可使用 Reputation Enabled Defense (RED) 安全订阅来提高性能并增强 XTM 设备的安全性。
Reputation Enabled Defense 在 Firebox X e-Series 型号中不支持。
WatchGuard RED 使用基于云的 WatchGuard 信誉服务器,该服务器可为每个 URL 分配一个 1 到 100 之间的信誉评分。 当用户进入一个网站时,RED 会将请求的 Web 地址(或 URL)发送给 WatchGuard 信誉服务器。 WatchGuard 服务器会为该 URL 反馈一个信誉评分。 根据该信誉评分,以及本地配置的阈值,RED 会确定该 XTM 设备是否应丢弃流量、允许流量并在本地进行扫描,还是允许流量且不进行本地扫描。 由于 Gateway AV 无需扫描已知的信誉良好或不良的 URL,因此性能得到了提高。
可以配置两种信誉评分阈值:
如果某一 URL 的分数等于配置的信誉阈值或在其之间,并且 Gateway AV 已启用,则内容将会接受病毒扫描。
某一 URL 的信誉评分是以从全球各地的设备所收集得到的反馈为基础的。 它融合了两大顶尖反恶意软件引擎的扫描结果: 卡巴斯基和 AVG。 它还包括来自其他领先的 Web 恶意软件情报来源的数据。
信誉评分越接近 100 就表明该 URL 越有可能包含威胁。 信誉评分越接近 1 就表明该 URL 越有可能不包含威胁。 如果 RED 服务器在以前没有为某一网址评分,它将会为其分配一个中值,即 50 分。 信誉评分会受若干因素的影响,在默认的 50 分的基础上发生变化。
这些因素可能会导致某一 URL 的信誉评分增加,或者说靠近 100 分:
这些因素可能会导致某一 URL 的信誉评分减少,或者说靠近 1 分:
信誉评分可随时间变化。 XTM 设备会将近期访问过的网址的信誉评分存储在本地缓存中,由此改善性能。
XTM 设备使用 UDP 端口 10108 将信誉查询发送到 WatchGuard 信誉服务器。 UDP 是一项尽力服务。 如果 XTM 设备没有足够迅速地收到信誉查询的响应以基于信誉分数做出决定,则 HTTP 代理不会等待响应,而是正常处理 HTTP 请求。 在这种情况下,如果 Gateway AV 已启用,则将在本地扫描内容。
信誉分数为 -1 表示设备没有非常快地获得响应以基于信誉分数做出决定。
信誉查询基于域和 URL 路径,而不仅仅基于域。 转义符或运算符后的参数(例如 & 和 ?)会被忽略。
例如,对于 URL:
http://www.example.com/example/default.asp?action=9¶meter=26
信誉查询为:
http://www.example.com/example/default.asp
Reputation Enabled Defense 不会对添加到 HTTP 代理操作的“HTTP 代理例外”列表中的站点进行信誉查询。
如果 Gateway AntiVirus 已启用,可选择是否要将本地 Gateway AV 扫描的结果发送到 WatchGuard 服务器。 即使设备上没有启用或注册 Reputation Enabled Defense,也可选择将 Gateway AV 扫描结果上传到 WatchGuard。 网络和 Reputation Enabled Defense 服务器之间的所有通信均已加密。
建议启用将本地扫描结果上传到 WatchGuard,从而改进 Reputation Enabled Defense 的总体覆盖范围和准确性。