Guia de produto
McAfee Web Gateway Cloud Service Para uso com McAfee ePolicy Orchestrator Cloud
COPYRIGHT © 2017 Intel Corporation
ATRIBUIÇÕES DE MARCAS COMERCIAIS Intel e o logotipo da Intel são marcas comerciais da Intel Corporation nos EUA e/ou em outros países. McAfee, o logotipo da McAfee, McAfee Active Protection, McAfee DeepSAFE, ePolicy Orchestrator, McAfee ePO, McAfee EMM, McAfee Evader, Foundscore, Foundstone, Global Threat Intelligence, McAfee LiveSafe, Policy Lab, McAfee QuickClean, Safe Eyes, McAfee SECURE, McAfee Shredder, SiteAdvisor, McAfee Stinger, McAfee TechMaster, McAfee Total Protection, TrustedSource e VirusScan são marcas comerciais ou marcas registradas da McAfee, Inc. ou de suas afiliadas nos EUA e em outros países. Outros nomes e marcas podem ser propriedade de terceiros.
INFORMAÇÕES SOBRE LICENÇA Contrato de licença AVISO A TODOS OS USUÁRIOS: LEIA ATENTAMENTE O CONTRATO LEGAL CORRESPONDENTE À LICENÇA ADQUIRIDA POR VOCÊ. NELE ESTÃO DEFINIDOS OS TERMOS E AS CONDIÇÕES GERAIS PARA A UTILIZAÇÃO DO SOFTWARE LICENCIADO. CASO NÃO SAIBA O TIPO DE LICENÇA QUE VOCÊ ADQUIRIU, CONSULTE A DOCUMENTAÇÃO RELACIONADA À COMPRA E VENDA OU À CONCESSÃO DE LICENÇA, INCLUÍDA NO PACOTE DO SOFTWARE OU FORNECIDA SEPARADAMENTE (POR EXEMPLO, UM LIVRETO, UM ARQUIVO NO CD DO PRODUTO OU UM ARQUIVO DISPONÍVEL NO SITE DO QUAL O PACOTE DE SOFTWARE FOI OBTIDO POR DOWNLOAD). SE VOCÊ NÃO CONCORDAR COM TODOS OS TERMOS ESTABELECIDOS NO CONTRATO, NÃO INSTALE O SOFTWARE. SE FOR APLICÁVEL, VOCÊ PODERÁ DEVOLVER O PRODUTO À McAFEE OU AO LOCAL DE AQUISIÇÃO PARA OBTER REEMBOLSO TOTAL.
2
McAfee Web Gateway Cloud Service
Guia de produto
Conteúdo
1
Prefácio
5
Sobre este guia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Público-alvo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Convenções . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Localizar a documentação do produto . . . . . . . . . . . . . . . . . . . . . . . . . .
5 5 5 6
Visão geral do produto
7
O que é McAfee WGCS? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7 Principais recursos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Como funciona o McAfee WGCS . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Tecnologias de segurança na Web da McAfee . . . . . . . . . . . . . . . . . . . . 9 Opções de distribuição . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Prática recomendada: distribuição com o McAfee Client Proxy . . . . . . . . . . . . . . . . 10 Como o McAfee Client Proxy aplica configurações de política . . . . . . . . . . . . . 11
2
Introdução
13
Configuração dos produtos na ordem recomendada . . . . . . . . . . . . . . . . . . . . Interface do usuário do Web Protection . . . . . . . . . . . . . . . . . . . . . . . . . Como as informações da página de boas-vindas são utilizadas . . . . . . . . . . . . . . . Localizar a página de boas-vindas . . . . . . . . . . . . . . . . . . . . . . . . Configuração da comunicação com o McAfee Client Proxy . . . . . . . . . . . . . . . . . Configurando o McAfee WGCS como o servidor proxy . . . . . . . . . . . . . . . . . . . Antes de usar o serviço de nuvem . . . . . . . . . . . . . . . . . . . . . . . . . . . Gerenciamento de contas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
Gerenciamento de políticas
19
Modelo de política global . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Usando o Navegador de políticas . . . . . . . . . . . . . . . . . . . . . . . . . . . Exibição de políticas de recursos . . . . . . . . . . . . . . . . . . . . . . . . Exibição de regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exibindo catálogos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Baixar e instalar certificados SSL . . . . . . . . . . . . . . . . . . . . . . . . . . . Trabalho com grupos de usuários . . . . . . . . . . . . . . . . . . . . . . . . . . . Sincronização do Active Directory . . . . . . . . . . . . . . . . . . . . . . . . Adicionar um grupo de usuários local . . . . . . . . . . . . . . . . . . . . . . . Editar o grupo de usuários local . . . . . . . . . . . . . . . . . . . . . . . . . Trabalhar com regras e políticas de recursos . . . . . . . . . . . . . . . . . . . . . . . Adicionar uma regra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Criar uma regra importando uma lista de URLs . . . . . . . . . . . . . . . . . . . Criar uma regra usando exceções . . . . . . . . . . . . . . . . . . . . . . . . Alterar uma regra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Reordenar as regras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Excluir uma regra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Alterar uma política de recurso . . . . . . . . . . . . . . . . . . . . . . . . . Alterar a Atribuição de política . . . . . . . . . . . . . . . . . . . . . . . . .
McAfee Web Gateway Cloud Service
13 14 14 14 15 16 16 17
19 19 20 23 27 27 27 28 28 28 29 29 30 31 33 40 40 41 45
Guia de produto
3
Conteúdo
Exibir logs de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Exportar os logs de auditoria . . . . . . . . . . . . . . . . . . . . . . . . . . Condições de erro . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erros de dados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Erros de conexão de rede . . . . . . . . . . . . . . . . . . . . . . . . . . . Erros de gravação . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
4
Autenticação
49
Decisões de autenticação e política . . . . . . . . . . . . . . . . . . . . . . . . . . Como o McAfee WGCS implementa as opções de autenticação . . . . . . . . . . . . . . . Como funciona o processo de autenticação . . . . . . . . . . . . . . . . . . . . . . . Autenticação da faixa de IP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Ativar ou desativar a autenticação da faixa de IP . . . . . . . . . . . . . . . . . . Configuração da autenticação da faixa de IP . . . . . . . . . . . . . . . . . . . . Importar uma lista de faixas de endereços IP . . . . . . . . . . . . . . . . . . . Exportar uma lista de faixas de endereços IP . . . . . . . . . . . . . . . . . . . Autenticação SAML . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Benefícios da autenticação SAML . . . . . . . . . . . . . . . . . . . . . . . . Autenticação SAML — etapas de alto nível . . . . . . . . . . . . . . . . . . . . . Visão geral da configuração de SAML . . . . . . . . . . . . . . . . . . . . . . . Considerações ao configurar a autenticação SAML . . . . . . . . . . . . . . . . . Configuração da SAML no console de gerenciamento . . . . . . . . . . . . . . . . Configurações da autenticação SAML . . . . . . . . . . . . . . . . . . . . . . . Autenticação site a site IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Configurando uma autenticação site a site IPsec . . . . . . . . . . . . . . . . . . Considerações ao configurar o IPsec site a site . . . . . . . . . . . . . . . . . . . Ativar ou desativar a autenticação site a site IPsec . . . . . . . . . . . . . . . . . Adicionar um local de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . Exclua um local de IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . Edite as configurações de site a site IPsec . . . . . . . . . . . . . . . . . . . . . Configurações de site a site IPsec . . . . . . . . . . . . . . . . . . . . . . . . Adição de autenticação SAML ao IPsec site a site . . . . . . . . . . . . . . . . . .
Índice
4
McAfee Web Gateway Cloud Service
46 46 47 47 47 48
49 50 50 51 51 52 53 54 54 55 55 56 57 57 59 60 60 61 61 62 62 62 63 63
65
Guia de produto
Prefácio
Este guia fornece todas as informações necessárias para que você possa trabalhar com seu produto McAfee. Conteúdo Sobre este guia Localizar a documentação do produto
Sobre este guia Estas informações descrevem o público-alvo do guia, as convenções tipográficas e os ícones usados neste guia, além de como o guia é organizado.
Público-alvo McAfee é cuidadosamente pesquisada e escrita tendo em vista o seu público-alvo. A informação contida neste guia destina-se principalmente a: •
Administradores: Pessoas responsáveis pela implementação e imposição do programa de segurança da empresa.
Convenções Este guia usa as seguintes convenções tipográficas e ícones. Itálico
Título de um livro, capítulo ou tópico; um novo termo; ênfase
Negrito
Texto enfatizado
Monoespaçada
Comandos e outros textos que o usuário digita; uma amostra de código; uma mensagem exibida
Narrow Bold
Palavras da interface do usuário, como opções, menus, botões e caixas de diálogo
Hipertexto azul Um link para um tópico ou para um site externo Observação: informações adicionais que enfatizam um argumento, lembram o leitor de algo, ou fornecem um método alternativo Dica: boas práticas Cuidado: informações úteis para proteger o sistema de computador, instalação de software, rede, empresa ou dados Aviso: informações críticas para impedir dano físico durante a utilização de um produto de hardware
McAfee Web Gateway Cloud Service
Guia de produto
5
Prefácio Localizar a documentação do produto
Localizar a documentação do produto No ServicePortal, você encontra informações sobre um produto lançado, incluindo a documentação do produto, artigos técnicos e muito mais. Tarefa
6
1
Acesse o ServicePortal em https://support.mcafee.com e clique na guia Centro de conhecimento.
2
No painel Base de dados de conhecimento, em Fonte de conteúdo, clique em Documentação do produto.
3
Insira um produto e a versão, e clique em Pesquisar para exibir uma lista de documentos.
McAfee Web Gateway Cloud Service
Guia de produto
1
Visão geral do produto
®
®
O McAfee Web Gateway Cloud Service (McAfee WGCS) é um serviço de nuvem empresarial globalmente disponível que fornece proteção na Web abrangente por meio da varredura de conteúdo em profundidade e da integração a outras tecnologias de segurança na Web da McAfee. Conteúdo O que é McAfee WGCS? Principais recursos Como funciona o McAfee WGCS Prática recomendada: distribuição com o McAfee Client Proxy
O que é McAfee WGCS? O serviço de proteção na Web protege sua organização contra ameaças à segurança que surgem quando os usuários finais acessam a Web. O serviço varre e filtra o tráfego da Web entre os usuários finais de sua organização e a nuvem. Ele bloqueia o tráfego que não é permitido pela política de proteção na Web configurada por você. Ele também protege os usuários que trabalham dentro ou fora da rede. Por exemplo, o serviço protege os usuários que estão trabalhando em uma cafeteria ou um hotel. Usando o serviço de proteção na Web, você pode impedir ameaças sofisticadas, implementar política de uso da Internet da sua organização e impulsionar a produtividade. Por exemplo, você pode controlar o acesso a sites de upload de arquivos. Por meio de centenas de categorias de tipos de conteúdo da Web, aplicativos e mídias, você tem um controle refinado do uso da Web, dentro e fora da rede. Como um serviço que é executado em uma plataforma de nuvem, o McAfee WGCS é gerenciado 24 horas por dia, 7 dias por semana por uma equipe de especialistas em segurança da McAfee. Você adquire uma assinatura do serviço, sem necessidade de instalação de hardware ou software. A plataforma de serviço de nuvem consiste em nós distribuídos globalmente e chamados de pontos de presença (PoP). O Global Routing Manager (GRM) é um serviço DNS responsável pelo roteamento de tráfego inteligente, compartilhamento de carga e failover. O GRM roteia seu tráfego para o melhor ponto de presença disponível. ®
O serviço de proteção na Web é acessado na plataforma de gerenciamento do McAfee ePolicy Orchestrator Cloud (McAfee ePO Cloud) e configurado usando o console de gerenciamento do McAfee ePO Cloud. ®
®
™
®
O McAfee WGCS pode ser distribuído com ou sem o McAfee Client Proxy. O software Client Proxy é instalado nos computadores dos usuários finais da organização. O software reconhece o local e redireciona as solicitações de usuário final para o serviço de nuvem, quando os usuários estão trabalhando fora da rede.
McAfee Web Gateway Cloud Service
Guia de produto
7
1
Visão geral do produto Principais recursos
O Client Proxy é distribuído com o McAfee® ePolicy Orchestrator (McAfee ePO) ou o McAfee ePO Cloud. O McAfee WGCS pode ser integrado com o Client Proxy quando distribuído com qualquer uma das plataformas de gerenciamento. As interfaces do usuário do McAfee WGCS e do Client Proxy fazem parte do console de gerenciamento do McAfee ePO Cloud.
Principais recursos O McAfee WGCS fornece os seguintes recursos principais de segurança. •
Filtragem de URL utilizando listas brancas, listas negras e categorias de reputação com base nos níveis de risco determinados pelo McAfee Global Threat Intelligence (McAfee GTI) ®
™
•
Varredura SSL, incluindo descriptografia completa e inspeção de conteúdo
•
Catálogos de filtragem da Web: •
Filtragem de conteúdo utilizando o Catálogo de categorias da Web
•
Filtragem de aplicativos Web utilizando o Catálogo de aplicativos Web
•
Filtragem de tipos de mídia utilizando o Catálogo de tipos de mídia
•
Filtragem antimalware que bloqueia malware em linha e inclui tecnologia de emulação tradicional de comportamento e antivírus
•
SAML, faixa de IP e Autenticação site a site IPsec de usuários finais que solicitam o acesso à nuvem
•
Geração de relatórios de proteção na Web: visão geral da produtividade, da atividade na Web, da imposição de política na Web e da segurança na Web
Como funciona o McAfee WGCS O serviço de proteção na Web protege sua organização contra malware, spyware, vírus, URLs de phishing, ataques direcionados e ameaças combinadas por meio de um processo de detecção em profundidade. O processo de detecção de ameaças consiste nestas etapas de alto nível.
8
1
Por meio da tecnologia antivírus baseada em assinatura com dados de categoria de URL e reputação do McAfee GTI, o McAfee WGCS filtra as ameaças conhecidas do tráfego da Web, permitindo a passagem do tráfego válido. Essa etapa do processo detecta cerca de 80% das ameaças baseadas na Web.
2
O tráfego da Web restante não é conhecido como válido ou inválido. O tráfego desconhecido suspeito é inspecionado pelo Gateway Anti-Malware Engine. Por meio da tecnologia de emulação, o conteúdo dinâmico da Web e o código ativo são observados em um ambiente controlado para se compreender a intenção e prever o comportamento. Esta etapa do processo detecta quase 100% das ameaças baseadas na Web restantes. Conhecidas como malware de dia zero, essas ameaças são novas ou arquivos de malware alterados que ainda não têm assinaturas.
McAfee Web Gateway Cloud Service
Guia de produto
Visão geral do produto Como funciona o McAfee WGCS
1
Tecnologias de segurança na Web da McAfee O McAfee WGCS usa as informações e a inteligência fornecidas pelos componentes e pelas tecnologias de segurança na Web comprovados da McAfee. Esses componentes e tecnologias atualizam dinamicamente o serviço de proteção na Web à medida que as informações de segurança na Web e a inteligência são alteradas. Os componentes e as tecnologias são totalmente integrados ao serviço. É necessário um mínimo de configurações na interface do usuário. Os componentes e as tecnologias de segurança na Web incluem: •
McAfee GTI — avalia a reputação dos sites com base no comportamento passado e atribui os sites a categorias de risco alto, médio, baixo e não verificado. O McAfee GTI coleta, analisa e distribui dados em tempo real de mais de 100 milhões de sensores em mais de 120 países.
•
Catálogos — simplifique as regras de política atribuindo sites, aplicativos Web e tipos de arquivos semelhantes aos grupos.
•
•
Catálogo de categorias da Web — Atribui sites a categorias com base em conteúdo. Por meio desse catálogo, você permite ou bloqueia o acesso a conteúdo especificado, como no bloqueio de acesso a sites de jogos de azar.
•
Catálogo de aplicativos Web — Atribui aplicativos Web a categorias por tipo. Por meio desse catálogo, você permite ou bloqueia o acesso a aplicativos Web individualmente ou por categoria. Por exemplo, você pode bloquear uploads de arquivos para aplicativos de compartilhamento de arquivos na nuvem.
•
Catálogo de tipos de mídia — categoriza arquivos por tipo de documento ou formato de áudio ou vídeo. Por meio desse catálogo, você permite ou bloqueia o acesso a tipos de mídia especificados, como o bloqueio de acesso à mídia em streaming.
Gateway Anti-Malware Engine — filtra o tráfego da Web, detectando e bloqueando malware de dia zero em linha usando tecnologia de emulação antes que os dispositivos dos usuários finais sejam infectados.
Opções de distribuição ®
O McAfee WGCS pode ser distribuído com ou sem o McAfee Web Gateway, um appliance baseado em hardware ou virtual que é instalado localmente na rede de sua organização. O appliance local protege sua rede contra ameaças que podem surgir quando os usuários acessam a Web por dentro da rede. O McAfee WGCS pode ser distribuído da seguinte maneira: •
Distribuição apenas em nuvem — as organizações que não desejam instalar um appliance Web Gateway na rede podem redirecionar para o serviço de proteção na Web, para filtragem, as solicitações na Web dos usuários que trabalham dentro e fora da rede.
•
Distribuição híbrida — as organizações que têm um appliance Web Gateway instalado na rede e distribuem o serviço de proteção na Web na nuvem podem gerenciar políticas de proteção na Web em uma interface do usuário e aplicá-las em toda a organização. Quando distribuídos juntos, o serviço de proteção na Web e o appliance local são conhecidos como McAfee Web Protection ou como a solução híbrida Web Protection. ®
Para obter mais informações, consulte o Guia de produto do McAfee Web Gateway.
McAfee Web Gateway Cloud Service
Guia de produto
9
1
Visão geral do produto Prática recomendada: distribuição com o McAfee Client Proxy
Solução híbrida do Web Protection Com a solução híbrida, você pode gerenciar a política de proteção na Web na interface do usuário do Web Gateway e enviar a política por push para o serviço McAfee WGCS na nuvem. Na interface do appliance, uma política de proteção na Web consiste em muitos conjuntos de regras, como Filtragem de URL e Classificação de conteúdo dinâmico. A maioria dos conjuntos de regras aplica-se igualmente ao McAfee WGCS e pode ser ativada na nuvem. O appliance envia por push os conjuntos de regras que estão ativados na nuvem para o McAfee WGCS no intervalo de sincronização especificado por você. Para configurar a solução híbrida na interface do appliance, siga estas etapas básicas: 1
2
Defina estas configurações: •
Configurações de conexão — Permitir que o appliance local se conecte ao serviço de proteção na Web na nuvem.
•
Configurações de sincronização — Especificar a frequência em que a política local é enviada por push para a nuvem.
Selecione os conjuntos de regras que deseja enviar por push para a nuvem.
Prática recomendada: distribuição com o McAfee Client Proxy Embora o McAfee WGCS possa ser distribuído sem o Client Proxy, a prática recomendada é distribuir o serviço de proteção na Web com o Client Proxy, seja a distribuição apenas em nuvem ou híbrida.
O Client Proxy fornece reconhecimento de local O software Client Proxy redireciona as solicitações da Web dos usuários finais que estão trabalhando dentro e fora da rede da organização para os servidores proxy na nuvem para filtragem pelo McAfee WGCS. O software tem reconhecimento de localização e determina se os computadores dos usuários finais estão localizados dentro ou fora da rede ou se estão conectados à rede via VPN. Quando o McAfee WGCS é configurado com o Client Proxy e o Web Gateway em uma distribuição híbrida, a decisão de redirecionar as solicitações da Web se baseia na localização do usuário: •
Usuários que trabalham fora da rede — o Client Proxy redireciona as solicitações da Web para o McAfee WGCS.
•
Usuários que trabalham dentro da rede ou conectados à rede via VPN — o Client Proxy permite que as solicitações da Web ignorem a filtragem pelo McAfee WGCS. Essas solicitações são redirecionadas automaticamente para filtragem para um appliance Web Gateway instalado na rede.
Termos comumente utilizados
10
•
Os usuários finais que trabalham fora da rede trabalham remotamente.
•
Os computadores dos usuários finais também são chamados de computadores cliente ou de ponto de extremidade, ou simplesmente o cliente ou ponto de extremidade.
•
Quando o software Client Proxy permite que solicitações da Web ignorem o McAfee WGCS, o software permanece passivo ou em espera.
McAfee Web Gateway Cloud Service
Guia de produto
Visão geral do produto Prática recomendada: distribuição com o McAfee Client Proxy
1
Como o McAfee Client Proxy aplica configurações de política As políticas do Client Proxy determinam se o software redireciona as solicitações da Web dos usuários finais de sua organização para filtragem pelo serviço do McAfee WGCS ou permite que elas ignorem o serviço. Configurações de Descrição política
Como as configurações são aplicadas
Servidores proxy
Especifica uma lista de Consulte Configurações de redirecionamento. endereços de servidores proxy na qual o Client Proxy redireciona as solicitações da Web para filtragem pelo McAfee WGCS.
Lista para ignorar
Especifica uma lista de valores As solicitações da Web enviadas para esses que são considerados seguros. destinos têm permissão para ignorar a filtragem pelo McAfee WGCS e são encaminhadas para a Web.
Lista de bloqueio
Especifica uma lista de nomes de processo que não são considerados seguros.
As solicitações da Web enviadas a esses processos são bloqueadas, e o usuário final recebe uma mensagem de bloqueio.
Configurações de redirecionamento
Especifica os endereços de servidores que o Client Proxy utiliza para determinar se o usuário final está trabalhando dentro da rede, conectado à rede via VPN ou remotamente.
As solicitações da Web de usuários que trabalham dentro da rede ou conectados à rede via VPN são: • Distribuição apenas em nuvem — redirecionado para filtragem pelo McAfee WGCS. • Distribuição híbrida — com permissão para ignorar o McAfee WGCS. Essas solicitações são redirecionadas automaticamente para um appliance Web Gateway instalado na rede para filtragem. As solicitações da Web de usuários que trabalham remotamente são redirecionadas para filtragem pelo McAfee WGCS.
McAfee Web Gateway Cloud Service
Guia de produto
11
1
Visão geral do produto Prática recomendada: distribuição com o McAfee Client Proxy
12
McAfee Web Gateway Cloud Service
Guia de produto
2
Introdução
Configure o McAfee WGCS e o McAfee Client Proxy usando o console de gerenciamento do McAfee ePO Cloud. Conteúdo Configuração dos produtos na ordem recomendada Interface do usuário do Web Protection Como as informações da página de boas-vindas são utilizadas Configuração da comunicação com o McAfee Client Proxy Configurando o McAfee WGCS como o servidor proxy Antes de usar o serviço de nuvem Gerenciamento de contas
Configuração dos produtos na ordem recomendada O McAfee WGCS funciona com o McAfee ePO Cloud e o McAfee Client Proxy. Recomendamos configurar esses produtos na seguinte ordem. 1
McAfee ePO Cloud — Esta plataforma de nuvem apresenta um console de gerenciamento no qual você pode gerenciar as políticas, a autenticação e a geração de relatórios do McAfee WGCS e do Client Proxy. Depois de configurar uma conta no McAfee ePO Cloud, você poderá usar o console de gerenciamento para instalar os outros produtos. Para obter mais informações, consulte o Guia do produto do McAfee ePolicy Orchestrator Cloud. Você também poderá instalar e gerenciar o Client Proxy usando o McAfee ePO no local. Para obter mais informações, consulte o Guia do produto do McAfee ePolicy Orchestrator.
2
McAfee WGCS — A McAfee hospeda e atualiza esse serviço na nuvem. Como o McAfee WGCS é um serviço de nuvem, não é necessário instalar ou fazer upgrade do software. Para acessar o console de gerenciamento, você precisará da senha e do endereço de e-mail que forneceu quando criou a conta da McAfee.
3
McAfee Client Proxy — A instalação dependerá do que você estiver usando: o McAfee ePO ou o McAfee ePO Cloud. Nas duas plataformas de gerenciamento, a instalação inclui a distribuição do software cliente para os computadores do ponto de extremidade da sua organização, a configuração de uma política do Client Proxy e o envio por push da política para o ponto de extremidade. Para obter mais informações, consulte o Guia do produto McAfee Client Proxy para uso com o McAfee ePolicy Orchestrator ou o Guia do produto McAfee Client Proxy para uso com o McAfee ePolicy Orchestrator Cloud. O McAfee WGCS também pode ser distribuído sem o Client Proxy.
Consulte também Configurando o McAfee WGCS como o servidor proxy na página 16
McAfee Web Gateway Cloud Service
Guia de produto
13
2
Introdução Interface do usuário do Web Protection
Interface do usuário do Web Protection Depois de entrar no console de gerenciamento do McAfee ePO Cloud com as credenciais da sua conta, você pode gerenciar políticas, configurar a autenticação e visualizar informações de introdução. Na lista do Web Protection, você pode selecionar estes links: •
Introdução — acesse a página de boas-vindas, onde você pode encontrar as informações necessárias para começar a trabalhar.
•
Configurações de autenticação — configure como os usuários finais são autenticados.
Na lista de Política de Segurança Unificada, você pode selecionar este link: •
Gerenciamento de políticas — Gerencie como o tráfego da Web é filtrado e permita ou bloqueie o acesso a conteúdo, aplicativos e objetos da Web.
Como as informações da página de boas-vindas são utilizadas As informações da página de boas-vindas incluem o ID do cliente e o endereço do servidor proxy que os computadores do terminal usam para se conectarem ao McAfee WGCS. Depois que você assina o McAfee WGCS, a McAfee configura sua conta em todo o sistema de acordo com os produtos e serviços adquiridos, além de enviar um e-mail de boas-vindas. Para ativar a conta, clique no link Ativar no e-mail e forneça um endereço de e-mail e uma senha. Use esse endereço de e-mail e a senha para entrar no console de gerenciamento do McAfee ePO Cloud. No console de gerenciamento, é possível localizar a página de boas-vindas, que fornece estas informações: •
ID do cliente — identifica o cliente de forma exclusiva no sistema e é compartilhado pelo McAfee WGCS e pelo McAfee Client Proxy.
•
Proxy específico de cliente — especifica o nome de domínio necessário para a conexão com o serviço do McAfee WGCS. Esse valor é necessário na configuração dos computadores do terminal para usar o McAfee WGCS como servidor proxy. Se você estiver distribuindo o McAfee Client Proxy para os seus computadores do terminal, precisará desse valor na configuração do endereço do servidor proxy na política do McAfee Client Proxy. O nome de domínio tem este formato: c.saasprotection.com.
Exemplo: c12345678.saasprotection.com
Localizar a página de boas-vindas No console de gerenciamento do McAfee ePO Cloud, localize a página de boas-vindas e as informações necessárias para começar a trabalhar com o McAfee WGCS. Antes de iniciar Você deve ter recebido o endereço de e-mail atribuído à sua conta e a senha.
14
McAfee Web Gateway Cloud Service
Guia de produto
Introdução Configuração da comunicação com o McAfee Client Proxy
2
Tarefa 1
No campo de endereço de uma navegador da Web, insira: manage.mcafee.com.
2
Na página de acesso, forneça valores para o e-mail e a senha. O console de gerenciamento é aberto.
3
Clique no ícone de menu no canto superior esquerdo e selecione Web Protection | Introdução. A página de boas-vindas é aberta.
Configuração da comunicação com o McAfee Client Proxy Para configurar a comunicação entre McAfee WGCS e Client Proxy, é necessário completar estas etapas de alto nível. No console de gerenciamento do McAfee ePO ou McAfee ePO Cloud: 1
Defina uma política do Client Proxy, incluindo as configurações a seguir. a
Endereço do servidor proxy — Para configurar o McAfee WGCS como servidor proxy, especifique o Proxy específico de cliente na página de boas-vindas como o endereço do servidor proxy.
b
ID de cliente exclusiva — (somente McAfee ePO) Especifique a ID de cliente.
c
Senha compartilhada — Especifique a senha compartilhada que o Client Proxy e o McAfee WGCS usam para comunicação.
d
Redirecionamento de tráfego — Defina essa configuração de acordo com o tipo de distribuição do McAfee WGCS: apenas em nuvem ou solução híbrida. Em uma distribuição apenas em nuvem, o Client Proxy sempre redireciona o tráfego em rede para o McAfee WGCS filtrar. Em uma distribuição híbrida, o Client Proxy somente redireciona o tráfego em rede para o McAfee WGCS quando o computador do usuário final está localizado fora da rede e não conectado por VPN.
2
Distribua o software Client Proxy aos computadores dos usuários finais da organização.
3
Atribua a política do Client Proxy aos computadores dos usuários finais.
Alteração da senha compartilhada Depois de alterar a senha compartilhada no console de gerenciamento, aguarde até:
McAfee Web Gateway Cloud Service
Guia de produto
15
2
Introdução Configurando o McAfee WGCS como o servidor proxy
•
O McAfee ePO Cloud distribua a política atualizada do Client Proxy aos computadores dos usuários finais na organização. Esse intervalo depende do valor configurado para a definição Intervalo de imposição de política na política do McAfee Agent. ®
•
O software do Client Proxy para compartilhar a nova senha com o McAfee WGCS. Esse intervalo pode ser de até 20 minutos. A senha compartilhada deve ser sincronizada no McAfee WGCS ou ocorrerá falha na autenticação.
Configurando o McAfee WGCS como o servidor proxy Configure os computadores de seu cliente para usar o McAfee WGCS como o servidor proxy entre sua organização e a nuvem. Prática recomendada: definir as configurações do servidor proxy nos computadores cliente usando o McAfee Client Proxy.
Ou você pode definir as configurações nos navegadores do cliente usando um dos métodos a seguir. •
Configuração manual de proxy — defina manualmente as configurações do servidor proxy em navegadores do cliente individuais seguindo as instruções recomendadas para cada tipo e versão de navegador.
•
Arquivo de configuração automática de proxy (PAC) — Definir as configurações do servidor proxy nos navegadores clientes baixando as instruções de configuração de proxy de um arquivo PAC.
•
Protocolo Web Proxy Auto-Discovery (WPAD) — defina as configurações do servidor proxy nos navegadores do cliente baixando as instruções de configuração de proxy em um arquivo PAC de um servidor WPAD. Você fornece e hospeda o arquivo PAC.
Para configurar o McAfee WGCS como o servidor proxy, especifique o valor Proxy específico de cliente fornecido na página de boas-vindas e o número de porta 80 ou 8080. Exemplo: c12345678.saasprotection.com:8080
Antes de usar o serviço de nuvem Analise as informações sobre a colocação de faixas de endereço IP na lista branca em seu firewall e usando um prefixo de geolocalização.
Colocando faixas de endereços IP na lista branca de seu firewall Se você estiver usando um firewall para restringir o acesso à Internet, configure o firewall para permitir o tráfego para todos os pontos de presença em sua área geográfica. Para obter uma lista completa de faixas de endereço IP em cada área, visite: trust.mcafee.com.
Utilização de um prefixo de geolocalização Ao configurar o McAfee WGCS como o servidor proxy, você pode incluir um prefixo que especifique a localização geográfica que você deseja que o Global Routing Manager use durante o roteamento do tráfego. Para obter mais informações e casos de uso, consulte o artigo da Base de dados de conhecimento KB87631.
16
McAfee Web Gateway Cloud Service
Guia de produto
Introdução Gerenciamento de contas
2
Gerenciamento de contas No console de gerenciamento, é possível sincronizar um Active Directory no local com o McAfee ePO Cloud. Também é possível aplicar sua política de proteção na Web aos grupos de usuários locais que você cria e nomeia. •
Sincronização do Active Directory — você cria, preenche e mantém as contas do Active Directory local de sua organização na Árvore de sistemas do McAfee ePO Cloud. Para obter mais informações, consulte o McAfee ePolicy Orchestrator Cloud Product Guide (Guia do produto do McAfee ePolicy Orchestrator Cloud).
•
Recurso de grupo de usuários local — crie e nomeie manualmente grupos de usuários locais e, depois, os adicione a ações de regra de política. Este recurso faz parte da interface de Política de Segurança Unificada | Gerenciamento de políticas.
McAfee Web Gateway Cloud Service
Guia de produto
17
2
Introdução Gerenciamento de contas
18
McAfee Web Gateway Cloud Service
Guia de produto
3
Gerenciamento de políticas
No console de gerenciamento do McAfee ePO Cloud, você gerencia a política de segurança na Web que determina como o McAfee WGCS filtra o tráfego da Web e permite ou bloqueia o acesso a conteúdo da Web, aplicativos e objetos. Conteúdo Modelo de política global Usando o Navegador de políticas Baixar e instalar certificados SSL Trabalho com grupos de usuários Trabalhar com regras e políticas de recursos Exibir logs de auditoria Condições de erro
Modelo de política global O modelo de política do McAfee WGCS é baseado em um conjunto de políticas que é aplicado globalmente em toda a organização. Você configura um conjunto de políticas que é aplicado globalmente a todos os usuários e grupos em sua organização. Para personalizar a aplicação da política definida para usuários ou grupos específicos, você configura exceções às regras que compõem as políticas no conjunto.
Usando o Navegador de políticas A interface do usuário do Navegador de políticas para gerenciamento de políticas é projetada em torno do conceito do fornecimento de informações contextuais. Os tipos de informações apresentadas
McAfee Web Gateway Cloud Service
Guia de produto
19
3
Gerenciamento de políticas Usando o Navegador de políticas
variam de acordo com as suas opções instaladas, a área atual da interface do usuário e as escolhas feitas. A interface do usuário para gerenciar políticas está organizada para oferecer proteção nas principais áreas de recursos pertinentes aos produtos e serviços da McAfee que você usa.
Figura 3-1 Navegador de políticas do McAfee Web Gateway Cloud Service padrão (todos os recursos são recolhidos para maior clareza)
Essas áreas de recursos principais são: •
Configurações globais, onde é mantida a Lista branca de URLs global e a Lista negra global aplicáveis a todos os usuários e políticas.
•
Mecanismo de varredura SSL, onde são definidas as configurações de varredura SSL.
•
Reputação na Web, onde são mantidas as configurações relativas às ações tomadas quando sites com níveis diferentes de reputação são encontrados.
•
Filtro de categorias da Web, onde você define as configurações de varredura baseadas em categorias, protegendo seus usuários contra categorias de sites inadequadas.
•
Filtro de aplicativo Web, onde você configura os aplicativos baseados na Web que os usuários podem usar.
•
Filtro de tipo de mídia, onde são configurados os tipos de formatos de arquivo que os seus usuários podem acessar.
•
Filtro antimalware, onde são definidas configurações relativas à filtragem de malware.
Exibição de políticas de recursos Em cada área de recurso principal da interface do usuário, há uma ou mais políticas de recursos relativas a essa área. As políticas de recursos podem ser utilizadas para fornecer diferentes níveis de restrição nas áreas de recursos principais a que se referem. Cada política tem seu próprio conjunto de regras e exceções. Por exemplo, uma política de recurso restritiva provavelmente tem regras e exceções para bloquear o acesso da maioria dos usuários à maioria dos locais. Uma política tolerante tem regras configuradas para permitir o acesso da maioria dos usuários à maioria dos locais. Por padrão, seu produto inclui várias políticas para cada área de recurso. Essas políticas são definidas com configurações comumente utilizadas para diferentes setores corporativos, educacionais e governamentais. Por exemplo, algumas organizações preferem configurações menos restritivas, para
20
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Usando o Navegador de políticas
3
que seus funcionários ou alunos possam fazer o melhor comercial ou educacional da Internet. Um Departamento de defesa precisa ser muito mais restritivo quanto às políticas para a utilização da Internet. Na maioria das situações, é útil manter duas políticas para cada recurso: uma a ser utilizada em situações normais do dia a dia e outra, mais restritiva, para a investigação de uma preocupação com a segurança.
Para exibir as políticas de recursos disponíveis para cada área de recurso, selecione cada uma das políticas clicando na seta suspensa relacionada.
Figura 3-2 Exiba as políticas selecionando-os na lista suspensa de políticas
Depois que a lista suspensa de políticas de recursos for expandida para a área de recurso selecionada, todas as políticas de recursos relacionadas a essa área serão exibidas. Em cada diretiva, você pode configurar qualquer número de regras.
McAfee Web Gateway Cloud Service
Guia de produto
21
3
Gerenciamento de políticas Usando o Navegador de políticas
Detalhes da política Clique no nome de uma política de recurso — por exemplo, Limitado ou Permissivo — para exibir o painel Detalhes da política à direita da interface do usuário.
Figura 3-3 Painel Detalhes da política para políticas do McAfee Web Gateway Cloud Service
No painel Detalhes da política, você pode ver o nome da política de recurso, bem como exibir e editar as páginas de bloqueio usadas pela política de recurso. Você também pode copiar a página de bloqueio e utilizá-la para criar outra página de bloqueio. É possível exibir os detalhes de qualquer política, esteja ela ativada ou desativada. Se você exibir uma política que não esteja ativada, o ícone de atribuição de política desativada será exibido, indicando que não está em uso no momento.
Também é possível exibir informações específicas da política de recurso: Tabela 3-1 Informações específicas da política de recurso Política de recurso
Informações adicionais
Mecanismo de varredura SSL Link Baixar pacote de certificados SSL Filtro de categorias da Web
• Caixa de seleção Bloquear sites não categorizados A seleção de Bloquear sites não categorizados faz com que todos os sites não categorizados sejam bloqueados, mesmo se esses sites estiverem listados na Lista branca de URLs contida nas áreas subsequentes.
• Caixa de seleção Impor pesquisa segura Se você navegar para outra política de recurso, o painel Detalhes da política permanecerá aberto, mas não será atualizado até que você clique no novo nome de política de recurso. Se você adicionar ou selecionar uma regra enquanto o painel Detalhes da política estiver aberto, o painel Detalhes da política será fechado e substituído pelo painel Detalhes da regra.
22
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Usando o Navegador de políticas
3
Exibição de regras Cada política de recurso contém um conjunto de regras. As regras são executadas de cima para baixo. Cada uma delas é configurada para realizar a ação selecionada quando há correspondência.
Figura 3-4 Exemplo de regras de política de recurso
Cada política de recurso pode conter tipos específicos de regras. Tabela 3-2 Tipos de regras Recurso
Regras permitidas
Configurações globais
Lista branca de URLs global — uma lista de URLs que são considerados 'seguros' e que são avaliados antes de outras regras. As solicitações na Web para um URL contido na Lista branca de URLs global são permitidas, e todas as outras regras são ignoradas. Lista negra global
Mecanismo de varredura SSL
Lista branca de URLs — uma lista de URLs que são aplicados ao recurso Mecanismo de varredura SSL. Categoria da Web SSL Aplicativo Web SSL todos os outros túneis SSL (regra genérica)
Reputação na Web
Lista branca de URLs — uma lista de URLs que são aplicados ao recurso Mecanismo de varredura SSL. Reputação na Web
Filtro de categorias da Web
Lista branca de URLs — uma lista de URLs que são aplicados ao recurso Filtro de categorias da Web. Categoria da Web todos os outros sites (regra genérica)
McAfee Web Gateway Cloud Service
Guia de produto
23
3
Gerenciamento de políticas Usando o Navegador de políticas
Tabela 3-2 Tipos de regras (continuação) Recurso
Regras permitidas
Filtro de aplicativo Web
Lista branca de URLs — uma lista de URLs que são aplicados ao recurso Filtro de aplicativo Web. Aplicativo Web todos os outros aplicativos (regra genérica)
Filtro de tipos de mídia
Lista branca de URLs — uma lista de URLs que são aplicados ao recurso Filtro de tipo de mídia. Tipo de mídia todas as outras mídias (regra genérica)
Filtro antimalware
Lista branca de URLs — uma lista de URLs que são aplicados ao recurso Filtro antimalware. Antimalware
Detalhes da regra Clique em uma regra para exibir o painel Detalhes da regra à direita da interface do usuário. Nesse painel, é possível ver o nome da regra e também se ela está ativada ou desativada. Também é possível ver a ação principal configurada, juntamente com quaisquer exceções definidas.
Figura 3-5
Painel Detalhes da regra
A área superior do painel Detalhes da regra mostra o objeto principal — ou seja, o objeto ou a lista à qual a regra se aplica — e o status. O menu Detalhes da regra
contém:
Tabela 3-3 Menu Detalhes da regra Item do menu Descrição Ativar regra
Ativa a regra selecionada no momento para que ela seja usada para avaliar as solicitações da Web dos seus usuários.
Desativar regra
Para evitar que uma regra seja usada para avaliar as solicitações da Web dos seus usuários, selecione Desativar regra.
Adicionar ação
Quando aplicável aos recursos e regras selecionados, adicione mais ações à regra.
Fechar
Feche o cartão de Detalhes da regra. O objeto principal muda, dependendo do contexto — à medida que você seleciona diferentes tipos de regras, somente os objetos principais relevantes são exibidos.
A ação principal atualmente selecionada é exibida.
24
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Usando o Navegador de políticas
3
Tabela 3-4 Ações principais disponíveis para os diferentes tipos de regras Tipo de regra
Ações principais disponíveis
Regras de aplicativo
Permitir, Bloquear
Regras de antimalware
Permitir, Bloquear, Enviar arquivos, Ignorar
Notas
Não é possível criar regras de Antimalware. As ações Enviar arquivos e Ignorar estão disponíveis somente quando o serviço do Cloud Threat Detection tiver sido comprado.
Lista negra de URL global
Bloquear
Regras genéricas
Permitir, Bloquear
Lista branca de URLs global
Sempre permitir
Regras de tipo de mídia
Permitir, Bloquear
Regras de Reputação na Web
Permitir, Bloquear
Não é possível criar regras de Lista negra; a única lista negra pertence ao recurso Configurações globais.
• Não é possível editar o objeto principal da Reputação na Web. • Não é possível criar regras de Reputação na Web.
Regras de mecanismo de varredura SSL
Inspecionar, Não inspecionar
Regras de categoria da Web
Permitir, Bloquear
Regra de lista branca de URLs
Permitir
Em cada ação principal, quaisquer objetos de exceção configurados — quando permitidos — são exibidos. Tabela 3-5 Descrições das ações Ação
Descrição
Permitir/Bloquear
Uma ação Permitir faz com que a solicitação da Web ignore o recurso atual e passe para o próximo recurso da lista, de cima para baixo. A ação Bloquear interrompe todo o processamento posterior e bloqueia a solicitação.
Permitir sempre
Aplicável apenas à Lista branca de URLs global, Sempre permitir permite a passagem da solicitação da Web e interrompe o processamento posterior pelos recursos restantes.
Inspecionar/Não inspecionar
A ação Inspecionar faz com que as informações de SSL sejam descriptografadas antes de passarem para o próximo recurso da lista. Não inspecionar impede que as informações de SSL sejam descriptografadas, efetivamente interrompendo todos o processamento posterior pelos recursos restantes.
Enviar arquivos/Ignorar (somente disponível para o serviço do Cloud Threat Detection)
McAfee Web Gateway Cloud Service
A ação Enviar arquivos encaminha os arquivos para o serviço do Cloud Threat Detection para análise posterior. A ação Ignorar evita que o arquivo seja enviado para o serviço do Cloud Threat Detection.
Guia de produto
25
3
Gerenciamento de políticas Usando o Navegador de políticas
Importância da ordem das regras Quando uma ação Permitir sempre é disparada, todas as regras subsequentes são ignoradas e não são avaliadas em relação à solicitação atual. Para ações Permitir, todas as regras restantes na política de recurso atual são ignoradas, e o processamento continua na próxima política de recurso. Para as ações Permitir ou Sempre permitir, o item de disparo é permitido. Considere a ordem em que você classifica suas regras para cada política de recurso. Coloque as regras mais rígidas no topo da lista de regras, seguidas pela regra genérica final como a última da lista.
Importância da ordem das ações A ação posicionada na parte inferior do painel Detalhes da regra é considerada a ação principal e atua como a ação genérica. Por exemplo, se a última ação for Bloquear, qualquer tráfego que não corresponda às ações acima dela será bloqueada. Consulte também Ativar ou desativar uma regra na página 33
Detalhes de objeto O painel Detalhes de objeto fornece um método para exibir itens relevantes de suas regras.
Figura 3-6 Painel de detalhes do objeto
As informações exibidas no painel Detalhes de objeto mudam à medida que você se movimenta pelo fluxo de trabalho de suas tarefas. Essa mudança de informações garante que você tenha sempre as opções relacionadas a seu fluxo de trabalho atual. Por exemplo, quando a regra de Reputação na Web for selecionada, você poderá ativar ou desativar a regra e adicionar exceções. Não é possível editar a descrição da regra de Reputação na Web. Quando permitido pelo estágio atual do fluxo de trabalho, você poderá editar os itens exibidos no objeto selecionado. Algumas áreas da interface do usuário podem conter um grande número de entradas selecionáveis. Essas áreas incluem um campo de pesquisa para você poder localizar mais facilmente os itens que está procurando.
Regras genéricas As regras genéricas oferecem um método para configurar políticas de recursos de forma que uma ação pode ser executada caso nenhuma outra regra seja disparada. As regras genéricas são exibidas na parte inferior da lista de regras para as políticas de recursos relevantes e não podem ser excluídas nem reordenadas. Esse tipo de regra pode ser desativado.
26
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Baixar e instalar certificados SSL
3
Exibindo catálogos Os catálogos contêm grupos de dados relacionados, por exemplo, páginas de bloqueio, listas de categorias da Web, listas de tipos de aplicativo Web e listas de tipos de mídia. O painel de Catálogo é exibido no lado direito da tela.
Figura 3-7 Painel de Catálogo
O conteúdo do painel de catálogo varia dependendo das regras e área de recurso selecionadas.
Baixar e instalar certificados SSL A instalação de certificados SSL permite que o McAfee WGCS faça a varredura do tráfego SSL. Os certificados devem ser instalados em cada dispositivo utilizado para a comunicação com o McAfee WGCS. Informações detalhadas sobre a instalação de certificados SSL em diferentes navegadores e sistemas operacionais estão incluídas no pacote de certificados. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione Mecanismo de varredura SSL.
3
Clique no nome da política, por exemplo, Cobertura limitada, ou Somente transferências de arquivos, à direita da área Mecanismo de varredura SSL. O painel Detalhes da política é exibido à direita da tela.
4
Clique em Baixar pacote de certificados SSL. Quando solicitado, salve o arquivo. zip localmente.
5
Extraia os arquivos do arquivo. zip.
6
Siga as instruções para seus navegadores e sistemas operacionais no documento Importing_Certificate_into_Browsers.pdf (incluído no arquivo .zip do pacote de certificados).
Trabalho com grupos de usuários Configure grupos de usuários locais ou use os Serviços do Active Directory para se conectar a seu Active Directory a fim de aplicar políticas a diferentes grupos de usuários.
McAfee Web Gateway Cloud Service
Guia de produto
27
3
Gerenciamento de políticas Trabalho com grupos de usuários
Tarefas •
Sincronização do Active Directory na página 28 Ao integrar os grupos de usuários do Active Directory às políticas de proteção na Web, você pode criar políticas para serem aplicadas a grupos específicos de usuários.
•
Adicionar um grupo de usuários local na página 28 Você pode adicionar grupos de usuários locais às suas políticas de recursos para personalizar a proteção de seus usuários.
•
Editar o grupo de usuários local na página 28 Uma tarefa comum para um administrador é a edição de detalhes do grupo de usuários local.
Sincronização do Active Directory Ao integrar os grupos de usuários do Active Directory às políticas de proteção na Web, você pode criar políticas para serem aplicadas a grupos específicos de usuários. Consulte o capítulo Sincronização do Active Directory no Guia de produto do McAfee ePolicy Orchestrator Cloud para obter informações detalhadas sobre a sincronização do seu AD local.
Adicionar um grupo de usuários local Você pode adicionar grupos de usuários locais às suas políticas de recursos para personalizar a proteção de seus usuários. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área de recurso, selecione a política de recurso e a regra às quais deseja adicionar o grupo de usuários local.
4
No painel Detalhes da regra, selecione usuários.
editar para a ação à qual deseja adicionar o novo grupo de
Não é possível adicionar um grupo de usuários ação principal atual.
5
Clique no botão do ícone de Menu no painel de grupos de usuários.
6
Clique em Novo grupo de usuários.
7
(Opcional) Digite um nome para o grupo de usuários.
8
Clique em Salvar para atualizar a regra.
Editar o grupo de usuários local Uma tarefa comum para um administrador é a edição de detalhes do grupo de usuários local. Tarefa
28
1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Selecione o grupo de usuários local a ser editado.
4
Clique no botão do ícone de Menu no painel de detalhes do grupo.
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
5
Clique em Editar.
6
Digite o novo nome do grupo de usuários.
7
Clique em Salvar para atualizar o grupo de usuários.
3
Trabalhar com regras e políticas de recursos Use as tarefas a seguir ao criar ou alterar regras e políticas de recursos. Tarefas •
Adicionar uma regra na página 29 Você pode adicionar regras às suas políticas de recursos para personalizar a proteção de seus usuários.
•
Criar uma regra importando uma lista de URLs na página 30 Você pode criar uma regra de lista de URLs importando para uma lista de URLs um arquivo .csv que contenha os URLs. Depois, você pode adicionar essa lista de URLs à nova regra.
•
Criar uma regra usando exceções na página 31 Crie uma regra complexa usando exceções para especificar grupos de usuários e aplicativos conectados.
•
Alterar uma regra na página 33 Existem várias formas de alterar regras de acordo com seus requisitos de proteção.
•
Reordenar as regras na página 40 Mova as regras para alterar a ordem na qual elas são aplicadas. A ordem em que as regras são aplicadas depende da ordem em que elas aparecem na política — as regras são aplicadas de cima para baixo.
•
Excluir uma regra na página 40 A exclusão de regras indesejada permite organizar e compreender mais facilmente as suas políticas de recursos.
•
Alterar uma política de recurso na página 41 Você pode alterar políticas de recursos de acordo com seus requisitos de proteção.
•
Alterar a Atribuição de política na página 45 Cada recurso pode ter apenas uma política de recurso ativa aplicada a ele por vez. Use esta tarefa para alterar a política de recurso atribuída a um recurso.
Adicionar uma regra Você pode adicionar regras às suas políticas de recursos para personalizar a proteção de seus usuários. O local onde a nova regra é posicionada depende das opções que você escolher e daquelas que estão selecionadas no momento:
McAfee Web Gateway Cloud Service
Guia de produto
29
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
•
Se houver uma regra existente selecionada, a nova regra será colocada imediatamente acima da regra selecionada.
•
Se você não tiver uma regra selecionada, a nova regra será posicionada na parte inferior da área de proteção principal selecionada. Se houver uma regra genérica, a nova regra será posicionada acima dessa regra genérica.
•
Se você optar por adicionar uma lista branca, ela será posicionada abaixo da última regra de lista branca no navegador. Não será possível adicionar uma regra se você estiver no modo de edição; por exemplo, se estiver editando os detalhes de outra regra. Alguns tipos de regra — como as regras de antimalware e as de reputação na Web — são criados por padrão, e não é possível adicionar mais regras desses tipos.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Policy Browser (Navegador de política), clique no ícone recurso e selecione Nova regra.
3
No painel Catálogo, selecione o tipo de catálogo desejado na lista suspensa.
Menu de ação da política ou regra do
Os catálogos pertinentes serão exibidos. 4
Clique no botão
Adicionar ao lado do catálogo a ser usado.
Prática recomendada: use o campo Pesquisar para filtrar os itens disponíveis para seleção. Para remover. limpar o campo Pesquisar, clique no ícone de
5
Clique em Salvar.
6
Selecione as ações necessárias.
7
Clique em Salvar.
Consulte também Alterar os Detalhes da regra na página 34
Criar uma regra importando uma lista de URLs Você pode criar uma regra de lista de URLs importando para uma lista de URLs um arquivo .csv que contenha os URLs. Depois, você pode adicionar essa lista de URLs à nova regra. Antes de iniciar Certifique-se de que você tenha um arquivo de valores separados por vírgulas contendo a lista de URLs a ser importada. Opcionalmente, o arquivo pode incluir uma linha de cabeçalho. A lista deve conter valores separados por vírgulas. Cada linha contém um único URL, seguido pelo separador "," e por "true" ou "false". Adicionar "true" indica que o URL tem o parâmetro "Todos os subdomínios" selecionado, enquanto "false" desmarca "Todos os subdomínios". O URL e o valor true/false não diferenciam maiúsculas de minúsculas.
Não deve haver espaços nas linhas nem ao final de cada linha.
30
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
3
Por exemplo, as entradas no arquivo podem ter esta aparência: https://www.example.com,true HTTP://SUPPORT.EXAMPLE.NET,FALSE example.org,True Se alguma linha da lista de URLs não estiver em conformidade com o formato obrigatório, um erro será exibido e a importação do arquivo falhará.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Na interface Policy Browser (Navegador de política), clique no ícone de ou de uma regra relacionada à regra a ser adicionada.
3
Selecione Nova regra de lista branca de URLs.
4
No Catálogo de lista de URLs, clique no ícone do
5
Na caixa de diálogo Importar lista, navegue até a lista de URLs criada anteriormente.
menu da política de recurso
menu Catálogo e selecione Importar nova lista de URLs.
Se o arquivo .csv incluir uma primeira linha com informações de cabeçalho, certifique-se de selecionar Esse arquivo contém uma linha de cabeçalho.
6
Clique em Importar. O conteúdo do arquivo será usado para criar uma regra de lista de URLs. Se houver URLs duplicados no arquivo .csv, a importação será pausada e você será notificado sobre as entradas duplicadas. Você poderá, então, optar por continuar com a importação ou por encerrar sem importar a lista de URLs.
7
Depois que os URLs listados no arquivo tiverem sido importados, aceite o nome de lista de URLs padrão ou digite um novo nome para a lista. Por padrão, a nova lista leva o nome do arquivo .csv usado para importar a lista de URLs.
8
Clique em Salvar.
9
Para adicionar a lista à nova regra, clique no ícone recém-adicionada.
Adicionar à direita da lista de URLs
10 Aceite o nome de regra padrão ou digite um novo nome. Por padrão, a nova lista leva o nome da lista de URLs selecionada.
11 Clique em Salvar. Consulte também Exportar uma lista de URLs na página 38
Criar uma regra usando exceções Crie uma regra complexa usando exceções para especificar grupos de usuários e aplicativos conectados. Esta tarefa cria a regra discutida no exemplo fornecido no tópico Como usar exceções: Vamos supor que você esteja criando uma regra para garantir a conformidade com a legislação americana sobre PII (informações de identificação pessoal).
McAfee Web Gateway Cloud Service
Guia de produto
31
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
Nessa regra, você quer monitorar as interações na nuvem que corresponderem à classificação PII dos EUA para seus executivos. Mas, você quer impor o uso de criptografia para os usuários autorizados quando eles moverem arquivos que contenham Informações de identificação pessoal para aplicativos específicos conectáveis na nuvem. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Crie uma nova regra.
3
a
Na interface Policy Browser (Navegador de política), clique no ícone de menu da política ou regra do recurso em Proteção de dados na nuvem.
b
Selecione Nova regra.
Atribua o tipo de regra necessário. a
Em Catálogo, selecione Classificações na lista suspensa. Será exibido o catálogo de classificações disponíveis.
b
No catálogo, clique no botão de
adição à direita da entrada PII EUA.
No painel Detalhes da regra, você verá que o nome da regra é PII EUA. 4
Atribua os grupos de usuários necessários. a
No painel Detalhes da regra, clique no ícone de
edição localizado ao lado da opção Monitorar.
No painel Catálogo, será exibida a lista de Grupos de usuários. b
Clique no botão de
adição à direita de Executivos.
Agora, a ação Monitorar está vinculada ao grupo de usuários Executivos. c
No painel Detalhes da regra, clique no ícone de
menu e selecione Adicionar ação.
A opção Aplicar criptografia é selecionada por padrão e agora a regra pode ser editada. d
No painel Catálogo, selecione Grupos de usuários permitidos clicando no botão de
adição.
Agora, a ação Aplicar criptografia está vinculada aos Grupos de usuários permitidos. 5
Atribua os conectores de nuvem necessários. a
No painel Catálogo, selecione Connectable Applications (Aplicativos conectáveis) no menu suspenso. No painel Catálogo, será exibida a lista de Connectable Applications (Aplicativos conectáveis).
b
Clique no botão de
adição à direita de um aplicativo.
Agora, a ação Aplicar criptografia está vinculada ao aplicativo e pode ser aplicada aos Grupos de usuários permitidos. 6
No painel Detalhes da regra, clique em Salvar.
Consulte também
32
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
3
Alterar uma regra Existem várias formas de alterar regras de acordo com seus requisitos de proteção. Tarefas •
Ativar ou desativar uma regra na página 33 Nem todas as regras de uma política de recurso precisam estar ativas em qualquer momento determinado. Você pode ativar ou desativar regras de acordo com suas necessidades.
•
Alterar os Detalhes da regra na página 34 No painel Detalhes da regra, você pode adicionar ou remover exceções de grupo de usuários ou editar os objetos principais da regra selecionada.
•
Adicionar uma ação a uma regra na página 35 Adicione mais ações a regras.
•
Alterar a ação principal na página 35 A ação principal para uma regra pode ser considerada como a ação genérica. No painel Detalhes da regra, a ação principal é exibida na parte inferior do painel.
•
Alterar uma ação na página 35 Quando há várias ações disponíveis para uma regra, você pode alterar a ação selecionada.
•
Remove uma ação de uma regra na página 36 Remove ações de regras.
•
Criar uma lista na página 36 Você pode criar listas e adicioná-las às regras de Categorias da Web, Tipos de mídia, Listas de sites e Aplicativos.
•
Adicionar um URL a uma lista de URLs na página 37 Uma tarefa comum para um administrador é a adição de um URL a uma lista de URLs. Essas listas permitem controlar os sites que os usuários podem acessar. As listas de URLs indicam os sites que podem ser adicionados a políticas.
•
Editar um URL em uma lista de URLs na página 37 Uma tarefa comum para um administrador é a manutenção dos URLs contidos nas listas de URLs. Essas listas permitem controlar os sites que os usuários podem acessar.
•
Exportar uma lista de URLs na página 38 A exportação de listas de URLs é uma maneira útil de fazer backup de informações. Você pode, depois, importar as informações exportadas para outras regras ou importá-las para outros sistemas. Os URLs exportados são salvos no formato CSV.
•
Importar uma lista de URLs na página 38 Importar listas é uma forma conveniente de adicionar URLs a seu sistema. A lista de URLs a ser importada deve estar no formato CSV.
•
Usar uma lista de opções para popular uma lista na página 39 Para adicionar itens rapidamente a uma lista, você pode selecioná-los em listas de opções previamente populadas.
Ativar ou desativar uma regra Nem todas as regras de uma política de recurso precisam estar ativas em qualquer momento determinado. Você pode ativar ou desativar regras de acordo com suas necessidades. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
McAfee Web Gateway Cloud Service
Guia de produto
33
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
4
No painel Detalhes da regra, clique no ícone de Desativar regra) entre as opções disponíveis.
Menu e selecione o estado desejado (Ativar regra ou
Se você estiver tentando desativar uma regra genérica, será apresentada outra caixa de diálogo de confirmação. Clique em OK para continuar.
5
Clique em Salvar para prosseguir com a alteração.
Alterar os Detalhes da regra No painel Detalhes da regra, você pode adicionar ou remover exceções de grupo de usuários ou editar os objetos principais da regra selecionada. Alguns tipos de regras têm limitações quanto ao que pode ser editado. Por exemplo, nas regras de antimalware, não é possível alternar entre as ações nem excluir uma regra. É possível ativar ou desativar uma regra de antimalware e adicionar grupos de exceções à ação Bloquear.
Você pode criar exceções para a maioria dos tipos de regra. Por exemplo, você pode ter uma regra que permita que os funcionários acessem a Internet. Você pode, então, definir uma exceção nessa regra que impeça o acesso de usuários convidados e terceirizados. O fluxo de trabalho a seguir mostra como alterar os detalhes da regra para a ação Permitir. A alteração da ação Bloquear usa um fluxo de trabalho semelhante. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
4
No painel Detalhes da regra, certifique-se de que a ação Permitir esteja selecionada. Não é possível editar a ação ativa em Detalhes da regra. Por exemplo, se a ação Permitir estiver ativa e você desejar editar os detalhes de Permitir, primeiramente será preciso ativar a ação Bloquear. Mova Bloquear para o fim da lista de ações. Em seguida, faça as alterações necessárias na ação Permitir.
5
Clique no ícone
6
No Catálogo de grupo, execute um ou mais dos procedimentos a seguir: •
Editar ao lado dePermitir.
Para adicionar um grupo à regra selecionada: no Catálogo de grupo, clique no ícone direita do grupo de usuários a ser adicionado à ação Permitir.
Adicionar à
Se um grupo de usuários já estiver atribuído à ação, o ícone Adicionar não será exibido, já que não é possível adicionar um objeto duas vezes para a mesma ação.
O grupo de usuários selecionado será exibido acinzentado no catálogo e será adicionado à ação Permitir. •
Para remover um grupo da regra selecionada: dos grupos existentes nos Detalhes da regra, clique no ícone Remover do grupo a ser removido. O grupo de usuários selecionado será removido da ação Permitir.
7
34
Clique em Salvar.
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
3
Adicionar uma ação a uma regra Adicione mais ações a regras. Dependendo da regra e da área de recurso selecionadas, é possível adicionar mais ações. Caso nenhuma ação esteja disponível para a regra ou o recurso selecionados, a opção Adicionar ação estará inacessível (em cinza) no menu.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
4
No painel Detalhes da regra, clique no ícone de menu e selecione Adicionar ação. A nova ação será adicionada à regra como a ação secundária.
5
Clique em Salvar.
Alterar a ação principal A ação principal para uma regra pode ser considerada como a ação genérica. No painel Detalhes da regra, a ação principal é exibida na parte inferior do painel. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
4
No painel Detalhes da regra, clique no A ação a ser alterada mostra a
ícone Editar ao lado da ação a ser definida como principal.
lista suspensa.
ícone de lista suspensa.
5
Clique no
6
Clique em Mover para baixo até que a ação selecionada seja a última da lista.
7
Clique em Salvar. A ação selecionada será agora a ação principal.
Alterar uma ação Quando há várias ações disponíveis para uma regra, você pode alterar a ação selecionada. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
4
No painel Detalhes da regra, clique no A ação a ser alterada mostra a
5
Clique no
ícone de edição ao lado da ação a ser alterada.
lista suspensa.
ícone de lista suspensa.
McAfee Web Gateway Cloud Service
Guia de produto
35
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
6
Selecione a ação desejada.
7
Clique em Salvar. Agora, a ação selecionada é usada pelo recurso.
Remove uma ação de uma regra Remove ações de regras. É possível remover ações indesejadas das suas regras. Não é possível remover todas as ações de uma regra. Além disso, não é possível remover a ação principal selecionada no momento.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
4
No painel Detalhes da regra, verifique se a ação a ser removida não é uma ação principal.
5
Clique no ícone editar
6
Clique no ícone da lista suspensa
7
Clique em Salvar.
ao lado da ação a ser removida. e selecione Remover ação.
Criar uma lista Você pode criar listas e adicioná-las às regras de Categorias da Web, Tipos de mídia, Listas de sites e Aplicativos. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Na interface Policy Browser (Navegador de política), clique no ícone de recurso.
3
Selecione a nova regra apropriada para o recurso selecionado.
menu da política e regra do
Uma nova regra em branco será criada com o catálogo relevante exibido abaixo do painel Detalhes da regra. 4
Clique no ícone de menu no catálogo abaixo do painel Detalhes da regra e selecione a nova opção de lista aplicável ao seu tipo de regra selecionado.
5
Renomeie a lista conforme o necessário.
6
Para exibir os itens disponíveis, expanda as listas de seleção agrupadas no minicatálogo. Para Adicionar adjacentes. adicionar itens à nova lista, clique nos ícones Se você estiver criando uma lista para Listas de URLs, não haverá listas de opções disponíveis. Em vez disso, digite os URLs necessários ou copie e cole uma lista de URLs no campo URL.
7
36
Clique em Salvar para adicionar a nova lista à sua configuração.
McAfee Web Gateway Cloud Service
Guia de produto
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
Adicionar um URL a uma lista de URLs Uma tarefa comum para um administrador é a adição de um URL a uma lista de URLs. Essas listas permitem controlar os sites que os usuários podem acessar. As listas de URLs indicam os sites que podem ser adicionados a políticas. As listas negras e brancas são semelhantes a outras listas de URLs, com as seguintes exceções:
•
A Lista branca global de URL têm apenas a ação Sempre permitir.
•
As listas brancas específicas de recurso têm apenas a ação Permitir.
•
As listas negras têm apenas a ação Bloquear.
•
Não é possível configurar exceções para listas negras ou brancas.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso, a regra e a lista de URLs a serem alteradas.
4
No painel de detalhes da lista de URLs, clique no ícone do menu pop-up.
Catálogo de URLs e selecione Editar no
O painel Adicionar URL é exibido abaixo do painel de detalhes da lista de URLs. 5
Clique no painel Adicionar URL e digite o URL a ser adicionado à lista de URLs. Você também pode copiar e colar um URL, ou uma lista de URLs, nesse campo. O URL é verificado à medida que você o digita no painel Adicionar URL, a fim de evitar a adição de entradas duplicadas.
6
(Opcional) Selecione Todos os subdomínios. Selecionar Todos os subdomínios adiciona à lista de URLs todos os sites disponíveis no URL inserido. Por exemplo, inserir google.com e selecionar Todos os subdomínios incluirá maps.google.com, news.google.com e mail.google.com.
7
Clique em Adicionar para incluir o novo URL junto com os exibidos no painel de detalhes da lista de URLs. Até que você clique em Adicionar ou Limpar, não poderá fazer outras alterações à lista de URLs.
8
Clique em Salvar para atualizar a regra.
Editar um URL em uma lista de URLs Uma tarefa comum para um administrador é a manutenção dos URLs contidos nas listas de URLs. Essas listas permitem controlar os sites que os usuários podem acessar. As listas de URLs indicam os sites que podem ser adicionados a políticas. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
4
No painel de detalhes da lista de URLs, selecione o URL a ser editado.
McAfee Web Gateway Cloud Service
Guia de produto
37
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
5
Clique no ícone do
Catálogo de URLs e selecione Editar.
O URL selecionado é exibido no painel de edição de URL, abaixo do painel de detalhes da lista de URLs. 6
Faça as alterações necessárias ao URL selecionado.
7
Clique em Concluído para incluir o URL editado junto com os exibidos no painel de detalhes da lista de URLs. Para adicionar um URL em vez de editar o URL selecionado, clique no ícone
8
Adicionar.
Clique em Salvar para atualizar a regra.
Exportar uma lista de URLs A exportação de listas de URLs é uma maneira útil de fazer backup de informações. Você pode, depois, importar as informações exportadas para outras regras ou importá-las para outros sistemas. Os URLs exportados são salvos no formato CSV. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Selecione a regra que contém a lista de URLs a ser exportada para um arquivo CSV.
3
No painel Detalhes da regra, clique no ícone selecione Exportar.
4
Siga o fluxo de trabalho para o navegador que você está usando para salvar o arquivo.
Catálogo de URLs do painel de detalhes do objeto e
A lista de URLs será salva em um arquivo nomeado de acordo com o objeto sitelist. Por exemplo, a exportação da lista de URLs de um sitelist chamado URLs bloqueados cria uma lista chamada URLs bloqueados.csv. O arquivo contém uma linha de cabeçalho com os seguintes nomes de coluna: URL
Subdomínio (True/False)
Ela também contém uma linha para cada URL da lista.
Importar uma lista de URLs Importar listas é uma forma conveniente de adicionar URLs a seu sistema. A lista de URLs a ser importada deve estar no formato CSV. Antes de iniciar Certifique-se de que você tenha um arquivo de valores separados por vírgulas contendo a lista de URLs a ser importada. Opcionalmente, o arquivo pode incluir uma linha de cabeçalho. A lista deve conter valores separados por vírgulas. Cada linha contém um único URL, seguido pelo separador "," e por "true" ou "false". Adicionar "true" indica que o URL tem o parâmetro "Todos os subdomínios" selecionado, enquanto "false" desmarca "Todos os subdomínios". O URL e o valor true/false não diferenciam maiúsculas de minúsculas.
Não deve haver espaços nas linhas nem ao final de cada linha.
38
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
3
Por exemplo, as entradas no arquivo podem ter esta aparência: https://www.example.com,true HTTP://SUPPORT.EXAMPLE.NET,FALSE example.org,True Se alguma linha da lista de URLs não estiver em conformidade com o formato obrigatório, um erro será exibido e a importação do arquivo falhará.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Selecione a regra para a qual deseja importar os URLs.
3
No painel Detalhes da regra, clique no ícone selecione Importar.
4
Navegue até o arquivo .csv que contém os URLs a serem importados.
Catálogo de URLs do painel de detalhes do objeto e
Se o arquivo .csv incluir uma primeira linha com informações de cabeçalho, selecione Este arquivo contém uma linha de cabeçalho.
5
Clique em Importar. Será exibida uma mensagem de status. Se houver URLs duplicados no arquivo .csv, a importação será pausada e você será notificado sobre as entradas duplicadas. Você poderá, então, optar por continuar com a importação ou por encerrar sem importar a lista de URLs.
6
Para substituir quaisquer URLs existentes pelos valores importados, clique em Substituir.
7
Clique em Salvar.
Usar uma lista de opções para popular uma lista Para adicionar itens rapidamente a uma lista, você pode selecioná-los em listas de opções previamente populadas. As listas de opções são usadas para selecionar itens nos catálogos das seguintes áreas de recurso: •
Filtro de categorias da Web
•
Filtro de aplicativo Web
•
Filtro de tipo de mídia Todos os itens já incluídos na lista selecionada serão mostrados como não disponíveis na lista de opções.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Na área do recurso, selecione a política de recurso e a regra a serem alteradas.
4
Clique no ícone da
McAfee Web Gateway Cloud Service
lista de opções.
Guia de produto
39
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
5
Selecione a lista à qual os itens estão sendo adicionados. Dependendo da lista selecionada, as listas de opções relevantes serão exibidas.
6
Clique no ícone
Adicionar à direita do item a ser adicionado à lista selecionada.
Prática recomendada: usar o campo Pesquisar para filtrar os itens disponíveis para seleção. Para limpar o campo Pesquisar, clique no ícone Remover.
O item é adicionado à lista. 7
Clique em Salvar para adicionar os itens selecionados à lista.
Reordenar as regras Mova as regras para alterar a ordem na qual elas são aplicadas. A ordem em que as regras são aplicadas depende da ordem em que elas aparecem na política — as regras são aplicadas de cima para baixo. Não é possível reordenar uma regra genérica, já que esse tipo de regra precisa ser exibido na parte inferior da lista.
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Selecione a regra a ser movida.
4
Clique no ícone do
menu de recursos.
Não é possível reordenar as regras quando a regra está no modo de edição. Se a regra estiver sendo editada, salve ou cancele suas alterações antes de reordenar as regras.
5
Clique em Reordenar regra. Os ícones mover para cima e mover para baixo ícones são exibidos à direita da regra selecionada.
6
Clique no ícone Mover para cima ou posição desejada.
7
Quando a regra estiver na posição desejada da lista de regras, clique em Salvar para manter a nova ordem das regras.
Mover para baixo até que a regra selecionada esteja na
Excluir uma regra A exclusão de regras indesejada permite organizar e compreender mais facilmente as suas políticas de recursos. Não é possível excluir:
40
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
•
Regras "genéricas"
•
Regras de Reputação na Web
•
Regras de antimalware
3
Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
No Navegador de políticas, selecione o recurso a ser alterado.
3
Selecione a regra a ser excluída.
4
Clique no ícone do
5
Clique em Excluir para confirmar a exclusão.
menu Ação e selecione Excluir regra.
A regra será excluída permanentemente da política.
Alterar uma política de recurso Você pode alterar políticas de recursos de acordo com seus requisitos de proteção. Tarefas •
Editar os Detalhes da política na página 41 No painel Detalhes da política, você pode editar o nome da política.
•
Criar uma página de bloqueio na página 42 As páginas de bloqueio são exibidas quando os usuários são impedidos de acessar um URL ou documento em particular ou de fazer alguma outra solicitação na Web. Você pode criar diferentes páginas de bloqueio para políticas de recursos individuais.
•
Editar uma página de bloqueio na página 43 As páginas de bloqueio são exibidas para os usuários quando sua solicitação da Web é bloqueada. É possível editar o conteúdo das páginas de bloqueio para que ele seja relevante às necessidades de sua organização.
•
Selecionar uma página de bloqueio diferente na página 45 As páginas de bloqueio fornecem informações aos usuários sobre solicitações da Web que foram bloqueadas por suas regras e políticas configuradas. Selecione as páginas de bloqueio apropriadas para cada política de recurso.
Editar os Detalhes da política No painel Detalhes da política, você pode editar o nome da política. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Na lista suspensa de políticas do cabeçalho de recurso do navegador de políticas, selecione a política de recurso a ser alterada.
3
Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido.
4
No painel Detalhes da política, clique na caixa de texto e altere o nome da política de recurso. Para alguns tipos de recurso — por exemplo, Mecanismo de varredura SSL, Filtro de categorias da Web, — você pode também ativar opções específicas do recurso.
5
Clique em Salvar para manter suas alterações.
McAfee Web Gateway Cloud Service
Guia de produto
41
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
Criar uma página de bloqueio As páginas de bloqueio são exibidas quando os usuários são impedidos de acessar um URL ou documento em particular ou de fazer alguma outra solicitação na Web. Você pode criar diferentes páginas de bloqueio para políticas de recursos individuais. Antes de iniciar Certifique-se de ter selecionado a política para que uma nova página de bloqueio seja criada. Existem dois métodos para criar uma página de bloqueio: •
Criar uma página de bloqueio usando a opção Nova página de bloqueio.
•
Selecionar uma página de bloqueio existente e criar uma cópia.
Esta tarefa mostra o processo para criar uma página de bloqueio e documenta as opções para criar uma página de bloqueio copiando uma página existente. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Na lista suspensa de políticas do cabeçalho de recurso do navegador de políticas, selecione a política de recurso a ser alterada.
3
Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido.
4
Clique no ícone de edição
página de bloqueio no painel Detalhes da política.
O Catálogo de páginas de bloqueio é exibido. 5
Clique no ícone de menu ao lado da página de bloqueio atualmente selecionada e, no menu pop-up, escolha Nova página de bloqueio. Para criar uma cópia de uma página de bloqueio existente, primeiramente selecione a página de bloqueio a ser copiada, clique em no menu pop-up.
Adicionar página de bloqueio e selecione Copiar página de bloqueio
Dependendo da sua seleção, a caixa de diálogo Nova página de bloqueio ou Copiar página de bloqueio será exibida. Para exibir o editor de página de bloqueio utilizando toda a janela do navegador, clique no ícone Minimizar.
6
42
Se necessário, especifique ou altere o nome da página de bloqueio.
McAfee Web Gateway Cloud Service
Guia de produto
Maximizar/
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
7
Crie a página de bloqueio usando as ferramentas fornecidas. É possível editar o nome da página de bloqueio e alterar o conteúdo e a formatação da mensagem. Use os tokens na página de bloqueio para refletir as informações sobre as solicitações da Web que disparam a ação e a mensagem de bloqueio. Tabela 3-6 Tokens disponíveis para uso nas páginas de bloqueio Token
Descrição
{URL}
O URL solicitado.
{REASON}
Uma combinação do motivo para a ação de bloqueio e das especificidades do motivo.
{IP}
O endereço IP do sistema cliente.
{RULE}
O nome da regra atual.
{URL_CATEGORIES}
Uma lista de categorias às quais o URL solicitado corresponde.
{URL_REPUTATION}
A pontuação de reputação do URL solicitado.
{MEDIA_TYPE}
A classificação do Tipo de mídia para o arquivo solicitado.
{MALWARE_PROBABILITY} A probabilidade de que o arquivo seja malicioso. {MALWARE}
A informação sobre o malware detectado
{APPLICATION}
O nome do aplicativo Web.
{USERNAME}
Informações sobre o usuário que fez a solicitação na Web.
{PROXYNAME}
Detalhes do proxy usado (se aplicável).
Para incluir um logotipo na página de bloqueio, insira um link para a imagem usando a ferramenta de hiperlink. Cada página de bloqueio tem um limite máximo de conteúdo de 1 MB.
8
Clique em Salvar. Você pode salvar páginas de bloqueio vazias.
9
Para usar a página de bloqueio recém-criada na política selecionada, clique no ícone página de bloqueio à direita da página de bloqueio.
Adicionar
10 Clique em Salvar.
Editar uma página de bloqueio As páginas de bloqueio são exibidas para os usuários quando sua solicitação da Web é bloqueada. É possível editar o conteúdo das páginas de bloqueio para que ele seja relevante às necessidades de sua organização. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido.
McAfee Web Gateway Cloud Service
Guia de produto
43
3
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
3
Clique no ícone de menu ao lado da página de bloqueio atualmente selecionada e, no menu pop-up, escolha Editar página de bloqueio. Você pode alternar entre a exibição de texto sem formatação padrão da mensagem da página de bloqueio ou pode exibir o código HTML subjacente. Para se movimentar entre esses modos de exibição, clique no ícone
Editar origem.
Para exibir o editor de página de bloqueio utilizando toda a janela do navegador, clique no ícone
4
Maximizar/Minimizar.
Edite a página de bloqueio usando as ferramentas fornecidas. É possível editar o nome da página de bloqueio e alterar o conteúdo e a formatação da mensagem. Use os tokens na página de bloqueio para refletir as informações sobre as solicitações da Web que disparam a ação e a mensagem de bloqueio. Tabela 3-7 Tokens disponíveis para uso nas páginas de bloqueio Token
Descrição
{URL}
O URL solicitado.
{REASON}
Uma combinação do motivo para a ação de bloqueio e das especificidades do motivo.
{IP}
O endereço IP do sistema cliente.
{RULE}
O nome da regra atual.
{URL_CATEGORIES}
Uma lista de categorias às quais o URL solicitado corresponde.
{URL_REPUTATION}
A pontuação de reputação do URL solicitado.
{MEDIA_TYPE}
A classificação do Tipo de mídia para o arquivo solicitado.
{MALWARE_PROBABILITY} A probabilidade de que o arquivo seja malicioso. {MALWARE}
A informação sobre o malware detectado
{APPLICATION}
O nome do aplicativo Web.
{USERNAME}
Informações sobre o usuário que fez a solicitação na Web.
{PROXYNAME}
Detalhes do proxy usado (se aplicável).
Para incluir um logotipo na página de bloqueio, insira um link para a imagem usando a ferramenta de hiperlink. Cada página de bloqueio tem um limite máximo de conteúdo de 1 MB.
5
Clique em Salvar. Você pode salvar páginas de bloqueio vazias.
44
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Trabalhar com regras e políticas de recursos
3
Selecionar uma página de bloqueio diferente As páginas de bloqueio fornecem informações aos usuários sobre solicitações da Web que foram bloqueadas por suas regras e políticas configuradas. Selecione as páginas de bloqueio apropriadas para cada política de recurso. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Clique no nome da política de recurso, por exemplo, Limitada ou Permissiva. O painel Detalhes da política é exibido.
3
No painel Detalhes da política, clique no ícone editar da
Página de bloqueio.
O Catálogo de páginas de bloqueio será exibido, mostrando as páginas de bloqueio disponíveis. 4
Clique no ícone
Adicionar da página de bloqueio necessária.
Prática recomendada: use o campo Pesquisar para filtrar os itens disponíveis para seleção. Para limpar o campo Pesquisar, clique no ícone Remover.
5
Clique em Salvar para manter suas alterações.
Alterar a Atribuição de política Cada recurso pode ter apenas uma política de recurso ativa aplicada a ele por vez. Use esta tarefa para alterar a política de recurso atribuída a um recurso. Antes de iniciar Certifique-se de que o recurso tenha pelo menos duas políticas de recursos configuradas. Tarefa 1
No menu do McAfee ePO Cloud, selecione Política de segurança unificada | Gerenciamento de políticas.
2
Para exibir as políticas disponíveis, selecione a área de recurso principal relevante e clique na seta suspensa de políticas.
Por padrão, a política atualmente ativada é selecionada. 3
Selecione a política desejada na lista.
A barra de cabeçalho do recurso principal se expande, exibindo o botão Ativar a política.
McAfee Web Gateway Cloud Service
Guia de produto
45
3
Gerenciamento de políticas Exibir logs de auditoria
4
Clique em Ativar a política. A caixa de diálogo de confirmação Alterar política é exibida.
5
Clique em Sim para confirmar que você deseja alterar sua política ativa para o recurso principal selecionado. A Atribuição de política passa a ser a política de recurso recentemente selecionada.
Exibir logs de auditoria Os detalhes das alterações feitas às suas políticas são registrados em log na página Log de auditoria do McAfee ePO Cloud. Sempre que uma política ou regra é criada, alterada ou excluída, ou quando as regras são reordenadas, os detalhes das alterações são incluídos no Log de auditoria do McAfee ePO Cloud. Tarefa 1
No menu McAfee ePO Cloud, clique em Gerenciamento de usuários | Log de auditoria. O Log de auditoria é exibido.
2
Para localizar entradas específicas, selecione o período de tempo desejado na lista suspensa Predefinição ou use o campo Localização rápida. Clique em Aplicar. A Localização rápida pesquisa os campos Nome do usuário, Prioridade, Ação e Detalhes.
Os detalhes das alterações feitas em políticas e regras são exibidos para os parâmetros selecionados. Esses detalhes incluem a ID de cada entrada e a hierarquia do objeto ou da regra. Tarefas •
Exportar os logs de auditoria na página 46 Você pode exportar as informações contidas em seus logs de auditoria para análise fora do McAfee ePO Cloud.
Exportar os logs de auditoria Você pode exportar as informações contidas em seus logs de auditoria para análise fora do McAfee ePO Cloud. Antes de iniciar Verifique se você está exibindo logs de auditoria de Gerenciamento de usuários | Log de auditoria no McAfee ePO Cloud. Tarefa
46
1
Procure por entradas específicas de interesse selecionando o período necessário na lista suspensa Predefinição ou usando o campo Localização rápida. Clique em Aplicar.
2
Clique no botão suspenso Ações e selecione Exportar Tabela.
McAfee Web Gateway Cloud Service
Guia de produto
Gerenciamento de políticas Condições de erro
3
3
Defina as informações de configuração para as informações exportadas. Opção
Descrição
Compactar arquivos
Para exportar todos os arquivos em um arquivo .zip, selecione essa opção.
Formato de arquivo
Selecione o formato para as informações exportadas. Se você selecionar saída PDF, defina o tamanho e a orientação da página. Também é possível incluir informações sobre os critérios de filtragem selecionados e adicionar uma folha de rosto ao relatório PDF.
O que fazer com os arquivos Insira os detalhes dos Destinatários, o Assunto e outras informações, exportados conforme exigido para o Corpo da mensagem de e-mail. 4
Clique em Exportar para enviar os logs de auditoria usando os critérios selecionados.
Condições de erro Ao se trabalhar com produtos que incluem interações com servidores Web, algumas condições de erro em potencial podem ocorrer. Essas condições de erro também podem ser causadas pela existência de vários administradores fazendo alterações simultâneas em políticas. Essas condições de erro geralmente se enquadram em uma das seguintes categorias: •
Erros de dados
•
Erros de conexão de rede
•
Erros de gravação
Erros de dados Os erros de dados ocorrem quando os dados não estão disponíveis ou não podem ser encontrados. Os motivos típicos para esses erros de dados são: •
Os dados solicitados foram excluídos ou não podem ser encontrados.
•
Ocorreu um erro no lado do servidor durante o processamento da solicitação de dados.
Se ocorrer um erro de dados, você verá uma mensagem de erro informando que os dados não estão disponíveis. Essa mensagem fornece um botão Recarregar para tentar recarregar os dados. Se os dados ainda não estiverem disponíveis, você será informado de que a nova tentativa não foi bem-sucedida. Se os dados solicitados tiverem sido excluídos, a mensagem de erro fornecerá informações sobre os dados excluídos.
Erros de conexão de rede Assim como em muitos serviços Web, existe o potencial para erros de comunicação entre o sistema que você está utilizando e o servidor Web e o banco de dados que hospeda os serviços. Muitas vezes, os erros de comunicação de rede são de curta duração, e o serviço se reconecta automaticamente quando a comunicação é restaurada. Quando ocorrerem erros de conexão, você terá a opção de tentar estabelecer a conexão manualmente. Se você sair da página atual antes que as conexões de rede sejam restabelecidas, perderá todas as alterações não salvas.
McAfee Web Gateway Cloud Service
Guia de produto
47
3
Gerenciamento de políticas Condições de erro
Erros de gravação Os erros de gravação ocorrem quando um administrador clica em Salvar, mas a gravação é malsucedida. Os motivos para uma gravação malsucedida incluem:
48
•
Um erro geral ocorre quando o servidor está ocupado ou sobrecarregado.
•
Outra pessoa excluiu a regra antes de você tentar salvá-la.
•
Um objeto da regra sendo salva não existe mais.
McAfee Web Gateway Cloud Service
Guia de produto
4
Autenticação
O McAfee WGCS aplica a política de segurança na Web às solicitações da Web de usuários finais depois que eles são autenticados. Conteúdo Decisões de autenticação e política Como o McAfee WGCS implementa as opções de autenticação Como funciona o processo de autenticação Autenticação da faixa de IP Autenticação SAML Autenticação site a site IPsec
Decisões de autenticação e política O McAfee WGCS toma decisões de política com base nas informações retornadas por cada opção de autenticação. •
Autenticação Client Proxy — essa opção é disponibilizada quando o Client Proxy está instalado em computadores do usuário final que executam Windows ou Mac OS X e integrado ao McAfee WGCS. O Client Proxy retorna ao McAfee WGCS a ID da organização e os nomes de todos os grupos aos quais o usuário final pertence. O McAfee WGCS toma as decisões de política com base na associação a grupos.
•
Autenticação de faixa de IP — selecione essa opção quando quiser que o McAfee WGCS autentique usuários finais com base nos respectivos endereços IP. O McAfee WGCS toma decisões de política com base nas faixas de endereços IP configuradas para sua organização.
•
Autenticação SAML — selecione essa opção quando quiser especificar o provedor de identidade que autentica os usuários finais na organização. A autenticação pode ser por qualquer método. Por exemplo, os usuários podem ser autenticados por um serviço do Active Directory local, pelo Facebook ou pelo Google. O resultado da autenticação e as informações de identidade são retornados ao McAfee WGCS em declarações SAML que contenham pares de nome/valor de atributo. O McAfee WGCS toma decisões de política com base no valor do atributo de ID de grupo nas declarações SAML.
•
Autenticação site a site Ipsec — selecione essa opção quando você quiser proteger as comunicações entre sua rede e o McAfee WGCS usando um túnel de VPN IPsec. O McAfee WGCS toma as decisões de política com base na ID do cliente associada ao endereço IP de origem das comunicações de Ipsec recebidas e uma chave pré-compartilhada.
McAfee Web Gateway Cloud Service
Guia de produto
49
4
Autenticação Como o McAfee WGCS implementa as opções de autenticação
Como o McAfee WGCS implementa as opções de autenticação A implementação depende da opção de autenticação. As opções de autenticação são: •
Client Proxy — o software Client Proxy instalado no terminal adiciona cabeçalhos a cada solicitação HTTP ou HTTPS. Os cabeçalhos são criptografados usando o segredo compartilhado. O McAfee WGCS detecta os cabeçalhos, descriptografa-os usando o segredo compartilhado e identifica o usuário final. Configure a autenticação Client Proxy no Catálogo de políticas do console de gerenciamento do McAfee ePO ou do McAfee ePO Cloud. A configuração não é necessária na interface do Web Protection.
•
Faixa de IP — o McAfee WGCS verifica se o endereço IP de origem do pacote TCP que ele recebe está incluído nas faixas de endereços IP que o cliente configurou como seguros. Se o endereço estiver incluído, o McAfee WGCS autorizará a solicitação.
•
SAML — a opção SAML usa a autenticação de cookies. O cookie contém os nomes de usuário e de grupo. Se não houver nenhum cookie na solicitação, o McAfee WGCS redirecionará a solicitação para o serviço de identidade configurado para o nome do domínio do endereço de e-mail inserido pelo usuário final. O serviço de identidade autentica o usuário e redireciona a solicitação novamente para o McAfee WGCS com o cookie. O McAfee WGCS avalia o cookie e extrai a identidade do usuário.
•
IPsec site a site — o IPsec site a site é um protocolo de transporte e não um método de autenticação. O McAfee WGCS autentica o túnel VPN IPsec e o cliente, mas não o usuário final. Se você adicionar a autenticação Client Proxy ou SAML ao IPsec site a site, o McAfee WGCS poderá usar esses métodos para autenticar solicitações recebidas pelo túnel VPN.
Como funciona o processo de autenticação O modo como o McAfee WGCS processa solicitações da Web e realiza a autenticação depende de vários fatores, inclusive do número da porta na qual as solicitações são recebidas e se o IPsec site a site está configurado.
Autenticação Client Proxy O McAfee WGCS verifica e realiza a autenticação Client Proxy antes de qualquer outro método de autenticação. Isso se aplica quando a autenticação IPsec site a site está configurada e quando não está. Você pode combinar a autenticação do usuário fornecida por Client Proxy com a segurança fornecida por IPsec site a site. Para adicionar a autenticação Client Proxy ao IPsec site a site, verifique se o Client Proxy está configurado para usar a porta 80 no redirecionamento de tráfego para o McAfee WGCS.
Autenticação SAML A porta 8084 está reservada para a autenticação SAML. Se as autenticações SAML e IPsec site a site estiverem configuradas, você poderá adicionar a configuração SAML a cada local IPsec.
Processo de autenticação sem o IPsec site a site configurado Quando o IPsec site a site não estiver configurado, o McAfee WGCS processará as solicitações da Web de acordo com o número da porta na qual elas foram recebidas.
50
McAfee Web Gateway Cloud Service
Guia de produto
Autenticação Autenticação da faixa de IP
•
•
4
Portas 80, 8080, 8081 — o McAfee WGCS processa as solicitações da Web recebidas nessas portas da seguinte maneira: 1
Client Proxy — o McAfee WGCS verifica primeiro se há cabeçalhos Client Proxy na solicitação da Web. Se houver, a autenticação Client Proxy será realizada.
2
Faixa de IP — se a solicitação da Web não contiver cabeçalhos Client Proxy, o McAfee WGCS verificará se o endereço IP de origem está incluído nas faixas de endereços IP que o cliente configurou como seguros. Se o endereço IP de origem estiver incluído, o McAfee WGCS autorizará a solicitação.
3
Se nem a autenticação Client Proxy nem a autenticação da faixa de IP for realizada, a solicitação da Web não será autorizada.
Porta 8084 — a autenticação SAML é realizada em todas as solicitações da Web recebidas na porta 8084.
Processo de autenticação usando o IPsec site a site Quando o IPsec site a site está configurado, o McAfee WGCS processa as solicitações da Web recebidas pelo túnel VPN IPsec, como segue: 1
Client Proxy — o McAfee WGCS verifica primeiro se há cabeçalhos Client Proxy na solicitação da Web. Se houver, a autenticação Client Proxy será realizada.
2
SAML — se a solicitação da Web não contiver cabeçalhos Client Proxy, o McAfee WGCS verificará se uma configuração SAML está associada à configuração de IPsec. Se a associação existir, a autenticação SAML será realizada.
3
Se nem a autenticação Client Proxy nem SAML for realizada, o cliente será autenticado, mas o usuário final não será identificado.
Autenticação da faixa de IP Configure faixas de endereços IP que sejam consideradas seguras no console de gerenciamento. Em seguida, o McAfee WGCS autentica os usuários que enviam solicitações da Web desses endereços. Na interface do usuário da autenticação de faixa de IP, é possível: •
Ativar ou desativar a autenticação de faixa de IP.
•
Configurar as faixas de endereços IP.
•
Importar uma lista de faixas de endereços IP.
•
Exportar uma lista de faixas de endereços IP.
Ativar ou desativar a autenticação da faixa de IP Você pode ativar ou desativar a autenticação de faixa de IP conforme a necessidade. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação.
2
Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita.
McAfee Web Gateway Cloud Service
Guia de produto
51
4
Autenticação Autenticação da faixa de IP
3
Para ativar a autenticação de faixa de IP, selecione a caixa de seleção Autenticação da faixa de IP. Para desativar a autenticação da faixa de IP, desmarque a caixa de seleção.
4
Clique em Salvar.
Configuração da autenticação da faixa de IP Você configura faixas de endereços IP usando a notação do Roteamento sem classes entre domínios (CIDR). A notação CIDR especifica: •
Um prefixo de roteamento para uma rede
•
Um endereço IP ou uma faixa na rede especificada
A sintaxe do CIDR consiste em um endereço IPv4 ou IPv6 seguido por uma barra e um número decimal. O número decimal especifica o número de bits no prefixo de roteamento e é chamado de tamanho da rede em bits. As redes IPv4 podem variar em tamanho, de 24 bits a 32 bits. Uma rede IPv4 de 24 bits consiste em 256 endereços. As redes IPv6 podem variar em tamanho, de 120 bits a 128 bits. Uma rede IPv6 de 120 bits consiste em 256 endereços. Protocolo Tamanho da rede (bits)
Notação CIDR (exemplo)
Faixa de endereços IP especificada
IPv4
24–32
127.0.0.0/24
De 127.0.0.0 a 127.0.0.255
IPv6
120-128
2001:db8:1234:0:0:0:0:ff00/120 De 2001:db8:1234:0:0:0:0:ff00 a 2001:db8:1234:0:0:0:0:ffff
Adicionar faixa de endereços IP Ao configurar a autenticação Faixa de IP, você pode adicionar um endereço IP ou uma faixa à lista Faixas de endereços IP. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação.
2
Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita.
3
No menu Faixas de endereços IP, selecione Configurar faixa de IP. O campo de configuração é aberto.
4
Usando uma notação CIDR, insira o endereço IPv4 ou IPv6, ou a faixa, e clique em Adicionar. A entrada é adicionada à lista Faixas de endereços IP.
5
Continue adicionando endereços IP ou faixas, conforme a necessidade, e clique em Salvar.
Alterar uma faixa de endereços IP Ao configurar a autenticação Faixa de IP, você pode alterar um endereço IP ou uma faixa na lista Faixas de endereços IP. Para adicionar um endereço IP ou uma faixa em vez de alterá-los, clique no ícone de adição (+).
52
McAfee Web Gateway Cloud Service
Guia de produto
Autenticação Autenticação da faixa de IP
4
Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação.
2
Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita.
3
No menu Faixas de endereços IP, selecione Configurar faixa de IP. O campo de configuração é aberto.
4
Na lista Faixas de endereços IP, selecione a entrada que deseja alterar. A entrada é exibida no campo de configuração.
5
Edite a entrada e clique em Concluído. A lista Faixas de endereços IP é atualizada com a nova entrada.
6
Continue alterando endereços IP ou faixas, conforme a necessidade, e clique em Salvar.
Excluir uma faixa de endereços IP Ao configurar a autenticação Faixa de IP, você pode excluir um endereço IP ou uma faixa da lista Faixas de endereços IP. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação.
2
Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita.
3
No menu Faixas de endereços IP, selecione Configurar faixa de IP.
4
Para excluir um endereço IP ou uma faixa, clique no ícone de exclusão (x) à direita da faixa.
5
Clique em Salvar.
Importar uma lista de faixas de endereços IP Você pode substituir a lista Faixas de endereços IP com uma lista que você importa de um arquivo .csv. Antes de iniciar Examine essas considerações antes de importar uma lista de faixas de endereços IP de um arquivo .csv: •
O arquivo contém um endereço IP ou faixa por linha.
•
A primeira linha no arquivo pode conter um cabeçalho. Nesse caso, marque a caixa de seleção Este arquivo contém uma linha de cabeçalho ao importar o arquivo.
Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação.
2
Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita.
McAfee Web Gateway Cloud Service
Guia de produto
53
4
Autenticação Autenticação SAML
3
No menu Faixas de endereços IP, selecione Importar lista de faixas de IP. A caixa de diálogo Importar lista é aberta.
4
Navegue até o arquivo .csv com a lista de endereços IP e as faixas que deseja importar e clique em Importar. A caixa de diálogo Status da importação é aberta.
5
Para confirmar a importação, clique em Substituir. Os valores na lista Faixas de endereços IP são substituídos pelos valores no arquivo .csv.
6
Clique em Salvar.
Exportar uma lista de faixas de endereços IP Você pode salvar a lista Faixas de endereços IP em um arquivo .csv para backup, edição ou importação posterior. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação.
2
Na lista suspensa, Configurações de autenticação, selecione Faixa de IP. O painel Detalhes é aberto à direita.
3
No menu Faixas de endereços IP, selecione Exportar lista de faixas de IP. A caixa de diálogo Abrindo IP_range_list_null.csv é aberta.
4
Selecione Salvar arquivo e clique em OK.
5
Especifique um nome de arquivo e local; em seguida, clique em Salvar.
Autenticação SAML Usando a autenticação SAML 2.0, o McAfee WGCS oferece suporte às organizações que querem usar o próprio serviço de identidade para autenticar usuários finais. Além do usuário final, a especificação SAML define estas funções: •
Provedor de identidade — autentica o usuário final e fornece declarações confirmando a identidade do usuário. O provedor de identidade é qualquer serviço de identidade especificado pela sua organização.
•
Provedor de serviços — decide se fornece o serviço solicitado pelo usuário final com base nas informações de identidade recebidas do provedor de identidade. O usuário final está solicitando acesso a um recurso da Web. Como o provedor de serviços, o McAfee WGCS encaminha a solicitação do usuário para a nuvem com as informações de identidade ou a bloqueia.
O provedor de identidade e o provedor de serviços se comunicam usando um protocolo de solicitação/ resposta:
54
McAfee Web Gateway Cloud Service
Guia de produto
Autenticação Autenticação SAML
4
•
Solicitação SAML — o provedor de serviços envia uma solicitação para autenticação ao provedor de identidade.
•
Resposta SAML — o provedor de identidade envia uma resposta com uma ou mais declarações SAML sobre o usuário final ao provedor de serviços.
Benefícios da autenticação SAML A autenticação SAML proporciona os benefícios a seguir. A autenticação SAML: •
Permite qualquer provedor de identidade e método de autenticação, desde que a solicitação de autenticação, a resposta e o resultado sejam trocados usando o protocolo SAML 2.0.
•
Elimina senhas da troca de informações entre as partes do SAML. O McAfee WGCS não requer uma senha de usuário final. Em vez disso, o provedor de identidade compartilha todas as informações de autenticação e identidade na forma de declarações SAML.
Autenticação SAML — etapas de alto nível Antes de aplicar a política da Web da organização ao usuário final, o McAfee WGCS exige as informações de identidade e grupo do usuário fornecidas pelo processo de autenticação SAML. O processo de autenticação SAML consiste nestas etapas de alto nível.
McAfee Web Gateway Cloud Service
Guia de produto
55
4
Autenticação Autenticação SAML
1
O usuário final solicita acesso a um recurso da Web. A solicitação inclui o URL do recurso, mas não as informações de identificação sobre o usuário ou a organização do usuário.
2
O McAfee WGCS recebe a solicitação e retorna uma página de bloqueio, solicitando ao usuário um endereço de e-mail.
3
O usuário retorna um endereço de e-mail.
4
O McAfee WGCS pesquisa um nome de domínio, que faz parte do endereço de e-mail do usuário final, na lista de domínios configurados. Se o nome de domínio existe, o serviço de nuvem inicia uma autenticação SAML redirecionando a solicitação SAML em um cookie por meio do navegador do usuário para o provedor de identidade configurado para aquele domínio. A solicitação SAML inclui estes valores:
5
•
ID da entidade — identifica o McAfee WGCS como um emissor da solicitação SAML. Esse valor é atribuído pela sua organização.
•
URL do provedor de serviços — especifica o URL que o McAfee WGCS usa para comunicação SAML. Esse URL tem um valor constante: https://saml.saasprotection.com/saml.
Para validar a solicitação SAML, o provedor de identidade procura a ID da entidade e o URL do provedor de serviços. Se eles estiverem configurados, o provedor de identidade autentica o usuário final e em seguida redireciona a resposta SAML em um cookie por meio do navegador do usuário para o McAfee WGCS. A resposta contém declarações SAML que confirmam a identidade do usuário e fornecem informações sobre o usuário e os grupos do usuário. A resposta SAML inclui estes valores:
6
•
ID da entidade — identifica o provedor de identidade como o emissor da resposta SAML. Esse valor é atribuído pela sua organização.
•
URL do provedor de identidade — especifica o URL do serviço do provedor de identidade. Esse valor é fornecido pela sua organização.
Para validar a resposta SAML, o McAfee WGCS procura a ID da entidade e o URL do provedor de identidade. Se eles estiverem configurados e o usuário estiver autenticado, o McAfee WGCS aplicará a política da Web da organização ao usuário final e permitirá ou bloqueará o acesso ao recurso da Web solicitado.
Visão geral da configuração de SAML A autenticação SAML requer a configuração em seu provedor de identidade, em computadores clientes em sua organização e no console de gerenciamento.
Configuração em seu provedor de identidade Para a comunicação SAML com o McAfee WGCS, configure o seu provedor de identidade para usar este URL: https://saml.saasprotection.com/saml Como o serviço de nuvem consome declarações SAML enviadas pelo provedor de identidade, esta configuração é conhecida como o URL de Assertion Consumer Service (ACS). Várias configurações SAML são definidas no console de gerenciamento e no seu provedor de identidade. Para que a autenticação SAML seja realizada com êxito, essas configurações devem corresponder.
56
McAfee Web Gateway Cloud Service
Guia de produto
Autenticação Autenticação SAML
4
Configuração nos navegadores do cliente Para a autenticação SAML usando o McAfee WGCS, configure os navegadores do cliente na organização para enviar solicitações da Web à porta 8084, como se segue: c.saasprotection.com:8084
Configuração no console de gerenciamento A configuração da autenticação SAML no console de gerenciamento inclui essas tarefas gerais: •
Interface do usuário das Configurações de autenticação — configure a autenticação SAML.
•
Interface do usuário do Gerenciamento de políticas — configure a varredura SSL.
Considerações ao configurar a autenticação SAML Antes de configurar a autenticação SAML, examine estas considerações.
Configurando a varredura SSL A varredura SSL é necessária para a autenticação SAML. A ativação da autenticação SAML automaticamente ativa a varredura SSL, que você configura na interface do usuário Gerenciamento de políticas. Para configurar a varredura SSL: 1
Configure uma política de mecanismo de varredura SSL.
2
Baixe o pacote de certificados SSL.
3
Instale os certificados SSL nos navegadores e sistemas operacionais em execução nos computadores cliente da organização.
Para obter mais informações sobre a varredura SSL, consulte o capítulo Gerenciamento de políticas.
Colocar o URL do provedor de identidade na lista branca A configuração do McAfee WGCS como um servidor proxy usando um arquivo PAC ou outro método de configuração de proxy, coloca o URL do provedor de identidade na lista branca. Caso esta etapa não seja concluída, as comunicações SAML entre o usuário final e o serviço de nuvem entrarão em um loop infinito.
Configuração da SAML no console de gerenciamento Na interface do usuário da autenticação SAML, você pode configurar a autenticação SAML e ativar ou desativar a configuração. Tarefas •
Ativar ou desativar a autenticação SAML na página 58 Você pode ativar ou desativar a autenticação conforme a necessidade.
•
Configurar a autenticação SAML na página 58 Depois de configurar a autenticação SAML, você pode usar seu próprio provedor de identidade e compartilhar informações de autenticação e identidade com o McAfee WGCS na forma de declarações SAML.
McAfee Web Gateway Cloud Service
Guia de produto
57
4
Autenticação Autenticação SAML
Ativar ou desativar a autenticação SAML Você pode ativar ou desativar a autenticação conforme a necessidade. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa, Configurações de autenticação, selecione SAML. O painel Detalhes é aberto à direita.
3
4
Para ativar a edição, clique no ícone do lápis e depois selecione a opção: •
Para ativar a autenticação SAML — marque a caixa de seleção Ativar autenticação SAML.
•
Para desativar a autenticação SAML — desmarque a caixa de seleção Ativar autenticação SAML.
Clique em Salvar.
Configurar a autenticação SAML Depois de configurar a autenticação SAML, você pode usar seu próprio provedor de identidade e compartilhar informações de autenticação e identidade com o McAfee WGCS na forma de declarações SAML. Antes de iniciar Para configurar a autenticação SAML, são necessárias as seguintes informações: •
Nomes de um ou mais domínios que identificam a organização
•
URL do seu provedor de identidade
•
ID da entidade atribuído ao McAfee WGCS por sua organização
•
ID da entidade atribuída ao provedor de identidade pela sua organização
•
Nome do atributo que identifica exclusivamente os usuários finais
•
Nome do atributo que lista associações de grupo
•
Nomes dos grupos em sua organização
•
Certificado para verificação de respostas e declarações SAML assinadas
Várias configurações SAML são definidas no console de gerenciamento e no seu provedor de identidade. Para que a autenticação SAML seja realizada com êxito, essas configurações devem corresponder.
Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação.
2
Na lista suspensa, Configurações de autenticação, selecione SAML. O painel Detalhes é aberto à direita.
3
Para ativar a edição, clique no ícone de lápis, configure os domínios, a solicitação SAML, bem como os campos e as configurações de resposta SAML.
4
Para fornecer um certificado, clique no ícone de lápis. A caixa de diálogo Editar certificado é aberta.
58
McAfee Web Gateway Cloud Service
Guia de produto
4
Autenticação Autenticação SAML
5
Baixe o arquivo do certificado do seu serviço do provedor de identidade e abra o arquivo em um editor de texto. Copie o conteúdo do arquivo, incluindo -----INICIAR O CERTIFICADO----e -----ENCERRAR O CERTIFICADO-----, cole o conteúdo na caixa de diálogo e clique em Salvar. A caixa de diálogo é fechada e o certificado é salvo.
6
Clique em Salvar. A autenticação SAML está configurada e salva.
Configurações da autenticação SAML Para configurar a autenticação SAML, forneça valores para estas configurações. Tabela 4-1
Configurações da autenticação SAML
Opção
Definição
Ativar autenticação SAML
Quando selecionada, permite a autenticação SAML.
Domínio(s)
Especifica uma lista de nomes de domínio (um por linha). O McAfee WGCS usa esses valores para identificar a sua organização. O McAfee WGCS pesquisa um nome de domínio, que faz parte do endereço de e-mail do usuário final, na lista de domínios configurados. Se o nome de domínio existe, o serviço de nuvem inicia uma autenticação SAML redirecionando a solicitação SAML em um cookie por meio do navegador do usuário para o provedor de identidade configurado para aquele domínio.
Solicitar — o McAfee WGCS usa essas configurações quando envia solicitações SAML para o provedor de identidade. ID da entidade
Identifica exclusivamente o provedor de serviços emitindo a solicitação SAML. Exemplo: McAfeeWGCS O provedor de identidade usa a ID da entidade para identificar as solicitações SAML enviadas pelo McAfee WGCS. Você especifica essa configuração ao configurar a autenticação SAML no serviço do provedor de identidade. O valor que você especifica no provedor de identidade deve corresponder exatamente ao valor que você especifica no console de gerenciamento.
Provedor de identidade
Especifica o URL do serviço SAML fornecido pelo provedor de identidade. O McAfee WGCS redireciona as solicitações SAML para este URL, que está disponível em seu provedor de identidade.
Resposta — o McAfee WGCS usa essas configurações quando recebe respostas SAML do provedor de identidade. A resposta deve estar assinada
Se o seu provedor de identidade assinar a resposta SAML, marque esta caixa de seleção. Quando selecionado, o McAfee WGCS verifica se a resposta SAML foi assinada pelo provedor de identidade.
A declaração deve estar Se o seu provedor de identidade assinar a declaração SAML na resposta SAML, assinada marque esta caixa de seleção. Quando selecionado, o McAfee WGCS verifica se a declaração SAML foi assinada pelo provedor de identidade. ID da entidade
Identifica exclusivamente o provedor de identidade emitindo a resposta SAML. Defina essas configurações se o seu provedor de identidade usa uma ID da entidade. Quando configurado, o McAfee WGCS usa esse valor para identificar as respostas SAML enviadas pelo provedor de identidade. O valor que você especifica no console de gerenciamento deve corresponder exatamente ao valor do provedor de identidade.
McAfee Web Gateway Cloud Service
Guia de produto
59
4
Autenticação Autenticação site a site IPsec
Tabela 4-1
Configurações da autenticação SAML (continuação)
Opção
Definição
Atributo de ID de usuário
Especifica o nome do atributo que identifica exclusivamente o usuário final. O McAfee WGCS usa essa configuração ao extrair a ID de usuário da declaração SAML. Você especifica essa configuração ao configurar a autenticação SAML no serviço do provedor de identidade. O valor que você especifica no provedor de identidade deve corresponder exatamente ao valor que você especifica no console de gerenciamento.
Atributo de ID de grupo
Especifica o nome do atributo, cujo valor é uma lista de nomes de grupo. O McAfee WGCS usa essa configuração ao extrair as informações de associação a grupos da declaração SAML. O serviço de nuvem usa essas informações ao aplicar as políticas de grupo. Você especifica essa configuração ao configurar a autenticação SAML no serviço do provedor de identidade. O valor que você especifica no provedor de identidade deve corresponder exatamente ao valor que você especifica no console de gerenciamento.
Certificado
Abre uma caixa de diálogo em que é possível colar e salvar o conteúdo do certificado fornecido por seu provedor de identidade. O McAfee WGCS usa esse certificado para verificar as assinaturas das declarações e respostas SAML assinadas pelo provedor de identidade.
Grupos
Especifica uma lista de nomes de grupo que o McAfee WGCS usa para filtrar os grupos retornados na resposta SAML. Execute essa configuração quando o diretório da sua organização contiver centenas de grupos. O formato dos nomes dos grupos deve corresponder exatamente ao formato enviado pelo provedor de identidade. Exemplos: Administradores, Usuários, Internos
Autenticação site a site IPsec Se a sua organização usa um dos seguintes dispositivos para proteger a sua rede, você pode usar o protocolo IPsec para proteger as comunicações entre a sua rede e o McAfee WGCS. •
FortiGate 60D
•
Juniper SRX340
•
SonicWALL TZ400
O recurso da autenticação site a site IPsec também é conhecido como autenticação site para nuvem IPsec.
Configurando uma autenticação site a site IPsec Quando você configura a sua rede e o McAfee WGCS para usar IPsec, você cria um túnel de VPN IPsec entre a sua rede e o serviço de nuvem. Dentro do túnel de VPN, o pacote completo do IP é criptografado, autenticado e encapsulado. O McAfee WGCS usa o endereço IP de origem das comunicações de Ipsec recebidas e uma chave pré-compartilhada para identificar o cliente. Em seguida, o serviço de nuvem aplica as políticas às solicitações de usuário final com base na ID do cliente. Para configurar um túnel de VPN Ipsec entre sua rede e o McAfee WGCS, configure:
60
McAfee Web Gateway Cloud Service
Guia de produto
Autenticação Autenticação site a site IPsec
•
A autenticação IPsec no console de gerenciamento do McAfee ePO Cloud.
•
As interfaces de túnel de VPN Ipsec em dispositivos que protegem a sua rede.
4
Considerações ao configurar o IPsec site a site Antes de configurar a autenticação IPsec site a site, analise as seguintes considerações: •
Rotear apenas o tráfego HTTP e HTTPS — o McAfee WGCS lida somente com o tráfego IPsec direcionado para as portas 80 e 443 (tráfego HTTP e HTTPS, respectivamente) por meio do túnel VPN. Configure seu dispositivo para rotear apenas o tráfego HTTP e HTTPS por meio do túnel VPN.
•
Configurar dois túneis VPN IPsec — a prática recomendada é configurar um túnel VPN primário e um secundário. O túnel primário é conectado ao melhor ponto de presença (PoP) disponível, e o túnel secundário é conectado ao segundo melhor ponto de presença. Esta prática garantirá o suporte contínuo de IPsec caso um ponto de presença não esteja disponível.
•
Usar um túnel VPN IPsec para conectar sites remotos — se você tiver um ou mais sites remotos conectados a sua rede por VPN, poderá proteger o tráfego e melhorar a latência da rede criando um túnel VPN entre cada site e o McAfee WGCS.
•
Adicionar a autenticação de Client Proxy — você pode adicionar a autenticação de Client Proxy ao IPsec site a site. Para fazer isso, configure o Client Proxy para usar a porta 80 no redirecionamento do tráfego para o McAfee WGCS.
•
Adicionar a autenticação SAML — você pode adicionar uma configuração SAML a um local IPsec. O McAfee WGCS usa o SAML para autenticar solicitações recebidas do local por meio do túnel de IPsec.
Encontrar os melhores pontos de presença disponíveis Para encontrar o ponto de presença mais próximo do dispositivo que você está configurando para a autenticação IPsec, consulte o Global Routing Manager (GRM). O GRM é um serviço DNS que roteia o tráfego para o melhor ponto de presença disponível. Na rede em que o dispositivo está instalado, execute a ferramenta de linha de comando nslookup, como segue: nslookup 1.network.c.saasprotection.com nslookup 2.network.c.saasprotection.com Em resposta a esses comandos, o GRM retorna os endereços IP do melhor e do segundo melhor pontos de presença, respectivamente, com base no local na rede do dispositivo. Esses valores são necessários na configuração dos túneis VPN IPsec primário e secundário no dispositivo e no McAfee WGCS.
Ativar ou desativar a autenticação site a site IPsec Depois que você configurar um túnel de VPN IPsec entre um local de rede e o McAfee WGCS, é possível ativar ou desativar o túnel. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa Configurações de site a site IPsec, selecione um local. O painel Detalhes exibe os valores configurados para o local selecionado.
McAfee Web Gateway Cloud Service
Guia de produto
61
4
Autenticação Autenticação site a site IPsec
3
Clique no ícone de menu Detalhes e selecione uma opção: •
Para ativar um túnel IPsec desativado — clique em Ativar e em seguida clique em Salvar.
•
Para desativar um túnel IPsec ativado — clique em Desativar e em seguida clique em Salvar.
Adicionar um local de IPsec Para criar um túnel de VPN IPsec entre a sua rede e o McAfee WGCS, adicione um local de rede à configuração do IPsec e defina as configurações para aquele local. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa Configurações de site a site IPsec, selecione um local. Se nenhum local estiver configurado, selecione um espaço reservado. O painel Detalhes exibe os valores configurados para o local selecionado.
3
Clique no ícone de menu das Configurações de autenticação e depois clique em Novo local. Uma linha foi adicionada acima do local selecionado e os campos correspondentes no painel Detalhes podem ser editados.
4
No painel Detalhes, forneça um nome para o novo local.
5
Especifique valores para as configurações e clique em Salvar.
Exclua um local de IPsec É possível excluir um local de rede da configuração do IPsec. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa Configurações de site a site IPsec, selecione o local que você deseja excluir.
3
Clique no ícone de menu Configurações de autenticação e depois clique em Excluir local.
4
Em resposta ao aviso, clique em Excluir para confirmar.
Edite as configurações de site a site IPsec É possível editar as configurações de site a site IPsec configuradas para um local de rede. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa Configurações de site a site IPsec, selecione o local das configurações que você deseja editar. O painel Detalhes exibe os valores configurados para o local selecionado.
62
3
No painel Detalhes, clique no ícone do lápis.
4
Edite os valores nos campos conforme o necessário e clique em Salvar.
McAfee Web Gateway Cloud Service
Guia de produto
4
Autenticação Autenticação site a site IPsec
Configurações de site a site IPsec Para configurar a autenticação site a site IPsec no console de gerenciamento, você precisa do seguinte endereço IP e de uma chave pré-compartilhada. Opção
Definição
Nome do local
Especifica o nome que você atribuiu ao local de rede.
IP externo
Especifica o endereço IP externo da sua rede no formato IPv4. As comunicações de Ipsec são enviadas deste endereço para o McAfee WGCS. O McAfee WGCS usa esse valor para identificar o dispositivo IPsec.
Rede local
Especifica o endereço IP interno da sua rede no formato IPv4 usando uma notação CIDR com uma faixa de tamanho de rede de 16 a 32 bits. O McAfee WGCS usa esse valor para identificar o cliente e para configurar o túnel VPN IPsec entre sua rede local e o serviço na nuvem.
Chave pré-compartilhada Especifica o valor da chave que você define e compartilha com o McAfee WGCS. Comprimento máximo: 64 caracteres O McAfee WGCS usa esse valor para autenticar o dispositivo IPsec.
Adição de autenticação SAML ao IPsec site a site Se você tiver um túnel VPN IPsec configurado para um local na rede ou um site remoto, poderá adicionar a autenticação SAML à configuração de IPsec. O McAfee WGCS usa o SAML para autenticar solicitações recebidas pelo túnel de IPsec. Uma configuração SAML será compartilhada na rede e nos locais remotos. Se você editar a configuração para um local IPsec, a configuração será atualizada em todos os seus sites IPsec.
Adicionar a autenticação SAML a um local IPsec É possível adicionar uma configuração SAML a uma configuração de IPsec site a site. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa Configurações de site a site IPsec, selecione um local. O painel Detalhes exibe os valores configurados para o local selecionado.
3
No painel Detalhes, clique no ícone de lápis.
4
Na área Autenticação, clique no ícone de adição. O painel Catálogo será aberto com a Autenticação SAML selecionada.
5
Clique no ícone Adicionar. A autenticação SAML será adicionada à área Autenticação do painel Detalhes.
6
Clique em Salvar.
O painel Catálogo será fechado e a configuração de IPsec site a site será salva com a configuração SAML.
McAfee Web Gateway Cloud Service
Guia de produto
63
4
Autenticação Autenticação site a site IPsec
Remover a autenticação SAML de um local IPsec É possível remover uma configuração SAML de uma configuração site a site IPsec. Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa Configurações de site a site IPsec, selecione um local. O painel Detalhes exibe os valores configurados para o local selecionado.
3
No painel Detalhes, clique no ícone de lápis.
4
Na área Autenticação, clique no ícone de exclusão ao lado da Autenticação SAML.
5
Clique em Salvar.
Editar a configuração SAML associada a um local IPsec É possível editar a configuração SAML associada a uma configuração de IPsec site a site. Uma configuração SAML será compartilhada na rede e nos locais remotos. Se você editar a configuração para um local IPsec, a configuração será atualizada em todos os seus sites IPsec.
Tarefa 1
No menu do console de gerenciamento, selecione Web Protection | Configurações de autenticação
2
Na lista suspensa Configurações de site a site IPsec, selecione um local. O painel Detalhes exibe os valores configurados para o local selecionado.
3
No painel Detalhes, clique no ícone de lápis.
4
Na área Autenticação, clique no ícone de adição. O painel Catálogo será aberto com a Autenticação SAML selecionada.
64
5
Na área Autenticação SAML, clique no ícone de lápis.
6
Edite as configurações de SAML conforme necessário e clique em Salvar.
McAfee Web Gateway Cloud Service
Guia de produto
Índice
A ações adicionando às regras 35 alteração 35 regra principal 35 removendo das regras 36 ações da regra adicionando 35 removendo 36 ações de regra principal 35 Active Directory sincronização 17, 28 alteração de ações 35 Anti-Malware Engine de gateway 8, 9 Aplicativo Web criando listas 36 áreas de política alterando 41 atribuindo políticas a 45 exibindo 20 regras 29 Arquivo Proxy Auto-Configuration (PAC) 16 Assertion Consumer Service (ACL) 56 atributos ID de grupo 49 ID de usuário e ID de grupo 59 autenticação faixa de IP 51 opções 49 SAML 54 site a site IPsec 60 autenticação da faixa de IP ativando ou desativando 51 notação CIDR 52 autenticação de faixa de IP adicionando uma faixa de IP 52 alterando uma faixa de IP 52 excluindo uma faixa de IP 53 exportando uma lista de faixas de IP 54 importando uma lista de faixas de IP 53 sobre 51 autenticação IPsec site a site considerações ao configurar 61
McAfee Web Gateway Cloud Service
autenticação IPsec site a site (continuação) pontos de presença encontrar o melhor disponível 61 autenticação SAML ativando ou desativando 58 benefícios 55 configurações 59 configurando 56, 58 considerações 57 etapas de alto nível 55 sobre 54 autenticação site a site IPsec ativando ou desativando 61 configurações 63 configurando 60 dispositivos compatíveis 60 editando as configurações 62 Autenticação site a site IPsec adicionando um local 62 excluindo um local 62
C Catálogo de aplicativo Web 8, 9 Catálogo de categoria da Web 9 Catálogo de categorias da Web 8 Catálogo de tipo de mídia 8, 9 Categoria da Web criando listas 36 certificados autenticação SAML 59 SSL 27 certificados SSL 27 chave pré-compartilhada IPsec 49, 60, 63 Client Proxy configuração 15 configurações de política 11 configurando o servidor proxy 16 distribuindo com o McAfee WGCS 10 opções de distribuição 7 condições do erro 47 erros de conexão de rede 47 erros de dados 47
Guia de produto
65
Índice
condições do erro 47 (continuação) salvando os erros 48 Configurações de autenticação 14 configurações de redirecionamento Client Proxy 11 console de gerenciamento configurando a autenticação SAML 56, 57 convenções e ícones utilizados neste guia 5
D declarações, SAML 59 detalhes da política 22 editando 41 detalhes da regra 24 alterando 34 detalhes de objeto 26 detecção de ameaças processo 8 documentação convenções tipográficas e ícones 5 específica do produto, como encontrar 6 público-alvo para este guia 5 domínios autenticação SAML 55, 59
F faixas de endereço IP, criando lista branca para seu firewall 16 filtragem antimalware 8 filtragem de URL 8
L lista de bloqueio Client Proxy 11 listas política 36 URL 37, 38 Listas de opções 39 listas de políticas criando 36 listas de URL importando 30 Listas de URL adicionando às 37 criando 36 editando 37 exportando 38 importando 38 local IPsec adição de autenticação SAML 63 editando a configuração SAML 64 remoção da autenticação SAML 64 logs de auditoria alterações da política de exibição 46 exportando 46
M McAfee ePO no local e na nuvem 7
G gerenciamento de contas 17 Gerenciamento de políticas 14 Global Threat Intelligence 8, 9 grupos de usuários, local 27 adicionando 28 editando 28 recurso 17
H híbrida distribuição 9–11
I ID da entidade, SAML 55, 59 ID do cliente 14, 49, 60 ignorar lista Client Proxy 11 interface do usuário proteção na Web 14 Introdução 14 IPsec site a site adição de autenticação SAML 63
66
IPsec site a site (continuação) adicionando a autenticação Client Proxy ou SAML 50
McAfee Web Gateway Cloud Service
McAfee ServicePortal, como acessar 6 McAfee Web Gateway 9, 10 McAfee WGCS detecção de ameaças 8 recursos principais 8 sobre 7 melhores práticas implantando com o Client Proxy 10 métodos de autenticação 8 modelo de política 19
N Navegador de políticas 19 navegadores do cliente configurando a autenticação SAML 56 notação CIDR 52 números de porta processo de autenticação 50
O opções de autenticação implementação 50
Guia de produto
Índice
opções de distribuição apenas em nuvem ou híbrida 9
P página de boas-vindas localizando 14 sobre 14 páginas de bloqueio criando 42 editando 43 selecionando 45 Painel de catálogo 27 Painel de detalhes política 22 regras 24 plataforma de serviços de nuvem 7 Política de Segurança Unificada 14 prefixo de geolocalização, usando 16 processo de autenticação 50 produtos da McAfee definindo a ordem 13
regras de política (continuação) ativando ou desativando 33 criando ao importar uma lista de URL 30 excluindo 40 exibição 23 reordenando 40 regras genéricas 26
S segurança na Web componentes e tecnologias da McAfee 9 senha compartilhada Client Proxy 15 ServicePortal, como encontrar a documentação do produto 6 servidor proxy configurando o McAfee WGCS como 16 servidores proxy lista 11 sincronização Active Directory 17 híbrida 10
proteção na Web interface do usuário 14 solução híbrida 10 Protocolo Web Proxy Auto-Discovery (WPAD) 16 provedor de identidade, SAML 54–56 provedor de serviços, SAML 54, 55 Proxy específico de cliente 14–16
sobre este guia 5 solicitações e respostas, SAML 54, 55, 59 suporte técnico, como encontrar informações sobre produtos 6
R
U
reconhecimento de localização Client Proxy 10 regras complexas 31 genéricas 26
URL do provedor de identidade colocar na lista branca 57 usando exceções 31
regras complexas 31 regras de política adicionando 29 alterando 33
McAfee Web Gateway Cloud Service
T Tipo de mídia criando listas 36
V varredura SSL 8 configurando a autenticação SAML 57
Guia de produto
67
2017-03-12
