WatchGuard bloqueando site que deveria estar liberado? Como diagnosticar
Site legítimo caindo no bloqueio do firewall WatchGuard? Aprenda a ler o Traffic Monitor, identificar qual política barrou e liberar com segurança.
Um chamado clássico: “o WatchGuard está bloqueando um site que a gente precisa”. Antes de sair criando exceção (e abrindo um buraco na segurança), o caminho certo é descobrir exatamente qual política barrou o tráfego. O Firebox dá todas as pistas — é só saber onde olhar.
Passo 1: o Traffic Monitor é seu melhor amigo
No Firebox System Manager (ou no Fireware Web UI em Dashboard → Traffic Monitor), reproduza o acesso bloqueado e observe a linha vermelha de “Deny”. Ela traz informações essenciais:
Deny 192.168.10.45 203.0.113.7 https/tcp 51020 443
ProxyDeny: HTTPS-proxy WebBlocker
category="Uncategorized"Essa única linha já diz quem (IP de origem), para onde (destino), qual serviço (HTTPS-proxy) e por quê (WebBlocker, categoria “Uncategorized”).
Passo 2: identifique a natureza do bloqueio
As causas mais comuns, na ordem em que costumam aparecer:
a) WebBlocker por categoria
Se o motivo é WebBlocker com uma category, o site caiu em uma categoria bloqueada na sua política. Sites novos costumam vir como “Uncategorized” e por isso são barrados. Solução correta: classifique o domínio, não libere a categoria inteira.
b) Application Control
Aplicativos como Dropbox, TeamViewer ou ferramentas de IA podem ser barrados pelo Application Control, mesmo com a categoria web liberada. No Traffic Monitor aparece app_id/app_name.
c) Inspeção de conteúdo (Content Inspection)
Com inspeção HTTPS ativa, certificados pinned ou inválidos quebram a conexão. O sintoma é o site simplesmente não carregar mesmo “liberado”.
d) Geolocation / Botnet (Reputation)
Se o destino está em um país bloqueado ou em lista de reputação, o bloqueio vem do Geolocation ou do Reputation Enabled Defense, não do WebBlocker.
Passo 3: libere do jeito certo (escopo mínimo)
Identificada a causa, prefira sempre a exceção mais específica possível:
- WebBlocker: adicione o domínio em WebBlocker → Exceptions, não desative a categoria.
- Application Control: crie uma regra permitindo apenas aquele app, para o grupo de usuários que precisa.
- HTTPS Content Inspection: adicione o domínio à lista de Domain Names to Bypass da inspeção.
Exemplo de exceção de domínio bem feita:
*.fornecedor-erp.com.br → Allow (WebBlocker Exception)O curinga cobre subdomínios, mas continua restrito àquele fornecedor.
Passo 4: documente a exceção
Toda liberação é uma decisão de segurança. Anote: quem pediu, qual domínio, qual a justificativa de negócio e a data. Em auditorias (e na próxima vez que alguém perguntar “por que esse site está liberado?”), você vai agradecer.
Regra de ouro: nunca resolva um bloqueio desativando uma categoria inteira ou uma proteção global. O incômodo de hoje vira o incidente de segurança de amanhã.
Quando o problema não é o WatchGuard
Se o Traffic Monitor não mostra Deny para aquele tráfego, o bloqueio provavelmente está em outro lugar: DNS interno, proxy do navegador, ou o próprio site fora do ar. O Firebox te ajuda justamente a descartar rapidamente que o firewall é o culpado.
Gerência de firewall WatchGuard, com política bem desenhada e exceções documentadas, é uma das especialidades da Plataforma do TI.