NSS实验室评估下一代防火墙

日期: 2018-07-24 作者:Kathleen Richards翻译:邹铮 来源:TechTarget中国 英文

根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成本也很合理—每Mbps网络流量不到10美元。

NSS实验室在周二发布了针对下一代防火墙的年度评估结果,该实验室基于对阻止未经授权访问网络的硬件和软件的比较测试,从安全有效性和总体拥有成本的角度在10款产品中选出7款产品推荐给用户。

NSS实验室首席技术官Jason Brvenik称:“我们的数据显示80%的企业已经部署了下一代防火墙。”他指出这个市场已经成熟,很多供应商的技术正处于更新周期。

该研究机构对10家供应商的下一代防火墙进行了评估,其中包括:

Barracuda Networks CloudGen防火墙F800.CCE v7.2.0;

Check Point 15600下一代威胁防护设备vR80.20;

Cisco Firepower 4120安全设备v6.2.2;

Forcepoint NGFW 2105 Appliance v6.3.3 build 19153(更新包:1056);

Fortinet FortiGate 500E V5.6.3GA build 7858;

Palo Alto Networks PA-5220 PAN-OS 8.1.1;

SonicWall NSa 2650 SonicOS增强版6.5.0.10-73n;

Sophos XG Firewall 750 SFO v17 MR7;

Versa Networks FlexVNF 16.1R1-S6;

WatchGuard M670 v12.0.1.B562953

这个独立测试还涉及参与供应商的配合工作,以及在某些情况下来自顾问的帮助,以验证下一代防火墙是否根据物理和虚拟测试环境的默认设置进行了正确配置。NSS实验室并没有评估华为或瞻博网络的系统,因为他们无法“验证这些产品”,研究人员称他们有必要测量产品的有效性。

据Brvenik称,尽管下一代防火墙市场已经成熟,但绝大多数企业并没有自定义默认配置。网络安全团队会禁用噪声较大的核心保护措施,以避免误报以及创建访问控制测量,但他们相信供应商的默认建议。

同时,下一代防火墙中不断扩展的功能也强调了保护网络抵御现代威胁工作的复杂性。除通过使用动态数据包过滤和用户定义安全策略来检测和阻止恶意流量外,下一代防火墙还整合了入侵防护系统(IPS)、应用程序和用户感知控制、威胁情报来阻止恶意软件、SSL和SSH检查,以及在某些情况下还支持云服务。

有些产品提供单一管理控制台使网络安全团队可跨环境监控防火墙及测量,包括VPN和IPS。在这里,对可管理性的评估并不是NSS实验室的评估目标,NSS实验室主要专注于防火墙技术本身。

是否值得投资?

研究人员使用单独的测试报告和比较数据来评估安全有效性(范围在25.0%到99.7%之间)以及每个受保护Mbps的总体拥有成本(2美元到57美元不等)以确定防火墙的投资价值。NSS实验室的测试结果显示,在这10款下一代防火墙中,7款被评为为“推荐级”,2款为“警告”有限价值评级(Check Point和Sophos)以及1款“安全推荐级”但成本高于平均成本(思科)。

安全有效性评估是针对产品在持续数小时的测试期间执行安全策略及阻止攻击的能力,并可同时传递非恶意流量。研究人员在不同流量情况下考虑了漏洞利用阻止率、规避技术、稳定性和可靠性以及性能。每个受保护的Mbps的总拥有成本则是利用产品资本支出的三年总体拥有成本除以安全有效性乘以网络吞吐量计算得出。

根据该报告显示,6款下一代防火墙产品具有90.3%或更高的安全有效性,而且这些产品大多数每Mbps网络吞吐量的成本低于10美元。虽然大多数下一代防火墙都得出不错的评估结果,但有4款产品未能检测到一个或多个常见规避技术,这可能导致这些产品完全错过某一类攻击。

缺乏灵活性

NSS实验室在2018年的评估中增加了针对修改后漏洞利用的新测试,然而,没有一台设备表现出对所有攻击变体的灵活性。

Brvenik称:“我们在这次测试中看到最令人惊讶的事情是,我们的研究和测试表明,相当数量的防火墙并没有表现出对已知攻击变体的灵活性。”

他补充说,企业部署下一代防火墙来保护其网络,作为其中的一部分,他们希望员工在浏览网页时不必担心新的威胁。在这个领域,与云集成和实时更新相关的技术创新很有前景,但关键的企业问题仍然未得到解决,例如抵御通过JavaScript交付的攻击。

“我认为这个市场最大的机会之一就是处理这种流量,”Brvenik指出,有些防火墙在基于工具包的保护方面做得不错,但NSS实验室没有看到它们可“完全缓解JavaScript”。

在2018年,下一代防火墙总体拥有成本低于前几年。尽管市面上有很多非常实惠的下一代防火墙产品,但有些供应商无法通过独立测试来验证下一代防火墙的有效性,以表明其技术可持续提供顶级保护,这使得这些供应商遭到质疑。总的来说,只有当实惠的产品可实现企业所追求的目标并可应对安全态势,才可被视为最佳产品。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 为什么单靠网络外围安全行不通?

    近20年来,大多数企业对网络安全采取了古老的“吊桥和护城河”的方法,即把所有企业流量汇集到网关,同时通过防火墙阻止所有不良流量。现在这种方法怎么会可行…

  • “外围”消亡 企业安全防护需要新形态

    外围不复存在,所以我们如何期望防火墙保护员工呢?防火墙如何保护移动设备上的应用呢?因此,企业既要利用网络级的保护,更要重视利用应用级的保护。

  • 怎样正确地测试和维护防火墙?

    大多数企业认为防火墙是一种成熟的技术,且通常安全专家也不会过多考虑防火墙。在审计或评估防火墙时,企业通常只是简单地勾选表明防火墙在保护网络的选项就完事……

  • 山石网科中标中国电信集采防火墙全标段

    山石网科凭借产品强大的防火墙、防病毒、内容过滤等功能,以及高性能、高可靠等特性,成功中标中国电信集采防火墙全标段。