Công ty TNHH CN- TV TM Đông Quân Năm 2016

MỤC LỤC

Năm 2016


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

Barracuda NextGen Firewall F
I . Đặc tính Kỹ thuật và tham số kỹ thuật của Barracuda NextGen Firewall
1 . Bảo Vệ Application & Identity-Aware đối với môi trường mạng phân
phối.
Barracuda NextGen Firewall F-Series gồm có các thiết bị phần cứng và ảo hoá
được thiết kế để bảo vệ cơ sở hạ tầng mạng, cải thiện kết nối Site-to-Site và đơn
giản hố các hoạt động quản lý. Ngồi cơng nghệ tường lửa và VPN, F-Series
cịn tích hợp các tính năng cơng nghệ tường lửa thế hệ mới bao gồm: identityaware Application Control, intrusion prevention, web filtering, antivirus, antispam, and Network Access Control. Barracuda NextGen Firewall F cung cấp tính
năng phát hiện và bảo vệ các mối đe doạ nưng cao.
Tính năng thông minh của Barracuda NextGen F về khả năng quản lý lưu lượng
giữa Site-to-Site nhằm tối ưu tính sẵn sàng và hiệu quả của mạng WAN. Người
quản trị có thể kiểm soát định tuyến ở mức ứng dụng và ưu tiên dữ liệu trên
nhiều liên kết, đường hầm và điều kiên liên kết.
Dẫn đầu tường lửa thế hệ mới và quả lý tập trung với công nghệ VPN cùng với
khả năng quản lý băng thông thông minh cho phép khách hàng tiết kiêm chi phí
về đường truyền và tăng khả năng sẵn sàng của hệ thống.
Lợi ích đạt được khi triển khai sử dụng Barracuda NextGen Firewall F?
-

-

-

-

Cải thiện vấn đề an ninh: từ góc độ bảo mật các tổ chức có thể cải thiện
tình trạng bảo mật bằng cách tích hợp các tính năng bảo mật khác nhau
như: Lọc Web (Web Filtering), bảo vệ với các phần mềm độc hại
(Malware Protection), Bảo mật email (Email Security), ngăn chặn xâm
nhập (Intrusion Prevention), kiểm soát ứng dụng (Application Control),
và bảo vệ chống lại khai thác Zero-day và advanced persistent threat Advanced Threat Detection vào một nền tảng duy nhất.
Kiểm sốt hồn tồn ứng dụng: Application Control cho phép xác định
chính xác một số lượng lớn các giao thức và ứng dụng (BitTorrent, Skype,
Instant Messageing…) sử dụng trong mạng. Thậm chí với các kỹ thuật
tiên tiến, nhảy port hoặc mã hoá Barracuda Application Control có thể
ngăn chặn việc sử dụng các ứng dụng khơng mong muốn, kiểm sốt và
điều tiết lưu lượng mạng bảo đảm băng thông cho các ứng dụng kinh
doanh quan trọng.
Giám sát và kiểm soát người dùng: Barracuda Firewall F cung cấp với
tất cả các phương thức xác thực như Active Directory, RADIUS, LDAP …
để tạo điều kiện cấu hình chính sách dựa vào thơng tin người dùng và
nhóm thông tin thực tế không chỉ giới hạn là địa chỉ IP.
Tối ưu hố mạng cơng ty:từ góc độ quản lý hệ thống tồn cầu chúng ta
có thể giảm chi phí quản lý thơng qua khả năng quản lý tập trung hỗ trợ
hàng ngàn nodes và giản chi phí về phần cứng bằng quản lý tốt hơn về kết
nối WAN và băng thông kết nối. Với khả năng chuyển đổi dự phòng hiện
2


Công ty TNHH CN- TV TM Đông Quân Năm 2016


-

Năm 2016

đại nhất và khả năng quản lý băng thông bảo đảm băng thông cho các ứng
dụng kinh doanh quan trọng ngay cả khi một liên kết mất kết nối.
Xử lý sự cố: Tại cấp độ hỗ trợ và xử lý xự cố, Barracuda Firewall
NextGen F cung cấp kiểm tra vào các luồng dữ liệu của người dùng, trang
bị cho các kỹ sư mạng kết hợp với các công cự mạnh mẽ để chuẩn đốn
và duy trì hệ thống mạng.

2. Barracuda NextGen Fireware F cung cấp một số lớp để bảo vệ hệ thống
mạng của tổ chức.

a. Hệ thống pháp hiện và ngăn chặn (IDS/IPS):

Tăng cường khả năng an ninh bằng các cung cấp đầy đủ và bảo vệ mạng toàn
diện dựa trên thời gian thực chống lại các mối đe doạ mạng, lỗ hổng bảo mật,
khai thác, hệ điều hành, ứng dụng, cơ sở dữ liệu và ngăn chặn các cuộc tấn công
mạng như:
- SQL injections and arbitrary code executions
- Nỗ lực kiểm soát truy cập và leo thang đặc quyền
- Cross-Site Scripting và tràn bộ đệm
- Các cuộc tấn cơng DoS và DdoS
- Nỗ lực Directory traversal, thăm dị và quét
- Tấn công Backdoor, trojan, rootkit, virus, sâu, phần mềm gián điệp.
Bằng cách cung cấp các tính năng tấn công nưng cao và bảo vệ các mối de doạ
tiên tiến như stream segmentation và bảo vệ gói bất thường, bảo vệ TCP split
handshake, chống phân mảnh IP và RPC, bảo vệ FTP, cũng như giải mã URL và

HTML. Barracuda NextGen Firewall F có thể xác định và chặn nỗ lực tránh né
tiên tiến và kỹ thuật gây rối được sử dụng bởi những kẻ tấn công để phá vỡ và
đánh lừa hệ thống phòng chống xâm nhập truyền thống.
Là một phần của Barracuda Energize Update Subcription, cập nhật signature tự
động được phân phối theo lịch trình thường xuyên hoặc trường hợp khẩn cấp để
đảm bảo sản phẩn Barracuda NextGen Firewall được liên tục cập nhật, nếu
Barracuda NextGen Firewall được quản lý tập trung thì các bản cập nhật được
phân phối bằng Barracuda NextGen Control Center.
3


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

b. Bảo vệ khỏi mã độc (Malware Protection):

Bảo vệ mạng nội bộ khỏi các nội dung độc hại bằng cách quét các nội
dung web (HTTP, HTTPS), email (SMTP,POP3) và truyền tập tin (FTP)
thông qua 2 công cụ diệt virus được tích hợp. Bảo vệ khỏi phần mềm độc hại
dựa trên thông tin cập nhật Signature thường xuyên cũng như dự đoán tiên
tiến để phát hiện các phần mềm độc hại hoặc các chương trình khơng mong
muốn ngay cả khi chư có signature. Việc bảo vệ khỏi phần mềm độc hại bao
gồm Virus, trojan, applet java độc hại, và các chương trình sử dụng khai thác
được biết vào tập tin PDF, hình ảnh và tài liệu văn phịng, virus Macro…,
ngay cả khi sử dụng kỹ thuật ẩn hoặc Obfuscation.
c. Phát hiện mối đe doạ tiên tiến (Advanced Threat Detection):

Kỹ thuật phát hiện mối de doạ tiên tiến của Barracuda (ATD) sử dụng
công nghệ Sandbox thế hệ tiếp theo chạy bằng cách mơ phỏng tồn bộ hệ

thống để bắt khơng chỉ mối đe doạ mà cả lỗi Zero-day. Nhưng cũng có phần
mềm độc hại tiên tiến được thiết kế để tránh bị phát hiện, các tập tin được
chuyển tiếp đến môi trường sandbox dựa trên đám mây, nơi mà họ thực hiện
phân tích để xác định hành vi đáng ngờ và độc hại.

4


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

Barracuda đảm bảo triển khai linh hoạt và đơn giản với mạng lưới cơ sở
hạ tầng hiện tại không cần bổ xung phần cứng vì phần sandbox chuyên sâu được
chyển đến đám mây. Các cơ sở dữ liệu đám mây được cập nhật liên tục bởi tất cả
Barracuda NextGen Firewall F khi kích hoạt ATD, do đó đảm bảo tốt tốc độ xử
lý các tập tin đã được biết đến. Người quản trị có chính sách để kiểm sốt hồn
tồn các tài liệu PDF, tập tin văn phòng, exe/MSI/DLLs, Android APK, các tập
tin nén và lưu trữ đều được mô phỏng và giao cho khách hàng. Dựa vào các hoạt
động của phần mềm độc hại được xác định, người dùng bị nhiễm có thể được tự
động kiểm dịch và ngăn chặn các phần mềm độc hại lây lan trong mạng. Tuỳ
theo yêu cầu báo cáo phân tích cho bất kỳ tập tin được mơ phỏng cung cấp cái
nhìn sâu sắc đầy đủ và chi tiết về các hoạt động nguy hiểm, hành vi tập tin, các
mục hệ thống Registry, kỹ thuật lẩn trốn và ký thuật Obfuscation. Điều này cũng
cho phép hoạt động như thiết lập các kết nối được mã hoá cho các Control Center
và kiểm soát Botnet để tăng độ an ninh tránh các cuộc tấn công quy mô Botnet.

5



Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

d. Lọc Web (Web Filtering):

Barracuda NextGen Firewall F với tuỳ chọn Web Filter cho phép người quản trị có
một tầm nhìn thời gian thực với các hoạt động trực tuyến, chia theo người dùng cá
nhân và các ứng dụng cho phép thực thi các chính sách truy cập và các nội dung
Internet.
Với tính năng Web Filter bảo vệ người dùng khi truy cập internet, ngăn chặn
download các phần mềm độc hại (Malware) và các mối đe doạ từ web khác. Ngăn
chặn truy cập đến các máy chủ hoặc website không mong muốn, cung cấp thêm một
lớp an ninh quan trọng là kiểm soát ứng dụng.

6


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

3. Chặn các ứng dụng khơng mong muốn, Kiểm sốt băng thơng và
đảm bảo tính liên tục cho doanh nghiệp (Block unwanted applications,
control acceptable traffic, and énure business continuity).

Barracuda NextGen Firewall F cho phép người quản trị kiểm soát chặt chẽ hơn
các ứng dụng, cho phép định nghĩa các forward rule dữ liệu bằng cách sử dụng các
kênh truyền dựa trên kiểu của ứng dụng, người dùng, nội dung, thời gian trong ngày
và vị trí địa lý.

Thiết bị di động, ứng dụng trực tuyến, mạng xã hội và phương tiện truyền thông
chiến dụng rất lớn trong lưu lượng dữ liệu trong mạng lưới kinh doanh. Giới hạn băng
thông gây ảnh hưởng đến hiệu xuất của các ứng dụng kinh doanh.
a. Kiểm soát ứng dụng (Application Control)

Barracuda NextGen Firewall cung cấp một phát hiện mạnh mẽ, cực kỳ đáng tin
7


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

cậy và phân loại hàng ngàn ứng dụng và các ứng dụng phụ bằng cách kết hợp kiểm
tra sâu gói (DPI) và phân tích hành vi lưu lượng. khơng có vấn đề trong các giao thức
được sử dụng như obfuscation tiên tiến, kỹ thuật nhảy port (port hopping techniques)
hoặc mã hố. Cho phép tạo ra các chính sách động cho các ứng dụng, tạo điều kiện
cho việc thiết lập và thực thi các truy cập có thể chấp nhận và chính sách sử dụng cho
người và nhóm của ứng dụng, loại ứng dụng, vị trí và thời gian trong ngày. Barracuda
NextGen Firewall kết hợp việc kiểm soát ứng dụng và các chính sách xác thực như:
Active Directory, RADIUS, LDAP/S, ngồi ra cịn cung cấp tính năng lựa chọn nưng
cao dựa trên định tuyến và khả năng QoS. Barracuda NextGen Firewall đi kèm với
thời gian thực và khả năng hiển thị lịch sử của các ứng dụng cho thấy lưu lượng ứng
dụng được sử dụng, làm cơ sở cho việc quyết định các kết nối cần được ưu tiên băng
thông, QoS cho các ứng dụng quan trọng của doanh nghiệp. ngoài ra cịn cho phép
điều chỉnh các chính sách sử dụng ứng dụng của doanh nghiệp.
b. Kiểm soát ứng dụng các nhân (Personalized Application Control).

Với hàng ngàn các ứng dụng thường xuyên được cập nhật và kết nối thông qua,
Barracuda NextGen Firewall cung cấp một cách dễ dàng tạo ra các định nghĩa về ứng

dụng của người dùng để kiểm soát ứng dụng tốt nhất và phù hợp với nhu cầu cụ thể
của từng tổ chức.
c. Lựa chọn kết nối dựa trên ứng dụng (Application-Based Provider

Selection).
Sự kết hợp của Firewall thế hệ mới với định tuyến WAN cho phép Barracuda
NextGen Firewall có thể tự động gán băng thơng cho các liên kết không chỉ dựa trên
giao thức, sử dụng, địa điểm và nội dung, mà còn dựa trên các ứng dụng, danh mục
ứng dụng và các bộ lọc web. Điều này sẽ giúp cho các Line ln có sẵn cho các ứng
dụng kinh doanh và giảm đáng kể thời gian đáp ứng và giải phóng băng thơng.
d. Deep Application Context.

Bằng cách phân tích sâu các ứng dụng cho phép kiểm tra sâu hơn dữ liệu của ứng
dụng bằng cách xác định ý định thực sự của các ứng dụng và người sử dụng tương
ứng. Bằng cách này người quản trị có cái nhìn chi tiết vào một ứng dụng cụ thể được
sử dụng hoặc nếu người dùng đã cố gắng phá vỡ các chính sách sử dụng ứng dụng
của cơng ty.
e. Điều khiển và Xác thực người dùng (User Identity Awareness & control)

Barracuda NextGen Firewall hỗ trợ xác thực người sử dụng và thực thi các quy tắc
tường lửa được sử dụng để nhận biết, thiết lập bộ lọc web và điều khiển ứng dụng
bằng cách tích hợp:
-

Microsoft and Citrix terminal service environments.
Microsoft Active Directory
NTLM
RADIUS
8



Công ty TNHH CN- TV TM Đông Quân Năm 2016
-

Năm 2016

RSA SecurID
LDAP/LDAPS
TACACS+
…

9


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

f. Báo cáo các nguy cơ ứng dụng và sử dụng (Application risk and Usage
Report)

Các ứng dụng được sử dụng và báo cáo rủi ro là một loại báo cáo được xác đinh
trước trọng công cụ Barracuda Report Creator cung cấp các báo cáo tự động và phân
tích rủi ro dựa trên các lưu lượng mạng đi qua trong mạng. nó cung cấp một cái nhìn
tổng quan và hiệu quả dựa trên công nghệ hiện tại để xác định và thực thi các chính
sách sử dụng ứng dụng của cơng ty và cung cấp các khuyến nghị nên đưa vào tài
10


Công ty TNHH CN- TV TM Đông Quân Năm 2016


Năm 2016

khoản khi xác định lại những chính sách này. Thậm chí nếu khơng sử dụng một thiết
bị định tuyến, Barracuda NextGen Firewall vẫn có thể thu thập dữ liệu cần thiết để tạo
ra các báo cáo:
-

Layer 2 Bridge
SPAN Port/ Port Mirroring Deployment

Trong cả hai cách, thu thập lưu lượng không ảnh hưởng đến hiệu xuất của
Firewall. Việc tạo ra báo cáo có thể được bắt đầu bằng tay hoặc theo lịch, báo cáo này
có thể tuỳ chỉnh để phù hợp với yêu cầu của từng đơn vị.
4. Cloud Enablement & WAN Virtualization.
a. Sự cần thiết cho một mạng ứng dụng được phân bố (The need for an
Application Delivery Network):
Mạng doanh nghiệp ngày nay đang bị biến đổi bỏi sự gia tăng của các thiết bị
di động và việc áp dụng ngày càng tăng của các dịch vụ SaaS như như Microsoft
Office 365 và di chuyển các dịch vụ của công ty đến các đám mây riêng hoặc công
cộng. Kết quả của điều này là tăng sự phân tán của công ty thành nhiều phần và các
cuộc tấn công tăng lên ồ ạt. trong trường hợp này một giải pháp một giải pháp tường
lửa là cần thiết và có thể được triển khai cho nhiều vị trí trên mạng với các thế hệ tiếp
theo kiểm tra sâu tương ứng tính năng để giảm thiểu các cuộc tấn cơng. Ví dụ Office
365 cần được truy cập ở tất cả các địa điểm văn phòng chi nhánh, như vậy nhiều điểm
thực thi cần phải được tạo ra. Ứng dụng kinh doanh nội bộ chạy trên các liên kết
WAN phải được đảm bảo được mất cũng như chất lượng của dịch vụ suy yếu do các
hoạt động của mạng nhưng ít quan trọng hơn.
Nhiều Barracuda NextGen Firewall triển khai ở nhiều địa điểm vât lý và điện
toán đám mây cho phép một tổ chức mở rộng hiệu suất và độ an toàn với việc phân

phối ứng dụng hợp lý (AND) trên các thành phần của cơ sở hạ tầng vật lý và ảo hoá.
Cùng với khái niệm quản lý tập trung hàng đầu với hai khái niệm thực hiện triển khai
và quản lý có thể được thực hiện với chi phí thấp.
Các tính năng quan trọng đầy đủở đây là Next-gen kiểm soát sâu có thể được
kết hợp với quản lý luồng dữ liệu tích ứng dựa trên chính sáng thơng minh. Dựa trên
chính sách có nghĩa là các thiết lập QoS (đảm bảo về băng thơng, ưu tiên) chọn đường
mạng. Ví dụ: VPN với MPLS, hoặc yêu cầu bảo mật có thể dựa trên các ứng dụng
hoặc người dùng/nhóm với lưu lượng băng thơng thích ứng. Thích ứng có nghĩa là
chính sách chuyển đổi dự phịng có thể được định nghĩa chắc chắn rằng trọng trường
hợp có con đường đặc biệt thay thế có thể sử dụng được. Tính năng này cho phép cải
thiện khả năng chịu lỗi chống lại đứt kết nối cũng như cho các chiến lược tối ưu hố
chi phí mà nhiều hãng/ISP được kết hợp để có được băng thông cần thiết và một mức
giá tối ưu.
Dịch vụ đám mây công cộng như Amazon EC2 vàMicrosoft Azure là một cách
mới và ngày càng hấp dẫn để giảm chi phí xung quanh các hoạt động công nghệ
thông tin. Các ngành nghề kinh doanh thu lợi nhuận từ việc mua bán nhanh và đỡ tốn
thời gian hơn. Tính tốn và lựa chọn để đạt được dịch vụ sẵn có trên tồn cầu một
11


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

cách nhanh chóng. Có quá nhiều thách thức, nhân rộng khái niệm DC trong mơi
trường này khơng thể khơng có một đám mây sản phẩm tường lửa tương thích.
Barracuda NextGen Firewall F là lý tường cho việc bảo vệ và tương thích với
các mơi trường đám mây cơng cộng. kết nối mạng tại đám mây và kết nối các thành
phần một cách hợp lý trong các trung tâm dữ liệu đám mây.
b. lựa chọn dựa trên nhà cung cấp ứng dụng (Application-Based Provider

Selection):
Trước khi các tổ chức có thể thực hiện trên đám mây bắt buộc cần phải có đám
mây. Như đã đề cập trước đó, Barracuda NextGen Firewall bao gồm thông tin về ứng
dụng, danh mục ứng dụng, cũng như các bộ lọc Web vào chính sách lựa chọn liên kết
của nó. Chính sách liên kết như vậy có thể buộc các ứng dụng kinh doanh quan trọng
sử dụng đường T1, khi các lưu lượng dữ liệu không quan trọng được định tuyến qua
đường ít tốn kém hơn.
c. Traffic Shaping và chất lượng dịch vụ(Traffic Shaping and Quality of
Service):
Giới hạn tài nguyên mạng dành cho băng thông ưu tiên là điều cần thiết.
Barracuda NextGen Firewall cung cấp chất lượng dịch vụ (QoS) mạnh mẽ cho phép
người quản trị áp dụng các khía cạnh chất lượng và dịch vụ để đảm bảo lưu lượng dữ
liệu được truyền trong WAN. QoS thường dùng để ưu tiên các luồng dữ liệu mạng của
ứng dụng quan trọng và không ảnh đến lưu lượng dữ liệu mạng của các ứng dụng
khác. Barracuda NextGen Firewall thường đi kèm với một tập hợp lớn các các công
nghệ QoS, chẳng hạn như: traffic shaping, on-the-fly lưu lượng ưu tiên và phân vùng
băng thông, chỉ định giới hạn băng thơng cho các loại hình khác nhau. Để chọn băng
thơng cho các lớp ưu tiên khác nhau, có sẵn phân tích lưu lượng thời gian thực có thể
dùng để xác định xem lưu lượng mạng gửi bởi các ứng dụng kinh doanh quan trọng
hoặc các ứng dụng không mong muốn.
d. Chuyển đổi Dự phòng và cân bằng đường truyền (Failover andLink
Balancing):
Để đảm bảo các kết nối và chi phí hiệu quả tốt nhất, Barracuda NextGen
Firewall cung cấp một phạm vi rộng được xây dựng với các tuỳ chọn Uplink chẳng
hạn như khơng giới hạn đường truyền, có thể dùng 4 đường truyền. Bằng cách loại bỏ
sự cần thiết phải mua thêm thiết bị cân bằng đường truyền, Khách hàng sẽ có quyền
truy cập vào kết nối WAN mà khơng bao giờ Down, ngay cả khi một hoặc hai đường
liên kết WAN đang bị ngắt. Hơn nữa, cơ chế lưu lượng dữ liệu thơng minh khi một
đường được kích hoạt thì tất cả lưu lượng mạng được định tuyến lại để sử dụng hết
các đường còn lại. Trong trường hợp đường dự phịng cung cấp ít băng thơng, traffic

shaping thơng minh tự động ưu tiên các ứng dụng quan trọng hơn cho kinh doanh,
mạng hoặc thiết bị đầu cuối khác.
e. Dynamic Mesh VPN:
Barracuda NextGen Firewall có thể cho phép tự động tạo xoá đường hầm trực
tiếp giữa các spokes trong kiến trúc hub-and-spoke để nưng cao chất lượng kết nối
với độ trễ trong luồng dữ liệu, tiết kiệm được tài nguyên. Đường hầm sẽ tự động bị
12


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

ngắt khi khơng sử dụng, có thể đươc xây dụng giữa các node địa chỉ tự động và cùng
tồn tại cùng một mạng hub-and-spoke cho phép lựa chọn linh hoạt đường định tuyến
bởi module Firewall
f. Tối ưu mạng WAN (WAN Optimization):
Barracuda NextGen Firewall có thể hiệu suất mạng WAN của mơi trường
mạng phân phối bằng cách cải thiện tính sẵn sàng, hiệu suất và đáp ứng thời gian của
các ứng dụng kinh doanh quan trọng bằng cách hạ thấp throughput và truyền trễ, ảnh
hưởng trong thời gian nhạy cảm và lợi nhuận kinh doanh. Khái niệm mạng thế hệ tiếp
theo của Barracuda NextGen Firewall cung cấp một bộ tính năng mạnh mẽ để giảm
hiệu quả và bù đắp những tác động tiêu cực của độ trễ cao và thời gian đáp ứng. Bằng
cách thực hiện tính năng tăng tốc mạng WAN như chống trùng lập dữ liệu, nén lưu
lượng mạng và tối ưu hố giao thức, BarracudaNextGen Firewall có thể cải thiện
đang kể dữ liệu WAN giữa site-to-site và tăng năng suất bằng cách đẩy nhanh việc
phân phối các ứng dụng kinh doanh. Lưu lựợng WAN có thể được nén hiệu quả lên
đến 95%, giảm đáng kể băng thông cần thiết tại các địa điểm từ xa tăng đáp ứng
mạng.
5. Bảo mật truy cập từ xa (Secure Remote Access)

Barracuda NextGen Firewall F kết hợp cao khả năng VPN giữa Client-to-Site,
sử dụng SSL, các giao thức IPsec và TINA để đảm bảo người dùng từ xa có thể dễ
dàng truy cập tài ngun mạng an tồn mà khơng cần cấu hình và tốn thời gian quản
lý. Các giao thức truyền thông sử dụng bởi người dùng được tối ưu hoá để có thể
chuyển vùng hồn tồn nhanh chóng bằng cách kết nối lại khi mất kết nối. Cơng nghệ
tìm đường thơng minh xác định điểm gần nhất để truy cập vào mạng của cơng ty.
Cơng nghệ tiên tiến traversal NAT có thể sử dụng các cổng khác nhau gói gọn trong
cả TCP và UDP do đó có thể đi qua proxy web. Các dịng thiết bị máy tính cá nhân,
điện thoại thơng minh, máy tính sách tay và máy tính bảng vào nơi làm việc có thể
giúp tăng năng suất, tính linh hoạt và tiện lợi. Tuy nhiên BYOD (Bring Your Own
Device) có thêm những thách thức an ninh và rủi ro mới chẳng hạn như cho phép và
kiểm soát truy cập, cũng như ngăn ngừa mất dữ liệu. Barracuda NextGen cung cấp
khả năng mạnh mẽ cho người dùng đầy đủ lợi thế với các thiết bị của họ trong khi
giảm rủi ro có thể cho doanh nghiệp. Các ứng dụng khơng mong muốn có thểbị chặn,
vùng mạng LAN có thể bảo vệ dữ liệu nhạy cảm và kiểm soát truy cập có thể kiểm tra
được tình trạng bảo mật của từng thiết bị kết nối với mạng công ty.

13


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

Ghi chú: Về Giao thức TINA: các giao thức TINA có thể đóng gói bằng mã hố ESP
trong giao thức TCP hoặc UDP, do đó thích nghi với chất lượng mạng và cung cấp
khả năng chịu lỗi cao, các kết nối VPN tốc độ cao. Nó cũng cải thiện đáng kể kết nối
VPN bằng cách thêm:
•
•

•
•
•
•

Nhiều đường vận chuyển vật lý đồng thời trên mỗi đường hầm logic
Cấp độ phiên hoặc cấp độ gói tin được vận chuyển tăng làm tăng tổng
throughput tunnel
Thích ứng traffic shaping phụ thuộc vào sự có sẵn của VPN
Dự phịng vận chuyển trong trường hợp kết nối lỗi
Nén dữ liệu và chống trùng lặp
Hỗ trợ DHCP và NAT

a. Trình duyệt truy cập từ xa (SSL VPN):

Barracuda Mobile Portal cho phép bạn thiết lập các phím tắt trên màn hình của
thiết bị như điện thoại thơng minh hoặc máy tính bảng. khi truy cập vào portal
thơng qua trình duyệt web trên thiết bị di động, người dùng có thể duyệt các ứng
dụng, thư mục mạng và các tập tin như thể chúng được kết nối với mạng văn
phòng. Mobile Portal hỗ trợ hầu hết các thiết bị thường được sử dụng ví dụ như:
Apple IOS, Android, và các thiết bị Blackberry và là một phần của “Basic Remote
Access” subscription.
b. Mobile Apps (CudaLaunch):

Cudaluanch là một ứng dụng cho cả IOS và các thiết bị Android cung cấp cho
người dùng di động truy cập từ xa an toàn thông qua Barracuda NextGen Firewall
F cho các ứng dụng điện tốn đám mây riêng của tổ chức và thơng tin nhạy cảm
14



Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

khác. Là một ứng dụng, nó cung cấp một thiết lập cửa hàng ứng dụng quen thuộc
và cài dặt cho người dùng cuối. không giống như truy cập từ xa dựa trên trình
duyệt, CudaLaunch cung cấp một cái nhìn và cảm thấy thống nhất trên nền điện
thoại di động và tránh các đặc tính của các trình duyệt di động.

c. VPN Clients (Barracuda Network Access Client):

Mỗi barracuda NextGen Firewall hỗ trợ không giới hạn số lượng VPN client
và không phải trả thêm chi phí. Barracuda Network Access VPN Client cung cấp
một VPN client cho Windows, Mac OS và linux cung cấp hiệu năng phong phú và
chức năng hơn so với các phần mềm Ipsec client. Lợi ích gồm phục hồi nhanh
chóng của các đường hầm VPN, “Always On” kết nối VPN cho máy tính, hỗ trợ
VPN Gateway dự phịng, định tuyến chọn lọc lưu lượng mang thông qua các
đường hầm VPN và tìm cổng VPN tối ưu. Barracuda Network Access khi được sử
dụng với một Barracuda NextGen Firewall F, cung cáp trung tâm quản lý Network
Access Control (NAC) và một tường lửa cá nhân tiên tiến thực thi chính sách kiểm
tra và bảo mật cho người dùng từ xa kết nối với mạng công ty.

15


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

16



Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

6. Quản lý tập trung trên Enterprise (Central Management across the
Enterprise)
Để quản lý tập trung trên nhiều thiết bị tường lửa khác nhau và người
dùng truy cập từ xa, Barrcuda NextGen Control Center cho phép các quản trị
viên quản lý, cấu hình bảo mật, nội dung, quản lý băng thơng và các chính sách
truy cập mạng từ một giao diện duy nhất. Dựa trên mẫu cấu hình và các đối
tượng bảo mật có sẵn trên tồn cầu cho phép cấu hình hiệu quả trên hàng ngàn
địa điểm. Barracuda NextGen Control Center giúp giảm đáng kể chi phí liên
quan đến quản lý an toàn trong khi cung cấp thêm chức năng ở cả trung tâm và
tại vị trí local. Bản vá lỗi phần mềm và phiên bản nâng cấp được điều khiển tập
trung từ bên trong giao diện quản lý và triển khai có thể được áp dụng cho tất cả
các thiết bị.
Vai trị người quản trị có thể được tuỳ biến cao có thể được định nghĩa để
uỷ thác năng lực quản lý cho các phòng ban hoặc các địa điểm cụ thể.

a. Mở rộng triển khai (Scalable Deployment):
Quản lý các vấn đề bảo mật trong một doanh nghiệp được phân phối rọng
rãi có thể gây khó khăn và vơ cùng tốn thời gian. Quản lý một hệ thống có thể
chỉ mất 15 phút mỗi ngày, nhưng hệ thống có 20 thiết bị tường lửa thì thời
gian kiểm tra mất 5 giờ mỗi ngày chỉ để quản lý hệ thống hiện tại. Với
Barracuda NextGen Control Center, quản lý nhiều thiết bị tường lửa
Barracuda NextGen Firewall F triển khai có cùng một lượng thời gian như
quản lý một.
•

•

Tạo ra các mẫu cấu hình trước để dễ triển khai
Có tất cả các thông tiin về việc triển khai bảo mật doanh nghiệp có
sắn trong thời gian thực.
• Tạo báo cáo của một hoặc tất cả các thiết bị Firewall F được triển
17


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

khai

b. Vòng đời quản lý (Lifecycle Management):
Khả năng mở rộng của Barracuda NextGen Firewall F được bảo hộ bền
vững. Energize Updates tự động cập nhật các định nghĩa phần mềm và mối đe
doạ mới nhất để giữ thiết bị được cập nhật. Cùng với việc duy trì Instant
Replacement subscription, tổ chức sẽ nhận được thiết bị mới với các thông số
kỹ thuật mới nhất sau mỗi 4 năm.

18


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

II. Tiêu chuẩn và quy chuẩn kỹ thuật

1. Tiêu chuẩn kỹ thuật:
a. Tính năng Firewall:
• Hỗ trợ kiểm tra trạng thái và chuyển tiếp của gói tin (Stateful packet
inspection and forwarding)
• Hỗ trợ Full user-identity awareness
• Hỗ trợ IDS/IPS (Intrusion Detection and Prevention System
(IDS/IPS))
• Hỗ trợ kiểm sốt ứng dụng, và các ứng dụng con (Application control
and granular application enforcement)
• Hỗ trợ chặn và giải mã ứng dụng được mã hóa SSL/TLS
• Hỗ trợ Antivirus and web filtering in single pass mode
• Hỗ trợ SafeSearch enforcement
• Hỗ trợ YouTube for Schools support
• Hỗ trợ chống DoS và DdoS
• Hỗ trợ chống Spoofing and flooding
• Hỗ trợ chống giả mạo ARP và rác
• Hỗ trợ DNS reputation filtering
• Hỗ trợ TCP stream reassembly
• Hỗ trợ Transparent proxying (TCP)
• Hỗ trợ NAT (SNAT, DNAT ), PAT
• Hỗ trợ Dynamic rules / timer triggers
• Hỗ trợ Single object-oriented rule set for routing, bridging, and
routed bridging
• Hỗ trợ mơi trường test rule (Virtual rule test environment)
b. User Identity Awareness
• Hỗ trợ Terminal Server Agent
• Hỗ trợ Domain Controller Agent
• Hỗ trợ Authentication – supports x.509, NTLM, RADIUS, RSA
SecurID, LDAP/LDAPS, Active Directory, TACACS+, SMS Passcode
(VPN), local authentication database

• WiFi Access Point Authentication support
c. Intrusion Detection and Prevention
• Hỗ trợ Protection against exploits, threats and vulnerabilities
• Bảo vệ phân mảnh và gói tin (Packet anomaly and fragmentation
protection)
• Advanced anti-evasion and obfuscation techniques
• Hỗ trợ tự động cập nhật signature (Automatic signature updates)
d. Traffic WAN Optimization built in
• Hổ trợ Link monitoring, aggregation, and failover trên các đường
WAN (Link monitoring, aggregation, and failover)
• Hỗ trợ Dynamic routing
• Hỗ trợ Application-based provider selection
• Hỗ trợ Traffic shaping and QoS
• Hỗ trợ On-the-fly flow reprioritization
19


Công ty TNHH CN- TV TM Đông Quân Năm 2016

e.

f.

g.

h.

i.

j.


Năm 2016

• Hỗ trợ Stream and packet compression
• Hỗ trợ Byte-level data deduplication
• Hỗ trợ Protocol optimization (SMBv2)
Advanced Threat Detection
• Hỗ trợ Dynamic, on-demand analysis of malware programs
(sandboxing)
• Hỗ trợ Dynamic analysis of documents with embedded exploits
(PDF, Office, etc.)
• Detailed forensics for both, malware binaries and web threats
(exploits)
• Hỗ trợ nhiều hệ điều hành (Windows, Android,…)
• Hỗ trợ phân tích phần mềm độc hại trên Cloud (Flexible malware
analysis in the cloud)
VPN
• Hỗ trợ tạo kết nối VPN theo cơ chế kéo và thả (Drag & drop VPN
tunnel configuration)
• Hỗ trợ Secure site-to-site, client-to-site VPN
• Hỗ trợ Dynamic mesh site-to-site VPN
• Supports AES-128/256, 3DES, DES, Blowfish, CAST, null ciphers
• Hỗ trợ Private CA or external PKI
• Hỗ trợ VPNC certified (basic interoperability)
• Hỗ trợ Application-aware traffic routing
• Hỗ trợ IPsec VPN / SSL VPN / TINA
• Hỗ trợ Network Access Control
• Hỗ trợ iOS and Android mobile device VPN support
High Availability
• Hỗ trợ Active-active or active-passive

• Hỗ trợ Transparent failover without session loss
• Hỗ trợ Network notification of failover
• Hỗ trợ Encrypted HA communication
Hỗ trợ quản trị tập trung Firewall(Central Management Options)
• Hỗ trợ Unlimited Firewall
• Hỗ trợ quản lý hàng ngàn các thiết bị Firewall thông qua một giao
diện quản trị duy nhất (Centralized Management of thousands of
remote appliances including configuration through a single interface)
• Hỗ trợ tính năng multi-tenancy (Support for multi-tenancy)
• Hỗ trợ Multi-administrator support & RCS
Infrastructure Services
• Hỗ trợ DHCP server, relay
• Hỗ trợ SIP, HTTP, SSH, FTP proxies
• Hỗ trợ SNMP and IPFIX support
• Hỗ trợ DNS Cache
• Hỗ trợ SMTP gateway and spam filter
• Wi-Fi (802.11n) access point on selected models
Protocol Support
• Hỗ trợ Advanced Threat Detection
20


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

• Hỗ trợ lọc Web (Web Filter)
• Hỗ trợ bảo vệ chống Malware (Malware Protection)
• Hỗ trợ Basic Remote Access subscription provides browser-based
remote access (SSL VPN) with Network Access Control (NAC)

• Hỗ trợ Premium Remote Access subscription provides remote access
via the App for iOS and Android devices.

2. Thông số kỹ thuật

21


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

III. Tiêu chuẩn và chất lượng dịch vụ
1. Barracuda Networks Cam kết đổi mới:
Barracuda cam kết cung cấp bảo mật tiến tiến và tồn diện nhất. thơng qua
phương pháp tiếp cận nhiều cấp đã chứng minh Barracuda Networks được hỗ trợ
bởi sự theo dõi và xử lý liên tục của các kỹ sư được đào tạo tại chuyên nghiệp tại
Barracuda Central, để biết thêm thông tin về các công nghệ của Barracuda
Network
cải
tiến
mới
nhất
có
thể
tham
khảo
link:
www.barracuda.com/technology.
2. Barracuda Energize Updates:

• Chuẩn hỗ trợ kỹ thuật
• Cập nhật Firmware (Firmware updates)
• Cập nhật chữ ký IPS (IPS signature updates)
• Cập nhật định nghĩa về điều khiển ứng dụng (Application control
definition updates)
• Cập nhật Webfilter (Webfilter updates)
3. Các gói tuỳ chọn bảo mật (Security Options):

- Cung cấp phát hiện các mối de doạ nưng cao (ATD) dựa trên kiểu file để
ngăn chặn các phần mềm độc hại tiên tiến và dựa trên Sandbox Cloud
- Bảo vệ khỏi các phần mềm độc hại(Malware Protection)
- Basic Remote Access subscription cung cấp truy cập từ xa dựa trên trình
duyệt (SSL VPN) với Network Access Control (NAC)
22


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

- Premium Remote Access subscription cho phép truy cập từ xa thông qua
các ứng dụng CludaLaunch cho Windows, Mac OS X, iOS và các thiết bị
Android.
4. Dịch vụ thay thế tức thì (Instant Replacement Service):
• Thiết bị thay thế được vận chuyển trong ngày tiếp theo
• Kỹ thuật hỗ trợ 24/7
• Thiết bị phần cứng được thay thế thiết bị mới sau 4 năm

23



Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

IV. Các biện pháp và giải pháp kỹ thuật
Barracuda NextGen Firewall F có nhiều model để đáp ứng các yêu cầu kết
nối mạng khác nhau, từ F10 cho các văn phòng nhỏ đến F1000 cho các trung tâm
dữ liệu lớn.
1. Kết nối và cấu hình cơ bản.

Bước 1: Cài đặt Barracuda NextGen Firewall F hoặc Barracuda NextGen control
Center vào Rack (một số model nhỏ cs kích thước để bàn, các mơ hình lớn có thể
gắn vào các chuẩn kích thước Rack).
Bước 2: Cổng quản lý (Management Ports): Port quản lý đối với thiết bị
Barracuda NextGen Firewall là khác nhau theo model, được dùng để kết nối với
một PC để quản lý.

Bước 3: Thực hiện các hướng dẫn triển khai nhanh
Mỗi thiết bị Barracuda NextGen Firewall F hoặc Barracuda NextGen Control
Center đều được gửi kèm theo, hoàn thành các bước trong hướng dẫn đề triển
khai.
(có thể tham khảo link:
/>ent/)
Bước tiếp theo: Bắt đầu login và cấu hình trên thiết bị.

2. Login và cấu hình.

-


-

Trước khi bắt đầu đảm bảo rằng bạn đã hoàn thành các bước được liệt
kê trong phần trước:
Hardware: Hoàn thành triển khai phần cứng và hướng dẫn triển khai
nhanh có trong thùng đựng thiết bị. Dùng PC kết nối với Port quản lý
của thiết bị và gán IP thuộc lớp 192.168.200.0/24 (Chú ý: khơng được
dùng IP 192.168.200.200 vì đây là IP của thiết bị Firewall)
Ảo hố (Vx): hồn thành các bước triển khai trong ảo hố
Public Cloud: hồn thành các bước triển khai trong Public Cloud được
cung cấp.

Bước 1: Chuẩn bị.
24


Công ty TNHH CN- TV TM Đông Quân Năm 2016

Năm 2016

Kết nối đến Barracuda NextGen Firewall F, chúng ta phải sử dung ứng
dụng Barracuda NextGen Admin, ứng dụng này là độc lập và có thể thực thi
khơng cần cài đặt. Luôn sử dụng phiên bản mới nhất của NextGen Admin.
Chúng ta có thể tải về từ trang Barracuda Customer Portal.
Bước 2: Login vào Barracuda NextGen Firewall: kết nối với Firewall dùng
NextGen Admin.
-

Mở NextGen Admin
Trong của sổ Login, chọn Box

Nhập IP quản lý, Username, Password
IP Quản lý

Username

Password

Phần cứng

192.168.200.200

root

ngf1r3wall

Ảo hoá

Thiết lập trong quá root
trình triển khai

ngf1r3wall

Public Cloud – IP tuỳ trường hợp
Amazon AWS

root

Public Cloud – vụ root
Microsoft

cloud>.cloudapp.net
Azure
hoặc Virtual IP (VIP)
của dịch vụ Cloud

Tuỳ ID ví dụ: i0aaaa123
-Thiết lập
triển khai

khi

-Nếu
khơng:ngf1r3wall

25