2014年1月，NSS實(shí)驗(yàn)室有史以來第一次正式公布數(shù)據(jù)中心場景的IPS公測結(jié)果，Sourcefire以其優(yōu)異的表現(xiàn)(高威脅阻擋率，高性能以及優(yōu)異的管理界面)又一次證明了其在安全領(lǐng)域的領(lǐng)導(dǎo)地位。連續(xù)六年被NSS實(shí)驗(yàn)室評級IPS類評測“Recommended(推薦)”評級。

此次測試的Sourcefire 8290是目前為止NSS實(shí)驗(yàn)室所見過的最高性能的IPS產(chǎn)品(事實(shí)上Sourcefire剛推出了更高性能的Firepower 8390，吞吐性能達(dá)到120Gbps)。此次評測Sourcefire的滲透攻擊阻擋率達(dá)到99.4 %，并100%有效防范了逃逸技術(shù)。

此次數(shù)據(jù)中心場景測試與以往的網(wǎng)絡(luò)邊界IPS測試有很大的不同。數(shù)據(jù)中心的IPS測試的重點(diǎn)是安全效率，處理性能，穩(wěn)定性，管理可用性和TCO(保護(hù)每兆流量的花費(fèi))。

NSS實(shí)驗(yàn)室測試的獨(dú)特之處在于，現(xiàn)場漏洞測試。滲透測試工具測試了超過1,700個(gè)后門。此外，數(shù)據(jù)中心常用的一些衡量指標(biāo)，例如UDP最大吞吐，連接處理能力(快速建立和拆除連接的速率)以及并發(fā)連接數(shù)等。因?yàn)檫@些指標(biāo)都會(huì)從不同方面影響數(shù)據(jù)中心IPS的實(shí)際表現(xiàn)，所以也被作為測試項(xiàng)目。

在四個(gè)廠商測試中，Sourcefire的實(shí)際性能遠(yuǎn)遠(yuǎn)超過標(biāo)稱的指標(biāo)。

在NSS實(shí)驗(yàn)室測試中，因?yàn)闇y試更接近真實(shí)流量，設(shè)備實(shí)際通常都達(dá)不到供應(yīng)商標(biāo)稱的吞吐率。然而，這個(gè)性能最高的數(shù)據(jù)中心IPS設(shè)備卻顯著超出其標(biāo)稱的性能要求。

實(shí)際測試中，NSS實(shí)驗(yàn)室發(fā)現(xiàn)Sourcefire的IPS設(shè)備處理能力達(dá)到136Gbps，比廠商的標(biāo)稱最高能力80Gbps高出了約58%。

擁有強(qiáng)大的性能，精準(zhǔn)的阻擋率還不夠。作為一個(gè)安全產(chǎn)品，為了使其最大化的能夠幫助IT人員維護(hù)網(wǎng)絡(luò)安全，擁有更好操作及容易管理的管理平臺極為重要。而此次測試Sourcefire的管理平臺FireSIGHT在所有測試企業(yè)中，獲得了NSS實(shí)驗(yàn)室最高的可用性評級。

Sourcefire的TCO(每受保護(hù)Mbps花費(fèi)) 仍然是行業(yè)最低。注意，報(bào)告上標(biāo)注的13.55美元/受保護(hù)的Mbps, 這個(gè)值是基于80Gbps的評級 (標(biāo)稱值 )- 實(shí)際上Sourcefire IPS的TCO要低得多(因?yàn)閷?shí)際吞吐為136Gbps)。NSS實(shí)驗(yàn)室所有被測設(shè)備整體平均水平TCO為30美元/受保護(hù)的Mbps。

思科與Sourcefire在數(shù)據(jù)中心領(lǐng)域的強(qiáng)強(qiáng)聯(lián)合：

在數(shù)據(jù)中心安全領(lǐng)域，Sourcefire除了在安全性和性能上獲得高分，與思科數(shù)據(jù)中心結(jié)合，使其在數(shù)據(jù)中心安全領(lǐng)域獲得了無可匹敵的優(yōu)勢。

思科目前擁有整體數(shù)據(jù)中心交換機(jī)市場的70%以上份額，與Sourcefire的IPS結(jié)合，給企業(yè)極大的增加了IPS的整體價(jià)值，這個(gè)價(jià)值是任何其他競爭對手無法比擬的。因?yàn)橄鄬τ谄渌咎峁┑莫?dú)立的產(chǎn)品，思科能夠?qū)ourcefire IPS集成進(jìn)數(shù)據(jù)中心整體的解決方案，真正把IPS植入數(shù)據(jù)中心矩陣內(nèi)。很快在思科新的數(shù)據(jù)中心架構(gòu)ACI，將會(huì)看到Sourcefire的身影。

當(dāng)前數(shù)據(jù)中心安全里，針對企業(yè)數(shù)據(jù)中心的最大安全威脅APT攻擊，Sourcefire 同樣擁有非常優(yōu)秀的防御能力。其Advanced Malware Protection(高級惡意軟件防御)功能能夠回溯識別APT攻擊使用的惡意軟件，并經(jīng)由文件跟蹤功能，在其開始傳播前，就發(fā)現(xiàn)機(jī)構(gòu)中的所有惡意軟件實(shí)例。

令人興奮的是，在NSS實(shí)驗(yàn)最近發(fā)布的另外一個(gè)針對APT防御的測試，2014 NSS實(shí)驗(yàn)室BDS系統(tǒng)測試?yán)铮琒ourcefire的高級惡意軟件防護(hù)(Advanced Malware Detection)獲得了NSS實(shí)驗(yàn)室的“推薦評級”，被給予99.0%的整體違規(guī)檢測評分。

“高級惡意軟件防御”功能已經(jīng)與思科內(nèi)容安全產(chǎn)品集成，為郵件安全產(chǎn)品ESA以以及Web安全產(chǎn)品WSA提供高級惡意軟件防護(hù)能力。給用戶提供了更多的選擇性。

FireSIGHT Defense Center是所有 Sourcefire安全解決方案的中央管理控制臺，它采用適合下一代解決方案的專利實(shí)時(shí)情景感知技術(shù)，可提供全面的可視性、事件關(guān)聯(lián)和安全自動(dòng)化，來應(yīng)對不斷變化的網(wǎng)絡(luò)狀況和新型攻擊。通過學(xué)習(xí)了解網(wǎng)絡(luò)中客戶端與服務(wù)器的內(nèi)部信息，可以知道他們是否存在安全隱患，并能夠?qū)崟r(shí)跟蹤并回溯各類“危險(xiǎn)警示”，使企業(yè)能夠抵御非常復(fù)雜的安全威脅。

下一代入侵防御領(lǐng)域(NGIPS)以及與NGFW的大融合

過去10年，傳統(tǒng)IPS主要用來檢測并阻止,利用系統(tǒng)配置錯(cuò)誤或漏洞的攻擊，深層包檢測就已經(jīng)進(jìn)化到高效地檢測和阻止這些形式的攻擊。近些APT攻擊成為最大的安全隱患，因?yàn)槠浯祟惞敉ǔ樯虡I(yè)利益驅(qū)動(dòng)，攻擊者專業(yè)度高，而受害者帶來的危害極大。 APT在攻擊過程中越來越多的利用社會(huì)工程學(xué)、0Day、Botnet、APT高級規(guī)避攻擊等多種技術(shù)手段。傳統(tǒng)IPS單純的基于已知漏洞簽名的深度包檢測技術(shù)已經(jīng)不能有效防護(hù)新型高級攻擊，NGIPS已經(jīng)到了一個(gè)必要的演進(jìn)階段。

Gartner(國際權(quán)威信息技術(shù)研究咨詢公司)為下一代入侵防御(NGIPS)做了定義，NGIPS除了具有標(biāo)準(zhǔn)的第一代IPS功能以外，還需要具有應(yīng)用可視及控制，情景感知(Context Awareness)，內(nèi)容感知(Content Awareness)以及敏捷式引擎。

同時(shí)他們認(rèn)為NGIPS正是為了解決在新興業(yè)務(wù)環(huán)境下出現(xiàn)的新型高級網(wǎng)絡(luò)攻擊而傳統(tǒng)IPS產(chǎn)品無法應(yīng)對的問題。NGIPS的與傳統(tǒng)IPS核心的區(qū)別為是否具有自適應(yīng)安全能力的敏捷式安全引擎，如此NGIPS才能夠?qū)崿F(xiàn)周而復(fù)始不間斷的發(fā)現(xiàn)辨識網(wǎng)絡(luò)信息、學(xué)習(xí)并關(guān)聯(lián)信息、自動(dòng)調(diào)整行動(dòng)策略的自動(dòng)防御能力。通過自動(dòng)化智能的高級安全技術(shù)去抵御APT的專業(yè)攻擊者。

當(dāng)前下一代防火墻(NGFW)和NGIPS的功能都越來越豐富，兩類產(chǎn)品非常多的功能重疊，未來甚至可能會(huì)完全融合。但現(xiàn)在，兩類產(chǎn)品還是側(cè)重點(diǎn)略有不同。

NGFW更多的是在傳統(tǒng)防火墻基礎(chǔ)長提高了應(yīng)用可見性，方便了在Internet邊界場景下防火墻策略的設(shè)定。本質(zhì)上，安全的防御級別還是在傳統(tǒng)的防火墻層面。雖然不少廠家加入了IPS功能，但是鑒于廠商的專業(yè)度以及側(cè)重點(diǎn)，IPS更多是一些傳統(tǒng)的IPS功能，IPS特征庫專業(yè)度不夠，最多只能做到可用狀態(tài)。

NGIPS側(cè)重點(diǎn)在自動(dòng)高級安全防御，在防御安全威脅技術(shù)上對傳統(tǒng)IPS做了本質(zhì)的提升，真正做到了自動(dòng)防御。NGIPS也同時(shí)在往防火墻融合，不少NGIPS也帶有防火墻功能，術(shù)業(yè)有專攻，防火墻通常也只是做到了基本的TCP狀態(tài)機(jī)的狀態(tài)監(jiān)測，對于高級的ALG功能相對薄弱。

在思科收購Sourcefire以后，思科計(jì)劃將Sourcefire的NGIPS全部功能集成到當(dāng)前全球市場占有率第一的ASA防火墻產(chǎn)品中。預(yù)計(jì)2014年8月推出此類產(chǎn)品。屆時(shí)，思科與Sourcefire強(qiáng)強(qiáng)聯(lián)合，ASA安全平臺將成為融了NGFW和NGIPS的下一代安全產(chǎn)品，從可視性及自動(dòng)安全防御能力上都得到了本質(zhì)的提升。

如希望獲取Sourcefire詳細(xì)NSS報(bào)告，請點(diǎn)擊鏈接http://www.sourcefire.com/search/node/nss%20report