NSS Labs آزمایشات مستقلی را روی نسخهی v16.01 از فایروال Sophos XG-750 در همین چند صباح اخیر انجام داده است. دستگاه نامبرده در آزمایشگاه واقع در آستین ایالت تگزاس و بر اساس متدولوژی مختص به فایروالهای نسل جدید یا NGFWها که شرح آن در سایت www.nsslabs.com آمده است، تحت مجموعهی کاملی از آزمایشات قرار گرفت. این آزمایشات بصورت کاملا مستقل انجام شده و هیچگونه مراودهی مالی با شرکت سازنده وجود نداشته است.
تا بحال برای بسیاری از محصولات امنیتی، نقد و بررسی و مقایسههای کلی انجام شده که معمولا هم تمرکزشان بر مواردی چون کارایی، امنیت و هزینهی فایروال بوده است. فایروال سوفوس در این دسته قرار دارد. تفاوت گزارش حاضر این است که عمقی از جزئیات را پوشش میدهد که در هیچ منبع دیگری در دسترس نبوده و سابقه نداشته است.
تیم تحقیقاتی NSS بر این باور است که، هدف از ساخت و استقرار فایروالهای نسل جدید یا NGFWها بیشتر از اینکه روی محافظت از دارایی و زیرساختهای دیتاسنترها متمرکز باشد، محافظت از کاربران را مد نظر داشته و از طرفی دیگر، بیشتر شرکتها و سازمانها، ماژولهای IPS خود را بصورت جداگانه در NGFW پیادهسازی نمیکنند. برای انجام تستهای NSS، از تنظیمات کارخانهای دستگاهها یا به اصطلاح تنظیمات Out-of-the-box آنها استفاده میشود تا خوانندگان از عملکرد و بازدهی این دستگاهها، برای کاربردهایی که خاص آنها در نظر گرفته شده، دید کاملی بدست آورند.
با استفاده از پالیسیهای پیشفرض شرکت سازنده، فایروال XG-750 قادر بود تا 96.19% حملات را خنثی کند. این دستگاه در برابر ترفند HTML obfuscation evasion موفق عمل نکرد. این دستگاه از تمامی تستهای مختص به ثبات عملکرد و اتکاپذیری نمرهی قبولی دریافت کرد.
NSS امتیاز فایروال XG-750 را عدد 8628 Mbps اعلام کرد که از 11.8 Gbps ادعا شده توسط خود برند پایینتر میباشد. عملکرد اندازهگیری شده توسط NSS، برابر با میانگین عملکرد دستگاه، در انواع میکسهای مختلف از پروتکلهای مورد استفاده در دنیای واقعی بوده و اندازهگیری ظرفیت هم بر اساس اساس تست 21 KB HTTP انجام گرفته است.
پاورقی ۱ – نرخ خنثیسازی Exploit بر اساس مسدود کردن سواستفادههای زنده (CAWS) و سواستفادههای برگرفته از NSS Exploit Library در حین تست تعریف شده است.
پاورقی ۲ – طبق استاندارد توافق شده در خصوص افشای نقاط آسیبپذیر موجود و به جهت اینکه شرکتهای سازنده برای تقویت شکافهای امنیتی خود مهلت کافی را داشته باشند، NSS Labs تا نود روز بعد از انتشار این مقاله، از ماهیت ترفندهای فرار از مبهمسازی (obfuscation evasion) استفاده شده در آزمایشات، اطلاعاتی بصورت عمومی منتشر نخواهد کرد.
اعمال فایروال پالیسی
پالیسیها قوانینی هستند که روی فایروال تعریف شده تا امکان دسترسی منابع شبکه را یه یکدیگر مدیریت کنند. اجازهی این دسترسی بر اساس فاکتورهای مختلفی مثل منبع، مقصد و نوع سرویس صادر میشود. این اصطلاح معمولا برای اشاره به تعریف مرزبندیهای شبکه بکار میرود. یا اینکه کدام ناحیه از شبکه را باید به عنوان بخش قرنطینه، از سایر قسمتها ایزوله کرد و تمام دسترسیها را به آن قطع نمود. پالیسیها را اغلب برای اجازه یا ممانعت از جریان ترافیک به یک یا چند Zone یا ناحیهی تعریف شده به شرح زیر مورد استفاده قرار میدهند:
• نامطئن (َUntrusted) – نواحی نامطمئن معمولا به شبکههایی خارج از محدودهی شبکه اشاره دارد که به عنوان ناشناس یا ناامن به حساب میآیند. اینترنت بارزترین نمونهی شبکههای نامطمئن است.
• DMZ – این مورد شبکهای است که توسط فایروال ایزوله شده و هرگونه رفت و آمد اطلاعات از آن و به آن، تنها به هاستهایی که در محدودهی همان ناحیه قرار دارند محدود شده است.
• مورد اعتماد (Trusted) – این ناحیه را معمولا شبکههای داخلی و محافظت شده تشکیل میدهند.
در تستهای NSS، کارایی دستگاه در اعمال پالیسی بین نواحی زیر محاسبه شده است:
• نامطمئن به مورداعتمادد
• نامطمئن به DMZ
• مورد اعتماد به DMZ
نکته: فایروال باید دست کم یک ناحیه را به عنوان منطقهی DMZ ایجاد کند تا انتقال ترافیک میان نواحی مورد اعتماد و نامطمئن امکانپذیر شود.
ویژگی مورد آزمایش | نتیجه |
---|---|
پالیسی مقدماتی | PASS |
پالیسی ساده | PASS |
پالیسی پیچیده | PASS |
NAT استاتیک | PASS |
NAT داینامیک/مخفی | PASS |
Protection SYN Flood | PASS |
محافظت در برابر اسپوفینگ IP آدرس | PASS |
TCP Split Handshake Spoof | PASS |
اپلیکیشن کنترل
یک فایروال نسل جدید یا NGFW باید قادر باشد کنترلهای دقیق و اصطلاحا Granular را هم روی اپلیکیشنها و هم روی درگاهها ارائه دهد. چنین قابلیتی برای تضمین امنیت مرزهای شبکه ضروری است چرا که اجازه نمیدهد اپلیکیشنهای نامطلوب قادر به تونل زدن روی ترافیک HTTP یا HTTPS باشند. همانطور که این کنترلها برای عملکرد فایروال ضروری هستند، برای ادمینها هم ی ابزار حیاتی محسوب میشوند و به آنها امکان میدهند که پالیسیهای دقیقی را هم برای اپلیکیشنها و هم برای درگاهها تعریف نمایند.
ویژگی مورد آزمایش نتیجه
مسدود کردن اپلیکیشنهای ناخواسته PASS
مسدود کردن فعالیتهای بخصوص PASS
ویژگی مورد آزمایش | نتیجه |
---|---|
مسدود کردن اپلیکیشنهای ناخواسته | PASS |
مسدود کردن فعالیتهای بخصوص | PASS |
آزمایشات ما نشان دادند که فایروال XG-750 در اعمال تمام پالیسیهای ورودی (inbound) و خروجی (outbound) و با وجود تعداد زیادی قوانین و آبجکتهای تعریف شده و اپلیکیشنهای مختلف، عملکرد خوبی از خود به نمایش گذاشته است. مهندسان NSS تایید کردهاند که این دستگاه قادر بوده اپلیکیشنها را به درستی شناسایی کند و بر اساس پالیسیهای تعیین شده عملیات لازم را پیاده نماید.
سواستفادههای زنده (CAWS)
این آزمایش از سامانهی پیشرفتهی هشدارهای سایبری یا CAWS استفاده کرد تا قابلیت دستگاه را در مواجهه با کمپینهای حملهی فعال در دنیا ارزیابی کند.
میزان محافظت در برابر سواستفادههای تحت وب که کلاینت اپلیکیشنها را هدف قرار میدهند که آنها را اصطلاحا با نام دانلودهای drive-by هم میشناسند و با استفاده از آزمایش منحصربفرد NSS و از طریق پروسههایی برای سنجیدن میزان محافظت اندازه گیری شده است.
بر خلاف بدافزارهای سنتی که باید ابتدا دانلود و سپس نصب میشدند، حملات جدید یا همان دانلودهای drive-by، میتوانند در ابتدا از یکی از نقاط آئیبپذیر اپلیکیشن وارد شده و سپس به شکلی نامحسوس بدافزار را دانلود و نصب کنند. برای اطلاعات بیشتر به مقالهی Comparative Report on Security – CAWS (Live Exploits) مراجعه کنید.
کتابخانهی سواستفادههای NSS
با تکیه بر دانش و تجربهی غنی مهندسان NSS، آزمایشاتی که برای ارزیابی بازدهی محافظتی دستگاه انجام شدند، نتیجهی بهرهبرداری از چندین ابزار تجاری، منبعباز و اختصاصی از جمله NSS’ network live stack test environment بوده است. با عددی معادل ۲۰۹۷ سواستفادهی بکار رفته، این آزمایش جامعترین آزمون پیاده شده در تاریخ این صنعت به حساب میآيد. لازم به ذکر است که تمام سواستفادههای بکار رفته در این تست حائز دست کم یکی از شرایط زیر بودهاند:
• یک reverse shell بازگشته باشد
• یک bind shell روی سیستم هدف باز شده باشد و به مهاجم اجازهی اجرای دستورات دلخواهش را بدهد
• کد دلخواه اجرا شود
• یک عامل مخرب نصب شده باشد
• سیستم مورد نظر مختل شده و در حالت عدم پاسخگویی قرار گرفته باشد
• و سایر موارد
آزمایش تعداد هشدارهای کاذب
در تستهای انجام گرفته، فایروال XG-750 ترافیک را به درستی شناسایی کرد و خبری از هشدارهای کاذب برای محتویات غیرمخرب در کار نبود.
میزان پوشش بر اساس حمله
عدم جلوگیری کامل از حملات میتواند پیامدهای سنگینی در بر داشته باشد و خسارات جبرانناپذیری به سیستمهای حیاتی کسب و کار وارد کند، فایروالهای نسل جدید یا NGFWها باید در برابر مجموعهی گستردهای از تهدیدات کارامد باشند. پروسهی یک سواستفاده میتواند هم در سمت هدف و هم از سمت مهاجم آغاز شود. آن دسته از سواستفادههایی که از جانب مهاجم آغاز میشوند، تهدیداتی هستند که بصورت راه دور و با بهرهبرداری شخص مهاجم از شکافهای امنیتی سیستم عامل یا اپلیکیشن رخ میدهند و آنهایی هم که در سمت دستگاه قربانی یا هدف استارت میخورند بطور معمول از سیستمهای آلوده نشئت میگیرند. سواستفادههایی که از سیستمهای هدف شروع میشوند نوع بسیار رایجتری از این تهدیدات بوده و هنگامی که اجرا میشوند، فرد مهاجم یا کنترل کمی روی آنها داشته و یا هیچ گونه کنترلی ندارد.
پوشش بر اساس نحوهی تاثیرگذاری
جدیترین انواع سواستفادهها آنهایی هستند که منجر به آلودگی یک سیستم از راه دور میشوند و دست مهاجم را در اجرای کامندهای دلخواهش در سطح سیستم باز میگذارند. بیشتر حملاتی که در این رده قرار میگیرند اصطلاحا به حملات weaponized معروف بوده و کلاینت یا سرور هدف را بطور کامل در اختیار مهاجم قرار میدهند. دستهی دیگری از حملات هستند که خطر به نسبت پایینتری ایجاد میکنند و میتوانند بجای کل سیستم، یک سرویس بخصوص را تحت فرمان قرار دهند. دستهی آخر سواستفادههایی هستند که باعث ایجاد اخلال و باصطلاح کرش کردن سرویس یا سیستم هدف شده که رفع این وضعیت به دخالت ادمین و یا ریبوت سیستم نیاز دارد.
میزان پوشش بر اساس تاریخ
شکل ۷ نشان میدهد که آیا شرکتهای امنیتی توانستهاند پابهپای تکامل بدافزارها پیش بروند و با تشخیص امضای امنیتیشان آنان را از رده خارج کنند یا خیر. همچنین نشان میدهد که آیا یک محصول میتواند مرسومترین آسیبپذیریهای ممکن را پوشش دهد یا از نظر امنیتی لنگ میزند. گزارشات NSS بازهی ده سال گذشته را مورد مطالعه قرار داده و بازهی قدیمیتر از ده سال را در یک گروه منظور کردهاند.
میزان پوشش بر اساس برند هدف گیری شده
حملاتی که منبع آنها کتابخانهی سواستفادههای NSS بودهاند، مجموعهای از تمام پروتکلها و اپلیکیشنها را هدف قرار دادند. شکل ۸ پوشش فایروال XG-750 را برای ۵ عدد از بزرگترین برندهای موجود به تصویر کشیده است.
مقاومت در برابر ترفندهای فرار
ترفندهای فرار دستهای از شگردها و راهکارها هستند که مهاجمان استفاده کرده و با تغییر شکل یا دستکاری حملاتشان در نقطهی ورود، از شناسایی و مسدود شدن آنها جلوگیری میکنند. ناکامی سیستم محافظتی در ممانعت از یکی از این تهدیدات، راه را برای مهاجم باز میگذارد تا از طریق همان آسیبپذیری، تمامی اکسپلویت یا سواستفادههای موجود در آن رده را بکار برده و دستگاه محافظتی مورد نظر را عملا بیاستفاده سازد. بسیاری از تکنیکهای بکار رفته در این آزمایش، سالها از عمرشان میگذرد و بهمین دلیل توانایی فایروال در خنثی کردن این دست از تکنیکها برای فایروالهای نسل جدید، ، حداقل لازم محسوب میشود.
فراهم آوردن محافظت در برابر سواستفادهها، بدون لحاظ کردن ترفندهای فرار، نتیجهی خوبی در بر نداشته و میتواند گمراه کننده باشد. هرچه ترفندهای بیشتری بتوانند از تیررس دید سیستم امنیتی پنهان بمانند (مثل فرار از HTTP، IP packet fragmentation، stream segmentation، RPC fragmentation، URL obfuscation، HTML obfuscation و FTP evasion)، کارایی آن سیستم امنیتی پایینتر و پایینتر خواهد بود. برای مثال بهتر است که فایروال از تشخیص تمام شگردهای موجود در یکی از کلاسهای ذکر شده عاجز باشد، تا اینکه از هر یک از این کلاسها یک مورد را از قلم بیندازد. چون در اینصورت، گسترهی حمله وسعت بیشتری خواهد داشت.
مسئلهی دیگر اینکه، فرارهایی که در لایههای پایینتر شبکه رخ میدهند (مانند IP packet fragmentation و stream segmentation) به نسبت آنهایی که در لایههای بالاتر اتفاق میافتند، تاثیر بیشتری در کارایی سیستم میگذارند (مثل HTTP or FTP obfuscation). فرارهای سطح پایینتر، میتوانند مجموعهی بزرگتری از سواستفادهها را در بر بگیرند. مثلا از قلم انداختن یک TCP segmentation خیلی خطرناکتر از جا انداختن یک FTP obfuscation است.
شکل ۹ نتیجهی آزمایشات انجام گرفته در خصوص توانایی دستگاه XG-750 را در مقابله با تکنیکهای فرار نشان میدهد. از مجموع ۱۳۷ ترفند موجود، XG-750 تنها در دو مورد نتوانست تشخیص لازم را به درستی بدهد. برای جزئیات بیشتر به ضمیمهی A مراجعه بفرمایید.
کارایی
همواره میان بازدهی محافظتی و کارایی یک توازن منفی وجود داشته است. به همین دلیل است که برای قضاوت در مورد عملکرد قابلیتهای محافظتی یک دستگاه، باید کارایی و بهرهوری کلی دستگاه هم در نظر گرفته شود. تنها با این روش است که میتوانیم مطمئن شویم، امکانات محافظتی جدید نمیتوانند تاثیر منفی محسوسی روی کارایی دستگاه بگذارند و از آنطرف هم، هیچگاه به منظور حفظ و یا بالا بردن سرعت دستگاه، از میانبرهای محافظتی استفاده نشده و نیازی به غیرفعال کردن امکانات محافظتی نمیباشد.
کارایی در پردازش پکتهای خام (بازدهی UDP)
در این آزمون از پکتهای UDP با اندازههای مختلف استفاده میشود که توسط ابزارهای آزمایشگاهی تولید شدهاند. جریان ثابتی از پکتها با اندازههای تعیین شده با IPهای مبدا و مقصد متفاوت، از یک پورت ثابت وارد شده و به پورت ثابت دیگر میروند و بدین ترتیب تراکنش اطلاعات بصورت دو طرفه میان هر جفت پورت مشخص از دستگاه انجام میشود.
پکتها دارای دادههای آزمایشی بوده و به سمت پورت معتبر موجود در زیرشبکه یا subnet هدف گیری شده حرکت میکنند. مقادیر درصد بار و فریم بر ثانیه برای هر جفت از پورتها، قبل از انجام هر تست، توسط ابزارهای نظارتی شبکه محاسبه شدهاند. هر زمان که لازم بوده، چندین تست گرفته شده و میانگین آنها به عنوان نتیجه منظور شده است.
در این آزمایش قرار نبوده که ترافیک دنیای واقعی برای شبکه شبیهسازی شود. هیچ اتصال TCP در حین تست بوجود نیامده و برای موتور وضعیت (state engine) کار چندانی وجود نداشته است. تنها هدف مد نظر از انجام این تست این بوده که ظرفیت دستگاه برای پردازش پکتهای خام در حال تبادل بین هر جفت پورت محک بخورد و اینکه ببینیم این دستگاه برای رسیدن به بیشترین سرعت و کمترین تاخیر ممکن، در ارسال پکتها تا چه حد سریع عمل میکند.
کارایی در پردازش پکتهای خام (تاخیر UDP)
آن دسته از فایروالهای NFGW که تاخیر بالایی دارند، زمان پاسخگویی نامطلوبی برای کاربران ایجاد میکنند. مخصوصا وقتی چندین دستگاه امنیتی در مسیر دادهها قرار داشته باشند. در این تست میزان تاخیر UDP بر حسب میکروثانیه و در حالت استفاده از ۹۰ درصد ظرفیت فایروال نشان داده شده است.
حداکثر ظرفیت
استفاده از ابزارهای تولید ترافیک، این امکان را برای مهندسان NSS ایجاد میکند که ترافیک دنیای واقعی را در سرعتهای چندگیگابیتنی و به عنوان ترافیک پسزمینهی شبکه برای فایروال شبیهسازی کنند. انگیزههای این تستها زیر بار قرار دادن موتور بازرسی یا Inspection Engine بوده و اینکه مشاهده کنیم با وجود تعدد کانکشنهای TCP در هر ثانیه، انتقال داده در سطح اپلیکیشنها در هر ثانیه و اتصالات باز و همزمان، این موتور چه عملکردی از خود به نمایش میگذارد. تمامی پکتها دارای پیلود و آدرس معتبر بوده و این تستها وضعیت شبکه را با نرخهای مختلفی از اتصالات و تراکنشها به بهترین شکل نشان میدهند.
دقت شود که در تمام این تستها نقاط بحرانی شکست یا breaking point بصورت زیر لحاظ شدهاند و نتیجهی محاسبات در این نقاط استخراج شده است:
ه تعداد اتصالات TCP بیش از حد – تاخیر در NFGW باعث افزایش نامطلوب تعداد کانکشنها شود
• افزایش بیش از حد اتصالات همزمان HTTP – تاخیر در NGFW باعث افزایش نامطلوب زمان تاخیر و پاسخگویی شود
• تراکنشهای ناموفق HTTP – در حالت عادی، تعداد تراکنشهای ناموفق باید صفر باشد. به محض اینکه چنین اتفاقی رخ دهد نشانگر این است که میزان بالای تاخیر در NGFW باعث قطعی اتصال و اصطلاحا time out شده است.
ظرفیت HTTP
هدف از انجام این تست، سنجش کارایی موتور شناسایی HTTP و ظرفیت آن در بارهای مختلف شبکه و انتقال پکتهایی با اندازههای متفاوت و تعداد متغییر کانکشنها میباشد. با تولید ترافیک مبتنی بر اتصال یا session-based و ایجاد تغییر در مدت زمان هر کدام از این کانکشنها، فایروال مجبور میشود تا اتصالات TCP درست را پیدا کند و نسبت به حالتی که تنها در معرض پردازش ترافیک پسزمینهی پکت محور قرار دارد، بار سنگینتری به آن تحمیل میشود. به این ترتیب محیطی فراهم میشود که شرایط واقعی را به خوبی شبیهسازی کرده و از طرف دیگر، دقت بالا و تکرارپذیری عملیات، تضمین شده خواهد بود.
هر کدام از تراکنشها حاوی یک درخواست HTTP GET هستند. محتوای این پکتها از یک پیلود معتبر (ترکیبی از آبجکتهای باینری و اَسکی) و اطلاعات آدرس تشکیل شده است. این تست، شبیهسازی خوبی از یک شبکهی واقعی را تحت بارهای عملیاتی مختلف ارائه میدهد (البته با تمرکز بیشتر روی ترافیک HTTP).
میانگین زمان پاسخگویی اپلیکیشن – HTTP
ظرفیت HTTP با اتصالات HTTP Persistent
این آزمایش از کانکشنهای HTTP Persistent استفاده میکند و هر اتصال TCP از ۱۰ عدد HTTP GET و پاسخ متناظر با آن تشکیل شده است. تمام پکتها از پیلود معتبر و اطلاعات آدرس تشکیل یافته و این تست، نمایش بسیار واضحی از وضعیت یک شبکهی زنده را تحت بارهای عملیاتی مختلف نشان میدهد. اندازهای که برای زمان پاسخگویی نشان داده شده، مجموع زمان تمام پاسخهای HTTP بوده که در قالب یک اتصال TCP انجام شدهاند.
ظرفیت HTTPS با اتصالات HTTPS Persistent
این آزمایش از کانکشنهای HTTPS Persistent استفاده کرده و هر اتصال TCP از ۱۰ عدد HTTPS GET و پاسخ متناظر با آن تشکیل شده است.
میکس ترافیک در دنیای واقعی
این تست شبیهسازی بسیار دقیقی از محیط دنیای واقعی ارائه کرده و علاوه بر آن، انواع و اقسام پروتکلها را همراه با محتویات (content) واقعی به آزمایش اضافه کرده در حالیکه دقت و تکرار پذیری ترافیک ثابت پسزمینه را نگه داشته است. بسته به اینکه دستگاه در کجا قرار گرفته باشد (در مرکز و یا مرز شبکه)، میکسهای مختلفی از پروتکلها بکار رفته تا با کاربردهای واقعی هماهنگی کامل داشته باشد. برای اطلاعات بیشتر در خصوص پروتکلهای دنیای واقعی و درصد استفاده از هر کدام، به NSS Labs Next Generation Firewall Test Methodology که در سایت www.nsslabs.com آمده مراجعه کنید.
فایروال XG-750 توسط NSS Labs مورد آزمایش قرار گرفت و برای تمام انواع میکسهای ترافیک دنیای واقعی، عملکردی پایینتر از ادعای برند سازنده از خود نشان داد.
ثبات و اتکاپذیری
ثبات کاری بلندمدت، خصوصا برای دستگاههایی که بصورت inline استفاده میشوند، یک فاکتور بسیار حیاتی به حساب میآید. این تستها عملکرد و سرعت دستگاه و بازدهی محافظتی آن را در شرایط عبور ترافیک عادی و در شرایط عبور ترافیک مخرب نشان میدهند. دستگاههایی که در زمان حمله، قادر به عبور دادن ترافیک عادی نیستند و یا دچار اختلال میشوند و کرش میکنند، از این تست نمرهی قبولی نمیگیرند.
انتظار میرود که دیوایس مورد آزمایش در جریان این تستها عملیاتی و باثبات باقی بماند و قادر باشد که ۱۰۰٪ ترافیک مسدود شدهی قبلی را دوباره مسدود نماید و برای هرکدام هشداری تولید کند. اگر دستگاه مورد نظر به دلیل حجم و یا نوع ترافیک و یا هر دلیل دیگری، حتی یک مورد از ترافیک نامعتبر را عبور دهد، در این تست رد خواهد شد.
ثبات و اتکاپذیری | نتیجه |
---|---|
مسدودسازی تحت حملات شدید | PASS |
عبور دادن ترافیک معتبر تحت حملات شدید | PASS |
رفتار موتور وضعیت (State Engine) زیر بار | نتیجه |
---|---|
شناسایی/مسدودسازی حمله – بار عادی | PASS |
حفظ وضعیت – باری عادی | PASS |
عبور دادن ترافیک معتبر – بار عادی | PASS |
حفظ وضعیت – بار بیش از حد | PASS |
جا انداختن ترافیک – بار بیش از حد | PASS |
دستکاری پروتکلها (Fuzzing and Mutation) | PASS |
اخلال در توان دستگاه | PASS |
حفظ تمامیت اطلاعات | PASS |
این آزمایشات نشاندهندهی رفتار State Engine تحت بار عملیاتی هستند. تمام دستگاههای NGFW هنگامیکه از نظر منابع کم میآورند، یا باید ریسک مسدود کردن اطلاعات معتبر و یا ریسک عبور دادن دادههای مخرب را بپذیرند. یک فایروال NGFW وقتی از لحاظ منابع (مثلا حافظهی state table) دچار کمبود شود یا ترافیک از ظرفیت حداکثری بالاتر رود، کانکشنهای جدید را جا میاندازد و از دست میدهد. در تئوری این به آن معناست که NGFW ترافیک معتبر را مسدود میسازد، اما از آن طرف وضعیت کانکشنهای فعلی را حفظ میکند (و از شیوع حمله جلوگیری میکند).
مجموع هزینههای مالکیت (TCO)
پیادهسازی و استقرار سیستمهای امنیتی میتواند کاری پیچیده و هزینهبر بوده و فاکتورهای مختلفی هستند که میتوانند روی هزینهی پیادهسازی، نگهداری و تعمیر آن تاثیرگذار باشند. در ارزیابی عمر مفید یک محصول، هر کدام از موارد زیر باید مد نظر قرار بگیرند:
• خرید – قیمت خرید محصول
• پشتیبانی محصول – مخارجی که بابت پشتیبانی و بروزرسانی به تولیدکننده پرداخت میشود
• نصب دستگاه – زمان لازم برای بیرون آوردن محصول، راهاندازی، نصب پچها و بروزرسانهای موجود و تنظیم امکانات لاگ و گزارشدهی آن را شامل میشود
ا نگهداری – زمان لازم برای اعمال بروزرسانیهای نرمافزاری و سختافزاری
• مدیریت – روال روزمرهی مدیریت دستگاه شامل کارهایی مثل پیکربندی، بروزرسانی پالیسیها، استقرار پالیسیها، سر و سامان دادن به هشدارها و موارد دیگر
در گزارش حاضر، آیتمهایی که برای CAPEX منظور شده تنها برای یک دیوایس در نظر گرفته شدهاند (هزینهی خرید و نصب).
زمان لازم برای نصب
این جدول ساعات کاری لازم را برای نصب دستگاه و فقط با کمک آپشنهای محلی مدیریت دیوایس نشان میدهد. این جدول به دقت نشان میدهد که چه زمانی طول کشیده تا مهندسان NSS با کمک مهندسان برند تولیدکننده، موفق به نصب و پیکربندی دستگاه شوند و دستگاه عملیات خود را تحت آزمایش آغاز کند و با موفقیت اولین موج از ترافیک معتبر را عبور دهد و ترافیک مخرب را مسدود و شناسایی نماید. این سناریو پروسهی نصب و پیادهسازی یک شرکت را برای یک دستگاه واحد به خوبی به تصویر کشیده است.
مجموع هزینههای مالکیت
هزینههای تخمینی بر اساس اطلاعات در دسترس از برند سازنده محاسبه شده است. در مورد هزینههای پشتیبانی هم، قرارداد پشتیبانی بیست و چهار ساعته و هفت روز هفته و تعویض قطعات ۲۴ ساعتهی بعد از اعلام درخواست، منظور شده است. چرا که این نوع قرارداد مرسومترین گزینهی مورد استفاده توسط اکثر شرکتها میباشد. قیمتهای نمایش داده شده تنها برای تعمیر و نگهداری یک دستگاه واحد در نظر گرفته شدهاند.
• سال اول – فرمول محاسبهی هزینه به شرح زیر بوده است:
(۷۵ دلار آمریکا قیمت هر ساعت کار × تعداد ساعات صرف شده برای نصب) + قیمت خرید + هزینهی تعمیر و نگهداری/پشتیبانی برای سال اول
• سال دوم – تنها شامل هزینههای تعمیر و نگهداری و پشتیبانی
• سال سوم – تنها شامل هزینههای تعمیر و نگهداری و پشتیبانی
برای مطالعهی جزئیات بیشتر از تحلیل TCO که شامل CMS یا هزینهی راهکارهای مدیریت متمرکز هم میشود، به گزارش TCO Comparative مراجعه کنید.
ضمیمهی A. جدول امتیازات محصول
متدولوژی آزمایش
Next Generation Firewall (NGFW) Test Methodology v7.0
برای مطالعهی جزئیات متدولوژی میتوانید به آدرس www.nsslabs.com مراجعه کنید.
اطلاعات تماس[/vc_column_text][/vc_column][/vc_row]