Reputation Enabled Defense について

Reputation Enabled Defense (RED) のセキュリティ登録を使用して、パフォーマンスを向上し、Firebox のセキュリティを高めることができます。

WatchGuard RED は、URL ごとに 1~100 までのレピュテーション スコアを割り当てるクラウド ベースの WatchGuard レピュテーション サーバーを使用します。ユーザーが Web サイトを訪問すると、要求された Web アドレス (または URL) が RED から WatchGuard レピュテーション サーバーに送信されます。WatchGuard サーバーはその URL のレピュテーション スコアに応答します。RED は、レピュテーション スコアとローカル構成のしきい値に基づいて、Firebox が実行するアクション (トラフィックをドロップする、トラフィックを許可して Gateway AntiVirus でローカル スキャンする、Gateway AntiVirus でローカル スキャンせずに許可する) を決定します。Gateway AntiVirus は レピュテーションの良し悪しで URL をスキャンする必要がないためパフォーマンスが向上されます。

RED は、HTTP クライアント プロキシ アクションでのみサポートされています。HTTP サーバー プロキシ アクションではサポートされていません。

レピュテーションのしきい値

2 つのレピュテーション スコアしきい値を設定できます。

  • 悪評スコアのしきい値 — URL のスコアが悪評スコアのしきい値より高い場合、HTTP プロキシはそれ以上検査をせずにアクセスを拒否します。
  • 好評スコアのしきい値 — URL のスコアが好評スコアのしきい値より低く、かつ Gateway AntiVirus が有効な場合、HTTP プロキシは Gateway AntiVirus スキャンをバイパスします。

URL のスコアが設定したレピュテーションのしきい値と同じ、またはしきい値の範囲内である場合、Gateway AntiVirus が有効に設定されていると、コンテンツのウイルスがスキャンされます。

HTTP プロキシで Gateway AntiVirus 違反が検出されると、WatchGuard レピュテーション サーバーにフィードバックが送信され、URL のレピュテーション スコアが将来的な参照のために更新されます。

100 (悪い) から 1 (良い) のレピュテーション スコアおよびしきい値の図

レピュテーション スコア

URL のレピュテーション スコアは、世界中のデバイスから収集されたフィードバックに基づきます。これには、ウェブに関する主要なマルウェア インテリジェンスのマルウェア対策ベンダーからのスキャン結果のデータが組み込まれています。

レピュテーション スコアが 100 に近づくと、URL に脅威が含まれている可能性が高くなります。レピュテーション スコアが 1 に近づくと、URL に脅威が含まれている可能性が低くなります。RED サーバーに Web アドレスの以前のスコアがない場合、ニュートラル スコア 50 に設定されます。多くの要因によって、レピュテーション スコアは既定のスコア 50 から変更されます。

以下の要因によって URL のレピュテーション スコアが上がったり 100 に近づいたりします。

  • スキャン結果が不良
  • 参照リンクのスキャン結果が不良

以下の要因によって URL のレピュテーション スコアが下がったり 1 に近づいたりします。

  • クリーン スキャンの複数実施
  • クリーン スキャンの最近の実施

レピュテーション スコアは時間とともに変更されます。パフォーマンス向上のため、Firebox は最近アクセスした Web アドレスの評価スコアをローカル キャッシュに格納します。

reputationauthority.org では、RED スコアは考慮されません。このサイトは、SMTP トラフィックの XCS デバイスによってのみ使用されます。

レピュテーション ルックアップ

Firebox は、UDP ポート 10108 を使用して暗号化されたレピュテーション クエリを WatchGuard レピュテーション サーバーに送信します。UDP は、ベストエフォートのサービスです。Firebox が早い段階でレピュテーション クエリへの応答を受け取らず、レピュテーション スコアに基づく判定を行えない場合、HTTP プロキシは応答を待たずにレピュテーション スコアなしで HTTP 要求を処理します。この場合、Gateway AntiVirus が有効な場合は、コンテンツはローカルでスキャンされます。

Reputation Enabled Defense は、ブロックされたサイトの例外リスト上のサイト、または HTTP プロキシ アクションの HTTP プロキシ例外リストのレピュテーションルックアップは行いません。これらの例外リスト上のサイトへの接続の場合、ログ メッセージには -1 のレピュテーション スコアを示します。

サイトが HTTP プロキシ例外またはブロックされたサイトの例外リストにない場合、-1 のレピュテーション スコアは Firebox が早い段階でレピュテーション クエリへの応答を受け取らず、レピュテーション スコアに基づく判定を行えていないことを意味します。

レピュテーション ルックアップは、ドメインだけではなく、ドメインと URL パスの両方に基づいています。 などのエスケープ文字または演算子文字の後のパラメーターは無視されます。

たとえば、URL:

http://www.example.com/example/default.asp?action=9&parameter=26

レピュテーション ルックアップ:

http://www.example.com/example/default.asp

Fireware v11.12 以降のプロキシ ポリシーおよびセキュリティ サービスでは、IPv6 がサポートされています。Reputation Enabled Defense は、クライアントが HTTP 要求をホスト名ではなく直接 IPv6 アドレスに送信した場合、IPv6 アドレスを分類用にサーバーに送信しません。

Reputation Enabled Defense フィードバック

Gateway AntiVirus が有効化されている場合は、ローカル Gateway AntiVirus および APT Blocker のスキャン結果を WatchGuard Server に送信するかどうかを選択することができます。また、Reputation Enabled Defense がデバイスで有効化されていない場合、またはライセンスされていない場合でも、Gateway AntiVirus と APT Blocker のスキャン結果を WatchGuard にアップロードすることができます。ネットワークと Reputation Enabled Defense サーバー間のすべての通信は暗号化されます。

Reputation Enabled Defense のサポート サービスと精度を向上するために、ローカル スキャンの結果を WatchGuard にアップロードすることをお勧めします。

関連情報:

Reputation Enabled Defense を構成する

Reputation Enabled Defense の統計