安全

• 高级威胁防护

  传统解决方案通常在网络威胁入侵后通过向管理员发送日志通知来检测网络威胁，而 梭子鱼高级威胁防护 (ATP) 实施完整的系统模拟，提供对恶意软件行为的深入可见性。根据不断更新的加密哈希数据库检查文件。如果文件未知，它会在可以发现恶意行为的虚拟沙箱中进行模拟。

  Barracuda ATP 为管理员提供基于文件类型的精细控制，包括自动隔离和阻止列表功能，以保持对组织网络的最高级别保护。

  Barracuda Advanced Threat Protection 是一项可选订阅。

• 僵尸网络和间谍软件保护

  僵尸网络和间谍软件防护通过阻止对恶意站点和服务器的访问来防止僵尸网络感染，并基于 DNS Sinkholing 技术检测可能受感染的客户端。DNS Sinkholing 通过监控通过防火墙的出站 DNS 请求来阻止客户端访问恶意域。对恶意域的 DNS 请求被重定向到内部污水坑，从而防止数据泄露并识别受害者。一旦检测到受感染的客户端，就可以自动将其隔离。Barracuda Firewall Report Creator 也可以创建或报告警报。

• 入侵检测与预防

  梭子鱼云融合防火墙的入侵检测和防御系统（IDS/IPS）通过提供完整和全面的实时网络保护来抵御操作系统、应用程序和应用程序中的各种网络威胁、漏洞、漏洞利用和暴露，从而大大增强了网络安全性。防止网络攻击的数据库，例如：

  • SQL 注入和任意代码执行

  • 访问控制尝试和权限升级

  • 跨站点脚本和缓冲区溢出

  • 拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 攻击

  • 目录遍历和探测和扫描尝试

  • 后门攻击，特洛伊木马、rootkit、病毒、蠕虫和间谍软件

  Barracuda CloudGen Firewall 提供高级攻击和威胁防护功能，例如：

  • 流分段和数据包异常保护

  • TCP 拆分握手保护

  • IP 和 RPC 碎片整理

  • FTP 规避保护

  • URL 和 HTML 解码

  因此，梭子鱼云融合防火墙能够识别并阻止攻击者用来规避和欺骗传统入侵防御系统的高级规避尝试和混淆技术。

  作为 Barracuda Energize Updates 订阅的一部分，自动签名更新会定期或紧急交付，以确保 Barracuda CloudGen Firewall 始终保持最新状态。如果防火墙单元是集中管理的，则更新由梭子鱼防火墙控制中心方便地分发。

• 拒绝服务 (DoS) 和分布式拒绝服务 (DDoS) 保护

  在当今无处不在的僵尸网络世界中，边界保护的主要任务之一是确保网络对合法请求的持续可用性，并检测和击退恶意拒绝服务攻击。借助 TCP SYN Flood Protection，梭子鱼 CloudGen 防火墙可以有效地充当通用 TCP 代理，仅将合法的 TCP 流量转发到网络内部。

  此外，Barracuda CloudGen Firewall 允许定义速率限制，该限制应用于防火墙处理的每个源地址的最大会话数。以比允许的速度更快到达的数据包将被简单地丢弃。在大规模 DDoS 攻击中，攻击者可能只是通过传输大量 UDP 数据包来使链路饱和。梭子鱼云融合防火墙的集成环境监控功能通过链接和目标地址监控来诊断此类情况。一旦远程目标地址对常规 ICMP 探测的响应失败，系统可以配置为激活不同的路由和上行链路（例如备份线路、ISDN、xDSL）。使用此功能，流量将在未受影响的线路上畅通无阻，并且关键的站点到站点和站点到 Internet 连接保持运行。

  
  

• 恶意软件防护

  梭子鱼云融合防火墙内置的恶意软件防护通过两个完全集成的防病毒引擎扫描网页内容（HTTP 和 HTTPs）、电子邮件（SMTP、POP3）和文件传输（FTP），从而保护内部网络免受恶意内容的侵害。Barracuda 恶意软件保护基于定期签名更新以及先进的启发式算法，即使在签名可用之前也能检测到恶意软件或其他可能不需要的程序。Barracuda 恶意软件防护涵盖病毒、蠕虫、特洛伊木马、恶意 Java 小程序，以及对 PDF、图片和办公文档、宏病毒等使用已知漏洞的程序，甚至在使用隐形或变形技术进行混淆时也是如此。

• SSL拦截

  所有 Barracuda CloudGen 防火墙型号都可以使用标准的“可信中间人”方法将 IPS、病毒防护、应用程序控制、URL 过滤器甚至高级威胁防护应用于 SSL 加密的网络流量。可以对 SSL 拦截进行微调，使本地网络、用户/组、URL 过滤器类别或自定义域免受 SSL 检查。

• 状态深度包检测防火墙

  每个 Barracuda CloudGen 防火墙的核心是一个高性能的状态深度数据包检测引擎，检查每个通过的数据包的标头和数据部分。格式错误的数据包被忽略，保护梭子鱼设备背后的基础设施免受网络级攻击。然后检查符合协议的包以匹配任何定义的防火墙规则。

• 单通道架构

  一旦防火墙打开数据包进行检查，所有其他安全检查机制（如 IPS/IDS、防病毒）也会应用于数据包或连续数据包流。安全检查以单向模式完成，无需移交给单独的代理。

• 多重身份验证 (MFA)

  多因素身份验证 (MFA) 已成为防止未经授权访问公司关键信息的标准。Barracuda CloudGen Firewall 支持并执行受保护资源、SSL-VPN 以及 VPN 连接的多因素身份验证方法。这使得不再需要购买额外的多因素身份验证或身份访问管理 (IAM) 解决方案。

• TOTP

  基于时间的一次性密码 (TOTP) 通常用于双因素身份验证，如今已成为云应用程序提供商使用的多因素身份验证方法的实际标准。每个 Barracuda CloudGen 防火墙都包含使用 TOTP 算法的高级多因素身份验证功能，以保护公司关键资源以及 SSL-VPN 和 VPN 连接免遭未经授权的使用。