下一代防火墻標準的全新詮釋
2014年9月�,全球最知名的獨立安全研究和評測機構NSS 實驗室���,對業(yè)界幾乎所有主流的下一代防火墻廠商提供的總計12個型號的下一代防火墻[注]產品����,進行了統(tǒng)一的測評�����。在測試過程中����,NSS實驗室模擬用戶真實應用場景,主要關注在安全性測試和性能測試�,對參測產品進行了嚴格的評測和詳細的分析。
NSS實驗室在安全測試中�����,提出了全新的衡量下一代防火墻的標準:安全效率。這個安全效率值���,結合了參測產品的多個功能特性���,如防火墻策略執(zhí)行,應用識別與控制����,用戶分組與授權�����,入侵事件的阻擋率���,防攻擊逃逸等�����,也包括了系統(tǒng)自身的穩(wěn)定可靠性等因素���。對下一代防火墻的安全能力提出了一個整體的考量。
在所有參測產品中�,Cisco的ASA下一代防火墻的三個型號,均以99.2%的成績,獲得了最高安全效率評分�����,這也充分體現了Cisco ASA下一代防火墻的設計理念:關注威脅�����,真正保護用戶網絡的安全���。
測試過程中����,Cisco的ASA下一代防火墻���,全面的體現了其對網絡威脅和攻擊的超強防御能力����,針對測試方提供的微軟���、IBM�、蘋果��、Adobe以及oracle等多種應用,提供了高達99%的全面安全防護��,而同時又可以100%的防范攻擊逃逸�。
而在性能測試當中,NSS實驗室也并不是采用理想的UDP大數據[注]包的測試方法��,而是模擬用戶真實應用場景�,以互聯(lián)網邊界、數據中心���、教育園區(qū)網[注]、移動運營商等多種環(huán)境下的混合流量來對設備進行測試���,以便更準確的得到設備在用戶環(huán)境下的真實性能表現��。而Cisco參測的ASA下一代防火墻�����,也都在性能測試中表現優(yōu)異�����,均比Cisco自身對設備的標稱性能高出了50%以上��。
Cisco ASA下一代防火墻
隨著信息化技術的發(fā)展����,企業(yè)的業(yè)務模型發(fā)生了很大的變化,越來越多的智能終端�����,接入用戶類型�����,以及越來越廣的接入位置����,使我們傳統(tǒng)的網絡朝著一個無邊界的方向發(fā)展;從應用端來看,虛擬化技術和各種新應用大量出現��。所有的這些�����,都讓我們傳統(tǒng)的網絡邊界變得模糊����,如何更好的實施邊界控制和威脅防御�����,是企業(yè)CIO[注]們面臨的一個棘手問題���。
近日頻繁出現的諸如OpenSSL/Bash的網絡安全漏洞披露,導致了大量零日威脅的出現��,這種威脅往往具有很大的突發(fā)性與破壞性�����,對企業(yè)的網絡安全和重要數據造成了越來越大的威脅���。而近期包括好萊塢艷照門、Target和家得寶信息泄露等事件���,也把網絡安全問題再次推上了風口浪尖��。
近幾年被熱炒的下一代防火墻概念(+本站微信networkworldweixin)���,具備了網絡應用分析能力,可以認出了用戶����,也可以認出了行為���,為企業(yè)用戶提供了更細粒度的控制手段,但在面對日益頻繁的網絡攻擊和惡意軟件�����,面對目標明確的高級持續(xù)攻擊(APT[注])��,也顯得有些力不從心�。
Cisco推出的下一代防火墻技術,在原有的高性能ASA平臺上����,加入了Firepower服務模塊,真正實現了思科在收購Sourcefire后�,提出的“better together”的承諾。將業(yè)界最為領先的威脅防御Sourcefire技術與市場領先����、久經證明、具備應用控制功能的Cisco ASA 5500X/5585X系列防火墻完美的結合在一起�����。
Cisco ASA下一代防火墻,不僅繼續(xù)強調了終端/應用/身份的識別和控制能力��,關鍵又可以將這些識別的信息與威脅關聯(lián)�����,結合深度檢測���、云智能以及零日自動安全響應技術�,真正實現對用戶網絡的威脅防御���。其提供的智能識別與控制技術���、下一代威脅防御技術、URL過濾技術以及高級惡意軟件防護技術等����,將能夠在攻擊發(fā)生前����、攻擊進行中和攻擊后的整個過程中,為企業(yè)提供全面的威脅防御保證�����。
思科ASA下一代防火墻關鍵特性
· 全面的網絡可見
孫子兵法曰:知己知彼,百戰(zhàn)不殆���,只有對網絡有了全面的了解����,我們才能夠提供安全防護的準確依據����。思科ASA下一代防火墻,提供了針對用戶�、移動設備、客戶端應用�����、虛擬機��、通信�����、漏洞�、威脅等完整的情景感知功能��。其企業(yè)級管理功能可針對發(fā)現的主機��、應用�����、威脅和被攻擊指標(IoC)等為用戶提供儀表板和詳細報告���,讓用戶獲得全面的可見性和事件處理的有效依據。
·專注于威脅防御
采用領先的下一代入侵防御NGIPS來全面防御已知和高級威脅�����,同時采用惡意軟件防護(AMP)來抵御零日和持久型攻擊����。結合最新的大數據分析、連續(xù)分析和思科安全智能一起提供檢測�、攔截、跟蹤��、分析和修復功能�,以防御各種已知和未知攻擊����。被攻擊指標(IoC)的顯示�,通過主機狀態(tài)和安全事件的關聯(lián)�����,給用戶提供了切實可行的安全事件分析指導;而惡意軟件防護(AMP)提供的可追溯的安全性�����,也幫助了用戶能夠在攻擊發(fā)生后�����,快速的定位攻擊來源和攻擊范圍���。
