فایروال های Next-Generation
فایروال سیسکو
فایروال ها دیواره هایی هستند که برای ایمن نگاه داشتن شبکه در برابر هکرها، بدافزارها و دیگر مهاجمان استفاده می شوند. فایروال ها هم به فرم سخت افزار و هم نرم افزار وجود دارند و همه آنها امنیت را بین شبکه و تهدیدهای بیرونی برقرار می سازند. مدیران شبکه، به گونه ای فایروال ها را برای نیازمندی های سیستم مورد نظر خود تنظیم می کنند که عدم وجود داده های آسیب پذیر را تضمین کند. شرکت های کوچک و کامپیوترهای شخصی به ندرت به فایروال های سخت افزاری نیاز خواهند داشت اما شرکت ها و واحدهای تجاری بزرگ از فایروال های سخت افزاری درون سیستم های خود استفاده می کنند تا دسترسی های بیرون از شرکت و مابین دپارتمان ها را محدود کنند. مشتری ها با توجه به نیازمندی های شبکه خود و ویژگی های ارائه شده در فایروال ها، آنها را از میان شرکت های سازنده مختلفی می توانند برگزینند. یکی از برجسته ترین سازندگان فایروال های NGFW کمپانی سیسکو است که در جدول زیر به مقایسه فایروال های NGFW خود با فایروال های NGFW از شرکت های Palo alto، Fortinet و Check Point می پردازد.
هوشمندی در برابر تهدیدها ( Talos )
CISCO | PALO ALTO NETWORKS | FORTINET | CHECK POINT SOFTWARE TECHNOLOGIES | |
---|---|---|---|---|
تعداد الگوهای بدافزار منحصر در روز | 1.5 میلیون | ده ها هزار | ده ها هزار | ده ها هزار |
تعداد تهدید های مسدود شده در روز | 19.7 بیلیون شامل ایمیل ها نمی شود | گزارش نشده است | گزارش نشده است | گزارش نشده است |
تعداد پیام های ایمیلی اسکن شده در روز | 600 بیلیون از 600 بیلیون پیام اسکن شده بیش از 85% spam است. | گزارش نشده است | 6 میلیون | گزارش نشده است |
تعداد درخواست های web نظارت شده در روز | 16 بیلیون درخواست های وب نظارت شده به وسیله ی WSA/CWS در روز. به طور مثال، فرآیندهای Google شامل 3.5 بیلیون جستجو در روز است. | گزارش نشده است | 35 میلیون | گزارش نشده است |
Automated intelligence feeds | پشتیبانی می شود بازخوردهای security intelligence هر دو ساعت به روز می شود و برای فاصله های زمانی 5 دقیقه نیز قابل تنظیم است. | پشتیبانی می شود | پشتیبانی می شود | پشتیبانی می شود |
قابلیت های عملیاتی :
CISCO | PALO ALTO NETWORKS | FORTINET | CHECK POINT SOFTWARE TECHNOLOGIES | |
---|---|---|---|---|
معماری scanning | OptiFlow | Single pass | ASIC | Multipass |
Software-defined segmentation | این قابلیت را داراست ارائه سرویس های امنیت TrustSec و ACI مجزا از بارکاری و نحوه استقرار (فیزیکی، مجازی، ابری). ارائه نرم افزار سگمنت security group tags (SGTs) در شبکه. | ندارد | ندارد | ندارد |
جلوگیری از تهدید خودکار | این قابلیت را داراست | ندارد | ندارد | ندارد |
عملکردها و مدیریت | عالی -عملیات شبکه و امنیت را ترکیب می کند. یک کنسول یا جفت HA از کنسولها همه ی به روزرسانی ها، پچ ها ، گزارشگیری و اطلاعات تهدید را فراهم می کند. | محدود -ارائه واسط کاربری (UI) منفرد برای مدیریت NGFW و واسط های کاربری اضافی برای مدیریت malware، endpoint یا هر ویژگی پلتفرمی دیگر. | محدود -ارائه واسط کاربری (UI) منفرد برای مدیریت NGFW . -فرآورده و واسط کاربری اضافه برای واقعه نگاری (logging) و رویدادها. -فرآورده و واسط کاربری اضافه برای مکانیزم sandboxing. | عالی -برای هر عملکرد مجزا از جمله NGFW، ATP و ...، مدیر منفردی دارد. |
مدل های استقرار | متداول -تعبیه شده در دستگاه ( appliance )، نمونه مجازی ( VMware ) و فضای ابری عمومی ( AWS و Azure ) | متداول -تعبیه شده در دستگاه ( appliance )، نمونه مجازی ( VMware ) و فضای ابری عمومی ( AWS و Azure ) | متداول -تعبیه شده در دستگاه ( appliance )، نمونه مجازی ( VMware ) و فضای ابری عمومی ( AWS و Azure ) | متداول -تعبیه شده در دستگاه ( appliance )، نمونه مجازی ( VMware ) و فضای ابری عمومی ( AWS و Azure ) |
eStreamer API | این قابلیت را داراست - Cisco Firepower داده هایی از رویدادها و اطلاعات پروفایل هاست را برای اپلیکیشن های کلاینت، پلتفرم های SIEM و SCO می تواند یرون دهد. | ندارد | ندارد | ندارد |
Remediation API | این قابلیت را داراست - Cisco Firepower در اتصال با محصولات third-party می تواند کار کند. می تواند دارنده VLAN یا کنترل های دسترسی را تغییر دهد یا حتی برگه help desk را باز کند. | ندارد | ندارد | ندارد |
Host API | این قابلیت را داراست -سیستم های دیگری همچون inventory ، مدیریت آسیب پذیری و مالکیت ها و Nmap ،داده لازم را برای پلتفرم firepower می تواند فراهم کند. | ندارد | ندارد | ندارد |
زیر ساخت های اساسی ( ICS/SCADA ) :
CISCO | PALO ALTO NETWORKS | FORTINET | CHECK POINT SOFTWARE TECHNOLOGIES | |
---|---|---|---|---|
مهیا بودن نسخه های ruggedized و hardened | این قابلیت را داراست | ندارد -باید نسخه VM مجازی از NGFW را روی سرور مجزایی اجرا کرد که شامل بارگذاری و مدیریت یک hypervisor پشتیبانی شده می شود | این قابلیت را داراست | این قابلیت را داراست |
مجموعه ای از ویژگی های پایه | NGFW, AMP, NGIPS, threat intelligence - NGFW شامل قابلیت رویت ( visibility ) اپلیکیشن ها، url filtering ، IPS ، آنتی ویروس و شناسایی کاربر می شود. Firepower همه بهبودهای امنیتی کلیدی گفته شده در بالا همچون NGIPS ، AMP ، گذشته نگری، تحلیل اثر و ... را دربر می گیرد | تنها NGFW را داراست | تنها NGFW را داراست | تنها NGFW را داراست |
قوانین SCADA | ~250 -250 قانون مبتنی بر snort (سیستم شناسایی نفوذ). Talos (گروهی از سیسکو که دقیق ترین و بزرگترین threat intelligence جهانی است. Talos پس از حملات سایبری اطلاعات را جمع آوری می کند، ردیف بزرگی از اینترنت عمومی را بررسی می کند برای اینکه دریابد چگونه این تهدیدها عمل می کنند. بنابراین برای پیشگیری از آنها در آینده راهکارهایی را توسعه می دهند) قواعدی را برای هدایت به سمت صنعت ICS فراهم می کند. قوانین third-party (شخص ثالث) می تواند در آنها وارد شود. مشتریان نیز در اینجا قادر به ایجاد قواعد هستند. | ~100 | ~300 | ~180 |
Modbus,DNP,CIP pre-proccessor | پشتیبانی می کند. Modbus، DNP3 و BACnet. پروتکل های SCADA در سیستم های firepower در دسترس هستند. | پشتیبانی می کند. Modbus, DNP3, OPC, ICCP, IEC 61850 | پشتیبانی می کند. Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850 | پشتیبانی می کند. Modbus, DNP3, BACNet, MMS, OPC, Profinet, ICCP, IEC.60870.5.104, IEC.61850 |
ارایه خدمات :
CISCO | PALO ALTO NETWORKS | FORTINET | CHECK POINT SOFTWARE TECHNOLOGIES | |
---|---|---|---|---|
گواهینامه carrier-class | پشتیانی نمی شود | پشتیانی نمی شود | پشتیبانی می شود NEBS Level3 | پشتیبانی می شود NEBS Level3 |
ویژگی های carrier-class | پشتیبانی می شود GTP v2, CG-NAT, Diameter, SCTP, SIP-signaling firewall | پشتیبانی می شود GTP v2, CG-NAT, Diameter, SCTP, SIP-signaling firewall | پشتیبانی نمی شود | پشتیبانی می شود GTP v2, CG-NAT, Diameter, SCTP, SIP-signaling firewall |
الصاق خدمات third-party | پشتیبانی می شود Third party و قیود محلی به همدیگر می توانند الصاق شوند تا به همراه firepower اجرا شوند. | پشتیبانی نمی شود | پشتیبانی نمی شود | پشتیبانی نمی شود |
پیشگیری از حملات DDoS | پشتیبانی می کند برای پیشگیری از DDoS، محصول DefensePro vDOS از Radware مستقیما درون سیستم NGFW یکپارچه شده است (Cisco Firepower 9300) | پشتیبانی نمی کند | به صورت محدود پشتیبانی می کند به محصولی مجزا نیاز دارد | به صورت محدود پشتیبانی می کند به محصولی مجزا نیاز دارد |