendre, cochez la case Enregistrer cette action.

Pour plus d'informations, voir Modifier les Catégories WebBlocker à Bloquer.

Pour diagnostiquer les problèmes WebBlocker, vous devez d'abord connaître leur périmètre.

  • Perturbe-t-il certains sites ou la totalité du trafic Web ?
  • Le problème bloque-t-il ou autorise-t-il l'accès aux sites de manière incorrecte ?

Problèmes Concernant Uniquement Certains Sites

S'il s'avère que certains sites sont bloqués ou non de façon incorrecte, voici quelques causes possibles :

  1. Cela peut se produire si le site ne correspond pas à la catégorie à laquelle vous pensez qu'il appartient. Pour apprendre à vérifier à quelle catégorie un site correspond et comment suggérer un changement, visitez le Portail de Sécurité de WatchGuard. Rappelez-vous que vous pouvez toujours créer une exception WebBlocker pour bloquer ou autoriser un site si vous ne souhaitez pas changer votre gestion de toute sa catégorie.

Lorsqu'un site est autorisé ou refusé en fonction de la catégorie, les journaux de trafic peuvent contenir un message du type :

Allow 1-Trusted 0-External tcp 10.0.1.2 50.16.210.117 50790 80 msg="ProxyAllow: HTTP Request categories" proxy_act="HTTP-Client.2" cats="Reference Materials" op="GET" dstname="www.walkscore.com" arg="/" (HTTP-proxy-00)

  1. Ceci peut se produire si WebBlocker n'est pas activé pour un proxy HTTPS. Les sites Web consultés via HTTPS ne seront pas bloqués.
  2. Ceci peut se produire si WebBlocker est activé pour le HTTPS, mais que vous n'utilisez pas l'inspection de contenu sur ces actions de Proxy HTTPS. Pour en savoir plus, consultez ce problème connu : WebBlocker ne bloque parfois pas certains sites HTTPS dont les certificats comportent des caractères génériques.
  3. Si vous utilisez le Serveur WebBlocker SurfControl, assurez-vous de conserver la base de données à jour pour assurer une catégorisation correcte. Dans WatchGuard System Manager version 11.6 et les versions ultérieures, les mises à jour automatiques sont activées par défaut. Pour obtenir les mises à jour, l'ordinateur sur lequel le serveur WebBlocker Server est installé doit pouvoir établir des communications sortantes sur le port TCP et UDP 5003.

Problèmes Concernant Tous les Sites

Si tout le trafic utilisateur est autorisé ou refusé, plusieurs causes possibles sont à envisager :

  1. La configuration de la stratégie peut être incorrecte. Assurez-vous que le trafic Web utilisateur est géré par la bonne stratégie de proxy HTTP, HTTPS ou TCP-UDP pour l'action de WebBlocker.
  2. Si vous utilisez WebSense Cloud pour WebBlocker, il peut arriver que le périphérique Firebox ne puisse joindre le serveur ou qu'il ne reçoive pas de réponse en temps voulu. Pour plus d'informations sur la résolution des problèmes de connexion pour WebSense, consultez Optimiser les Performances de WebBlocker avec Websense.
  3. Si vous utilisez le serveur WebBlocker local avec WatchGuard System Manager (Surfcontrol), assurez-vous que le serveur est en fonction et apte à répondre.

Si le serveur WebBlocker est inactif ou si WebBlocker contient une adresse IP incorrecte dans sa configuration, il se peut que vous trouviez un message de journal du type :

Deny 2-Internal-traffic 4-External-traffic tcp 192.168.2.23 23.21.224.150 60921 80 msg="ProxyDeny: HTTP Service unavailable" proxy_act="HTTP-Client.1" service="WebBlocker.1" details="Webblocker server is not available" (HTTP-proxy-00)

Voir aussi

Configurer WebBlocker

Importer ou exporter des règles d'exception WebBlocker

Démarrer avec WebBlocker (Web)

Envoyer Vos Commentaires     Obtenir de l'Aide     Documentation Complète des Produits     Recherche Technique

© 2018 WatchGuard Technologies, Inc. Tous droits réservés. WatchGuard, le logo de WatchGuard, WatchGuard Dimension, Firebox, Core, Fireware et LiveSecurity sont des marques déposées ou des marques de commerce de WatchGuard Technologies aux Etats-Unis et/ou dans d'autres pays.