2014年1月，NSS實驗室有史以來第一次正式公布數(shù)據(jù)中心場景的IPS公測結(jié)果，Sourcefire以其優(yōu)異的表現(xiàn)(高威脅阻擋率，高性能以及優(yōu)異的管理界面)又一次證明了其在安全領(lǐng)域的領(lǐng)導(dǎo)地位。連續(xù)六年被NSS實驗室評級IPS類評測“Recommended(推薦)”評級。

此次測試的Sourcefire 8290是目前為止NSS實驗室所見過的最高性能的IPS產(chǎn)品(事實上Sourcefire剛推出了更高性能的Firepower 8390，吞吐性能達到120Gbps)。此次評測Sourcefire的滲透攻擊阻擋率達到99.4 %，并100%有效防范了逃逸技術(shù)。

此次數(shù)據(jù)中心場景測試與以往的網(wǎng)絡(luò)邊界IPS測試有很大的不同。數(shù)據(jù)中心的IPS測試的重點是安全效率，處理性能，穩(wěn)定性，管理可用性和TCO(保護每兆流量的花費)。

NSS實驗室測試的獨特之處在于，現(xiàn)場漏洞測試。滲透測試工具測試了超過1,700個后門。此外，數(shù)據(jù)中心常用的一些衡量指標(biāo)，例如UDP最大吞吐，連接處理能力(快速建立和拆除連接的速率)以及并發(fā)連接數(shù)等。因為這些指標(biāo)都會從不同方面影響數(shù)據(jù)中心IPS的實際表現(xiàn)，所以也被作為測試項目。

在四個廠商測試中，Sourcefire的實際性能遠遠超過標(biāo)稱的指標(biāo)。

在NSS實驗室測試中，因為測試更接近真實流量，設(shè)備實際通常都達不到供應(yīng)商標(biāo)稱的吞吐率。然而，這個性能最高的數(shù)據(jù)中心IPS設(shè)備卻顯著超出其標(biāo)稱的性能要求。

實際測試中，NSS實驗室發(fā)現(xiàn)Sourcefire的IPS設(shè)備處理能力達到136Gbps，比廠商的標(biāo)稱最高能力80Gbps高出了約58%。

擁有強大的性能，精準(zhǔn)的阻擋率還不夠。作為一個安全產(chǎn)品，為了使其最大化的能夠幫助IT人員維護網(wǎng)絡(luò)安全，擁有更好操作及容易管理的管理平臺極為重要。而此次測試Sourcefire的管理平臺FireSIGHT在所有測試企業(yè)中，獲得了NSS實驗室最高的可用性評級。

Sourcefire的TCO(每受保護Mbps花費) 仍然是行業(yè)最低。注意，報告上標(biāo)注的13.55美元/受保護的Mbps, 這個值是基于80Gbps的評級 (標(biāo)稱值 )- 實際上Sourcefire IPS的TCO要低得多(因為實際吞吐為136Gbps)。NSS實驗室所有被測設(shè)備整體平均水平TCO為30美元/受保護的Mbps。

思科與Sourcefire在數(shù)據(jù)中心領(lǐng)域的強強聯(lián)合：

在數(shù)據(jù)中心安全領(lǐng)域，Sourcefire除了在安全性和性能上獲得高分，與思科數(shù)據(jù)中心結(jié)合，使其在數(shù)據(jù)中心安全領(lǐng)域獲得了無可匹敵的優(yōu)勢。

思科目前擁有整體數(shù)據(jù)中心交換機市場的70%以上份額，與Sourcefire的IPS結(jié)合，給企業(yè)極大的增加了IPS的整體價值，這個價值是任何其他競爭對手無法比擬的。因為相對于其他公司提供的獨立的產(chǎn)品，思科能夠?qū)ourcefire IPS集成進數(shù)據(jù)中心整體的解決方案，真正把IPS植入數(shù)據(jù)中心矩陣內(nèi)。很快在思科新的數(shù)據(jù)中心架構(gòu)ACI，將會看到Sourcefire的身影。

當(dāng)前數(shù)據(jù)中心安全里，針對企業(yè)數(shù)據(jù)中心的最大安全威脅APT攻擊，Sourcefire 同樣擁有非常優(yōu)秀的防御能力。其Advanced Malware Protection(高級惡意軟件防御)功能能夠回溯識別APT攻擊使用的惡意軟件，并經(jīng)由文件跟蹤功能，在其開始傳播前，就發(fā)現(xiàn)機構(gòu)中的所有惡意軟件實例。

令人興奮的是，在NSS實驗最近發(fā)布的另外一個針對APT防御的測試，2014 NSS實驗室BDS系統(tǒng)測試?yán)铮琒ourcefire的高級惡意軟件防護(Advanced Malware Detection)獲得了NSS實驗室的“推薦評級”，被給予99.0%的整體違規(guī)檢測評分。

“高級惡意軟件防御”功能已經(jīng)與思科內(nèi)容安全產(chǎn)品集成，為郵件安全產(chǎn)品ESA以以及Web安全產(chǎn)品WSA提供高級惡意軟件防護能力。給用戶提供了更多的選擇性。

FireSIGHT Defense Center是所有 Sourcefire安全解決方案的中央管理控制臺，它采用適合下一代解決方案的專利實時情景感知技術(shù)，可提供全面的可視性、事件關(guān)聯(lián)和安全自動化，來應(yīng)對不斷變化的網(wǎng)絡(luò)狀況和新型攻擊。通過學(xué)習(xí)了解網(wǎng)絡(luò)中客戶端與服務(wù)器的內(nèi)部信息，可以知道他們是否存在安全隱患，并能夠?qū)崟r跟蹤并回溯各類“危險警示”，使企業(yè)能夠抵御非常復(fù)雜的安全威脅。

下一代入侵防御領(lǐng)域(NGIPS)以及與NGFW的大融合

過去10年，傳統(tǒng)IPS主要用來檢測并阻止,利用系統(tǒng)配置錯誤或漏洞的攻擊，深層包檢測就已經(jīng)進化到高效地檢測和阻止這些形式的攻擊。近些APT攻擊成為最大的安全隱患，因為其此類攻擊通常為商業(yè)利益驅(qū)動，攻擊者專業(yè)度高，而受害者帶來的危害極大。 APT在攻擊過程中越來越多的利用社會工程學(xué)、0Day、Botnet、APT高級規(guī)避攻擊等多種技術(shù)手段。傳統(tǒng)IPS單純的基于已知漏洞簽名的深度包檢測技術(shù)已經(jīng)不能有效防護新型高級攻擊，NGIPS已經(jīng)到了一個必要的演進階段。

Gartner(國際權(quán)威信息技術(shù)研究咨詢公司)為下一代入侵防御(NGIPS)做了定義，NGIPS除了具有標(biāo)準(zhǔn)的第一代IPS功能以外，還需要具有應(yīng)用可視及控制，情景感知(Context Awareness)，內(nèi)容感知(Content Awareness)以及敏捷式引擎。

同時他們認(rèn)為NGIPS正是為了解決在新興業(yè)務(wù)環(huán)境下出現(xiàn)的新型高級網(wǎng)絡(luò)攻擊而傳統(tǒng)IPS產(chǎn)品無法應(yīng)對的問題。NGIPS的與傳統(tǒng)IPS核心的區(qū)別為是否具有自適應(yīng)安全能力的敏捷式安全引擎，如此NGIPS才能夠?qū)崿F(xiàn)周而復(fù)始不間斷的發(fā)現(xiàn)辨識網(wǎng)絡(luò)信息、學(xué)習(xí)并關(guān)聯(lián)信息、自動調(diào)整行動策略的自動防御能力。通過自動化智能的高級安全技術(shù)去抵御APT的專業(yè)攻擊者。

當(dāng)前下一代防火墻(NGFW)和NGIPS的功能都越來越豐富，兩類產(chǎn)品非常多的功能重疊，未來甚至可能會完全融合。但現(xiàn)在，兩類產(chǎn)品還是側(cè)重點略有不同。

NGFW更多的是在傳統(tǒng)防火墻基礎(chǔ)長提高了應(yīng)用可見性，方便了在Internet邊界場景下防火墻策略的設(shè)定。本質(zhì)上，安全的防御級別還是在傳統(tǒng)的防火墻層面。雖然不少廠家加入了IPS功能，但是鑒于廠商的專業(yè)度以及側(cè)重點，IPS更多是一些傳統(tǒng)的IPS功能，IPS特征庫專業(yè)度不夠，最多只能做到可用狀態(tài)。

NGIPS側(cè)重點在自動高級安全防御，在防御安全威脅技術(shù)上對傳統(tǒng)IPS做了本質(zhì)的提升，真正做到了自動防御。NGIPS也同時在往防火墻融合，不少NGIPS也帶有防火墻功能，術(shù)業(yè)有專攻，防火墻通常也只是做到了基本的TCP狀態(tài)機的狀態(tài)監(jiān)測，對于高級的ALG功能相對薄弱。

在思科收購Sourcefire以后，思科計劃將Sourcefire的NGIPS全部功能集成到當(dāng)前全球市場占有率第一的ASA防火墻產(chǎn)品中。預(yù)計2014年8月推出此類產(chǎn)品。屆時，思科與Sourcefire強強聯(lián)合，ASA安全平臺將成為融了NGFW和NGIPS的下一代安全產(chǎn)品，從可視性及自動安全防御能力上都得到了本質(zhì)的提升。

如希望獲取Sourcefire詳細NSS報告，請點擊鏈接http://www.sourcefire.com/search/node/nss%20report