Barracuda Networks Firewall Update: quelles sont les nouveautés de la version 9.0.0 ?

Les appliances Barracuda NextGen et CloudGen Firewall restent solides comme le roc pendant 10 ans. Barracuda Networks continue d’investir dans les mises à jour et les mises à niveau nécessaires du micrologiciel de sécurité. Découvrez les nouveautés de la dernière mise à jour du firmware dans cet article de blog !

Modèles VFC – Consolidation Cloud/VF/SF

• Les licences VFC peuvent être utilisées pour l’installation de matériel cloud, Vx ou standard.
• Les modèles VFC sont des licences de service pur sans licence illimitée pour les appareils.
• Le numéro du modèle VFC représente le nombre de cœurs pris en charge (VFC1 = 1 cœur, VFC2 = 2 cœurs, … VFC48 = 48 cœurs). Chaque modèle de VFC peut gérer un nombre illimité d’adresses IP protégées.
• Il existe deux nouveaux modèles : VFC16 et VFC48.

L’abonnement Advanced Threat Protection fonctionne désormais sans l’abonnement Malware Protection ajouté à l’abonnement Energize Updates. L’abonnement ATP nécessite que le service AV soit activé et configuré.

Les modèles VFC sont des licences de service pur, sans licence illimitée pour les appareils. La licence de base expire avec la période de l’UE.

Backup Daemon

Le démon de sauvegarde est une nouvelle fonctionnalité qui étend les options de sauvegarde et de restauration existantes pour et à partir des pare-feux autonomes et gérés. Contrairement aux sauvegardes qui sont stockées dans des fichiers PAR à la demande d’un utilisateur, le démon de sauvegarde peut être configuré pour fonctionner de manière autonome à une heure programmée sans autre intervention. Le démon de sauvegarde fonctionne au niveau de la boîte d’une boîte non gérée, d’une boîte gérée par CC et d’un centre de contrôle et doit toujours être configuré au niveau de la boîte. Le démon de sauvegarde peut créer des sauvegardes des configurations du pare-feu au niveau de la boîte, au niveau du CC, et au niveau de la boîte et du CC.

Améliorations du RCS

Le système de contrôle des révisions (RCS) a été amélioré et prend désormais en compte les GTI. Le cadre des modèles de configuration peut désormais lire les différences entre les modèles de configuration et les instances dans le système de contrôle des révisions. Lorsque l’on passe d’une révision à l’autre, les références aux certificats sont restaurées comme prévu. Le RCS supporte désormais la journalisation de tous les paramètres VPN.

Adresses MAC virtuelles

La disponibilité d’une paire HA de pare-feu CloudGen peut être compromise dans les réseaux où les commutateurs bloquent les paquets ARP ou où les piles TCP/IP industrielles ne peuvent pas envoyer de paquets ARP pour les adresses IP de service.

Pour permettre l’utilisation de pare-feu HA dans de telles infrastructures critiques, l’application d’adresses MAC virtuelles sur une paire HA de pare-feu CloudGen améliore désormais la disponibilité globale.

Mises à jour de sécurité automatisées

Les mises à jour de sécurité automatisées sont une nouvelle fonctionnalité qui vous permet de configurer l’exécution des mises à jour programmées du micrologiciel et qui est déjà activée sur le micrologiciel 9.0.0. La fonction fonctionne sur les centres de contrôle et les pare-feux gérés et autonomes. L’exécution de la fonction au niveau du boîtier d’un centre de contrôle est identique à celle d’un pare-feu autonome.

Lorsque vous vous connectez pour la première fois à un pare-feu ou à un centre de contrôle doté du micrologiciel 9.0.0, une fenêtre de notification s’affiche, indiquant que les mises à jour de sécurité automatisées sont activées par défaut. Cette fenêtre contient également des informations sur la manière de désactiver la fonction et de modifier les paramètres de configuration, en fonction du type de dispositif.

Services de catégorisation Web (WCS) – Changements pour les filtres URL

Suite aux mises à jour de WCS, certaines catégories de filtres URL ont changé. Barracuda Networks recommande de vérifier votre configuration si vous utilisez des filtres URL. En plus d’une efficacité améliorée, WCS 3.2 fournit plus de catégories qui vous permettent de configurer et d’affiner des politiques d’URL encore plus détaillées.

Installation des mises à jour du micrologiciel avec SSH

La mise à jour manuelle d’une nouvelle version de firmware via SSH nécessite désormais de transmettre explicitement le chemin d’accès au paquet.

Nouveaux champs pour le service de routeur BGP

De nouveaux champs de configuration ont été ajoutés à l’écran de configuration BGP dans CONFIGURATION > Arbre de configuration > Services assignés > OSPF/RIP/BGP Settings > Neighbor Setup IPv4, Neighbors window, BGP Parameters section.

Le champ Allow AS-in est ajouté à la configuration BGP pour permettre aux voisins d’injecter des routes lorsque les numéros AS (Autonomous Systems) sont identiques. Le champ ttl-security applique le mécanisme de sécurité TTL généralisé (GTSM), tel que spécifié dans la RFC 5082. Seuls les voisins situés au nombre de sauts spécifié seront autorisés à devenir voisins. Cette commande s’exclut mutuellement avec EGBP-multihop.

Ces champs ne sont accessibles que dans Firewall Admin en mode avancé.

HTTP/2 pour CloudGen Firewall

Le pare-feu CloudGen supporte entièrement les flux de données HTTP/2. Les fonctions de pare-feu suivantes couvrent désormais la norme HTTP/2 :

• Application Control
• SSL Inspection
• URL filtering
• Virus scanning
• Content detection
• Archive scanning
• Google account control
• Search string logging
• Safe search

Notez que le pare-feu ne prend actuellement en charge que l’option “Délivrer d’abord, puis analyser” pour HTTP/2.

Améliorations de l’assistant de clonage

Un périphérique peut désormais être cloné vers un autre cluster cible sous réserve de certains “noms” configurés par l’utilisateur.

Authentification RSA-ACE SecurID

La méthode de configuration et l’interface utilisateur associée pour l’authentification RSA-ACE SecurID ont été retravaillées.

Améliorations des ConfTemplates

Les modèles de configuration ont été améliorés et comprennent plusieurs nouvelles unités ConfTemplate. Par exemple, ces nouvelles unités ConfTemplate ne prennent pas seulement en charge la configuration des réseaux, des routes, des VLAN ou de l’authentification, mais incluent également de nouvelles fonctionnalités développées pour la version 9.0.0, telles que les mises à jour de sécurité automatisées ou le démon de sauvegarde. Un nouvel objet pool a également été créé pour supporter l’assignation automatisée des VIPs et MIPs en conjonction avec les ConfTemplates.

Profils de politique CGF

Depuis la version 9.0.0 de Barracuda CloudGen Firewall, il est possible d’activer les profils de politique pour les ensembles de règles sur le pare-feu distribué. Lors du passage aux profils de politique, tous les jeux de règles locaux et dédiés sont également configurés pour utiliser des politiques.

Vous avez des questions ? N’hésitez pas à nous contacter à l’adresse sales@kappadata.be !