Barracuda Networks Firewall Update: wat is er nieuw in versie 9.0.0?

Barracuda NextGen and CloudGen Firewall appliances remain rock solid for 10 years. Barracuda Networks continues to invest in necessary security firmware updates and upgrades. Find out what’s new in the latest firmware update in this blog post!

VFC-modellen – Consolidatie van Cloud/VF/SF

• VFC-licenties kunnen worden gebruikt voor cloud, Vx of standaard hardware-installatie.
• VFC-modellen zijn pure servicelicenties zonder een onbeperkte appliance-licentie.
• Het VFC-modelnummer staat voor het ondersteunde aantal cores (VFC1 = 1 core, VFC2 = 2 cores, … VFC48 = 48 cores). Elk VFC-model kan onbeperkt beschermde IP’s aan.
• Er zijn twee nieuwe modellen: VFC16 en VFC48.

Het Advanced Threat Protection-abonnement werkt nu ook zonder het Malware Protection-abonnement dat is toegevoegd aan het Energize Updates-abonnement. Voor het ATP-abonnement moet de AV-service worden ingeschakeld en geconfigureerd.

VFC-modellen zijn pure servicelicenties zonder onbeperkte appliance-licentie. De basislicentie verloopt met de EU-periode.

Backup Daemon

De Backup Daemon is een nieuwe functie die de bestaande opties voor het maken en herstellen van back-ups voor en van zelfstandige en beheerde firewalls uitbreidt. In tegenstelling tot back-ups die worden opgeslagen in PAR-bestanden op verzoek van een gebruiker, kan de Backup Daemon worden geconfigureerd om autonoom te werken op een gepland tijdstip zonder verdere tussenkomst. De Backup Daemon werkt op boxniveau van een onbeheerde box, een CC-beheerde box en een Control Center en moet altijd op boxniveau worden geconfigureerd. De Backup Daemon kan back-ups maken van de firewall configuraties op box niveau, op CC niveau, en box & CC niveau.

Verbeteringen van RCS

Het Revisie Controle Systeem (RCS) is verbeterd en houdt nu rekening met GTI. Het Configuration Templates framework kan nu de verschillen lezen tussen ConfTemplates en instanties in het RCS. Bij het heen en weer springen tussen revisies worden certificaatreferenties zoals verwacht hersteld. De RCS ondersteunt nu ook volledig het loggen van alle VPN-parameters.

Virtuele MAC-adressen

De beschikbaarheid van een HA-paar CloudGen Firewalls kan in het gedrang komen in netwerken waar switches ARP-pakketten blokkeren of waar industriële TCP/IP-stacks geen ARP-pakketten voor service IP-adressen kunnen versturen.

Om HA-firewalls in dergelijke kritieke infrastructuren te kunnen gebruiken, verbetert de toepassing van virtuele MAC-adressen op een HA-paar CloudGen Firewalls nu de algehele beschikbaarheid.

Geautomatiseerde beveiligingsupdates

Automated Security Updates is een nieuwe functie waarmee je de uitvoering van geplande firmware-updates kunt configureren en is al geactiveerd op firmware 9.0.0. De functie draait op Control Centers en beheerde en zelfstandige firewalls. Het uitvoeren van de functie op boxniveau van een Control Center is hetzelfde als het uitvoeren van de functie op een zelfstandige firewall.

Wanneer je voor de eerste keer inlogt op een firewall of Control Center met firmware 9.0.0, krijg je een meldingsvenster te zien waarin staat dat Automated Security Updates standaard is ingeschakeld. Het venster bevat ook informatie over waar je de functie kunt uitschakelen en waar je de configuratie-instellingen kunt wijzigen, afhankelijk van het type apparaat.

Web Categorization Services (WCS) – Changes for URL Filters

Als gevolg van WCS-upgrades zijn sommige URL-filtercategorieën gewijzigd. Barracuda Networks raadt aan uw configuratie te controleren als u URL Filters gebruikt. Naast de verbeterde effectiviteit, biedt WCS 3.2 meer categorieën waarmee u een nog gedetailleerder URL-beleid kunt configureren en verfijnen.

Installatie van firmware-updates met SSH

Voor het handmatig bijwerken van een nieuwe firmwareversie via SSH moet nu expliciet het pad naar het pakket worden doorgegeven.

Nieuwe velden voor de BGP Router Service

Er zijn nieuwe configuratievelden toegevoegd aan het BGP-configuratiescherm in CONFIGURATION > Configuration Tree > Assigned Services > OSPF/RIP/BGP Settings > Neighbor Setup IPv4, venster Neighbors, sectie BGP Parameters.

Het veld AS-in toestaan is toegevoegd aan de BGP-configuratie om buren toe te staan routes te injecteren wanneer AS-nummers (Autonome Systemen) identiek zijn. Het veld ttl-security dwingt het Generalized TTL Security Mechanism (GTSM) af, zoals gespecificeerd in RFC 5082. Alleen buren die het gespecificeerde aantal hops verwijderd zijn zullen toegestaan worden om buren te worden. Dit commando is wederzijds exclusief met EGBP-multihop.

Deze velden zijn alleen toegankelijk in Firewall Admin in de Geavanceerde modus.

HTTP/2 for CloudGen Firewall

De CloudGen Firewall ondersteunt HTTP/2-gegevensstromen volledig. De volgende firewallfuncties dekken nu de HTTP/2-standaard:

• Application Control
• SSL Inspection
• URL filtering
• Virus scanning
• Content detection
• Archive scanning
• Google account control
• Search string logging
• Safe search

Merk op dat de firewall momenteel alleen “Eerst leveren, dan scannen” voor HTTP/2 ondersteunt.

Clone Wizard verbeteringen

Een apparaat kan nu worden gekloond naar een ander doelcluster met inachtneming van bepaalde ‘namen’ die door de gebruiker zijn geconfigureerd.

RSA-ACE SecurID-authenticatie

De configuratiemethode en de gerelateerde gebruikersinterface voor RSA-ACE SecurID Authenticatie zijn herwerkt.

ConfTemplates Improvements

De configuratiesjablonen zijn verbeterd en bevatten meerdere nieuwe ConfTemplate-eenheden. Deze nieuwe ConfTemplate-eenheden ondersteunen bijvoorbeeld niet alleen het configureren van netwerken, routes, VLAN’s of authenticatie, maar omvatten nu ook nieuwe functies die zijn ontwikkeld voor release 9.0.0 zoals Automated Security Updates of de Backup Daemon. Er is ook een nieuw poolobject gemaakt om de geautomatiseerde toewijzing van VIP’s en MIP’s in combinatie met ConfTemplates te ondersteunen.

CGF Policy Profiles

Vanaf Barracuda CloudGen Firewall release 9.0.0 is het mogelijk om Policy Profiles in te schakelen voor regelsets op de Distributed Firewall. Bij het overschakelen naar beleidsprofielen worden alle lokale en speciale regelsets ook ingesteld om beleid te gebruiken.

Heb je vragen? Contacteer ons gerust via sales@kappadata.be!