بررسی فایروال Sophos XG-750

NSS Labs‌ آزمایشات مستقلی را روی نسخه‌ی v16.01 از فایروال Sophos XG-750‌ در همین چند صباح اخیر انجام داده است. دستگاه نامبرده در آزمایشگاه واقع در آستین ایالت تگزاس و بر اساس متدولوژی مختص به فایروال‌های نسل جدید یا NGFWها که شرح آن در سایت www.nsslabs.com آمده است، تحت مجموعه‌ی کاملی از آزمایشات قرار گرفت. این آزمایشات بصورت کاملا مستقل انجام شده و هیچگونه مراوده‌ی مالی با شرکت سازنده‌ وجود نداشته است.
تا بحال برای بسیاری از محصولات امنیتی، نقد و بررسی و مقایسه‌‌‌های کلی انجام شده که معمولا هم تمرکزشان بر مواردی چون کارایی، امنیت و هزینه‌‌ی فایروال بوده است. فایروال سوفوس در این دسته قرار دارد. تفاوت گزارش حاضر این است که عمقی از جزئیات را پوشش می‌دهد که در هیچ منبع دیگری در دسترس نبوده و سابقه نداشته است.
تیم تحقیقاتی NSS بر این باور است که، هدف از ساخت و استقرار فایروال‌های نسل جدید یا NGFWها بیشتر از اینکه روی محافظت از دارایی‌ و زیرساخت‌‌های دیتاسنترها متمرکز باشد، محافظت از کاربران را مد نظر داشته و از طرفی دیگر، بیشتر شرکت‌ها و سازمان‌ها، ماژول‌های IPS‌ خود را بصورت جداگانه در NGFW‌ پیاده‌سازی نمی‌کنند. برای انجام تست‌های NSS‌، از تنظیمات کارخانه‌‌ای دستگاه‌ها یا به اصطلاح تنظیمات Out-of-the-box‌ آنها استفاده می‌شود تا خوانندگان از عملکرد و بازدهی این دستگاه‌ها، برای کاربردهایی که خاص آنها در نظر گرفته شده، دید کاملی بدست آورند.

بررسی تست سوفوس XG-750‌ در این جدول آمده است.

با استفاده از پالیسی‌های پیشفرض شرکت سازنده، فایروال XG-750‌ قادر بود تا 96.19% حملات را خنثی کند. این دستگاه در برابر ترفند HTML obfuscation evasion‌ موفق عمل نکرد. این دستگاه از تمامی تست‌های مختص به ثبات عملکرد و اتکاپذیری نمره‌ی قبولی دریافت کرد.

NSS‌ امتیاز فایروال XG-750‌ را عدد 8628 Mbps‌ اعلام کرد که از 11.8 Gbps‌ ادعا شده توسط خود برند پایین‌تر می‌باشد. عملکرد اندازه‌گیری شده توسط NSS،‌ برابر با میانگین عملکرد دستگاه، در انواع میکس‌های مختلف از پروتکل‌‌های مورد استفاده در دنیای واقعی بوده و اندازه‌گیری ظرفیت‌ هم بر اساس اساس تست 21 KB HTTP‌ انجام گرفته است.

پاورقی ۱ – نرخ خنثی‌سازی Exploit بر اساس مسدود کردن سواستفاده‌های زنده (CAWS)‌ و سواستفاده‌های برگرفته از NSS Exploit Library در حین تست تعریف شده است.
پاورقی ۲ – طبق استاندارد توافق شده در خصوص افشای نقاط آسیب‌پذیر موجود و به جهت اینکه شرکت‌های سازنده برای تقویت شکاف‌های امنیتی خود مهلت کافی را داشته باشند، NSS Labs‌ تا نود روز بعد از انتشار این مقاله، از ماهیت ترفندهای فرار از مبهم‌سازی (obfuscation evasion) استفاده شده‌ در آزمایشات، اطلاعاتی بصورت عمومی منتشر نخواهد کرد.

اعمال فایروال‌ پالیسی‌‌

پالیسی‌ها قوانینی هستند که روی فایروال تعریف شده تا امکان دسترسی منابع شبکه را یه یکدیگر مدیریت کنند. اجازه‌ی این دسترسی بر اساس فاکتورهای مختلفی مثل منبع، مقصد و نوع سرویس صادر می‌شود. این اصطلاح معمولا برای اشاره به تعریف مرزبندی‌های شبکه بکار می‌رود. یا اینکه کدام ناحیه از شبکه را باید به عنوان بخش قرنطینه، از سایر قسمت‌ها ایزوله کرد و تمام دسترسی‌ها را به آن قطع نمود. پالیسی‌ها را اغلب برای اجازه یا ممانعت از جریان ترافیک به یک یا چند Zone‌ یا ناحیه‌ی تعریف شده به شرح زیر مورد استفاده قرار می‌دهند:
• نامطئن (َUntrusted) – نواحی نامطمئن معمولا به شبکه‌هایی خارج از محدوده‌ی شبکه اشاره دارد که به عنوان ناشناس یا ناامن به حساب می‌آیند. اینترنت بارزترین نمونه‌ی شبکه‌های نامطمئن است.
• DMZ – این مورد شبکه‌ای است که توسط فایروال ایزوله شده و هرگونه رفت و آمد اطلاعات از آن و به آن، تنها به هاست‌هایی که در محدوده‌ی همان ناحیه قرار دارند محدود شده است.
• مورد اعتماد (Trusted) – این ناحیه را معمولا شبکه‌های داخلی و محافظت شده‌ تشکیل می‌دهند.
در تست‌های NSS‌، کارایی دستگاه در اعمال پالیسی بین نواحی زیر محاسبه شده است:
• نامطمئن به مورداعتمادد
• نامطمئن به DMZ
• مورد اعتماد به DMZ
نکته: فایروال باید دست کم یک ناحیه را به عنوان منطقه‌ی DMZ‌ ایجاد کند تا انتقال ترافیک میان نواحی مورد اعتماد و نامطمئن امکان‌پذیر شود.

فایروال باید دست کم یک ناحیه را به عنوان منطقه‌ی DMZ‌ ایجاد کند.

ویژگی مورد آزمایش نتیجه
پالیسی مقدماتی PASS
پالیسی ساده PASS
پالیسی پیچیده PASS
NAT استاتیک PASS
NAT داینامیک/مخفی PASS
Protection SYN Flood PASS
محافظت در برابر اسپوفینگ IP آدرس PASS
TCP Split Handshake Spoof PASS

اپلیکیشن کنترل

یک فایروال نسل جدید یا NGFW‌ باید قادر باشد کنترل‌های دقیق و اصطلاحا Granular‌ را هم روی اپلیکیشن‌ها و هم روی درگاه‌ها ارائه دهد. چنین قابلیتی برای تضمین امنیت مرزهای شبکه ضروری است چرا که اجازه نمی‌دهد اپلیکیشن‌های نامطلوب قادر به تونل زدن روی ترافیک HTTP‌ یا HTTPS باشند. همانطور که این کنترل‌ها برای عملکرد فایروال‌ ضروری هستند، برای ادمین‌ها هم ی ابزار حیاتی محسوب می‌شوند و به آنها امکان می‌دهند که پالیسی‌های دقیقی را هم برای اپلیکیشن‌ها و هم برای درگاه‌ها تعریف نمایند.

ویژگی مورد آزمایش نتیجه
مسدود کردن اپلیکیشن‌های ناخواسته PASS
مسدود کردن فعالیت‌های بخصوص PASS

ویژگی مورد آزمایش نتیجه
مسدود کردن اپلیکیشن‌های ناخواسته PASS
مسدود کردن فعالیت‌های بخصوص PASS

آزمایشات ما نشان دادند که فایروال XG-750‌ در اعمال تمام پالیسی‌های ورودی (inbound) و خروجی (outbound)‌ و با وجود تعداد زیادی قوانین و آبجکت‌های تعریف شده و اپلیکیشن‌های مختلف، عملکرد خوبی از خود به نمایش گذاشته است. مهندسان NSS‌ تایید کرده‌اند که این دستگاه قادر بوده اپلیکیشن‌‌ها را به درستی شناسایی کند و بر اساس پالیسی‌های تعیین شده عملیات لازم را پیاده نماید.

سواستفاده‌های زنده (CAWS)

این آزمایش از سامانه‌ی پیشرفته‌ی هشدارهای سایبری یا CAWS استفاده کرد تا قابلیت دستگاه را در مواجهه با کمپین‌های حمله‌ی فعال در دنیا ارزیابی کند.
میزان محافظت در برابر سواستفاده‌های تحت وب که کلاینت اپلیکیشن‌ها را هدف قرار می‌دهند که آنها را اصطلاحا با نام دانلود‌های drive-by هم می‌شناسند و با استفاده از آزمایش منحصربفرد NSS‌ و از طریق پروسه‌هایی برای سنجیدن میزان محافظت اندازه گیری شده است.
بر خلاف بدافزارهای سنتی که باید ابتدا دانلود و سپس نصب می‌شدند،‌ حملات جدید یا همان دانلودهای drive-by، می‌توانند در ابتدا از یکی از نقاط آئیب‌پذیر اپلیکیشن وارد شده و سپس به شکلی نامحسوس بدافزار را دانلود و نصب کنند. برای اطلاعات بیشتر به مقاله‌ی Comparative Report on Security – CAWS (Live Exploits)‌ مراجعه کنید.

تعداد تهدیدات بلاک شده در سوفوس را بخوانید.

کتابخانه‌ی سواستفاده‌های NSS

با تکیه بر دانش و تجربه‌ی غنی مهندسان NSS، آزمایشاتی که برای ارزیابی بازدهی محافظتی دستگاه انجام شدند، نتیجه‌ی بهره‌برداری از چندین ابزار تجاری، منبع‌باز و اختصاصی از جمله NSS’ network live stack test environment‌ بوده است. با عددی معادل ۲۰۹۷ سواستفاده‌ی بکار رفته، این آزمایش جامع‌ترین آزمون پیاده شده در تاریخ این صنعت به حساب می‌آيد. لازم به ذکر است که تمام سواستفاده‌های بکار رفته در این تست حائز دست کم یکی از شرایط زیر بوده‌اند:
• یک reverse shell‌ بازگشته باشد
• یک bind shell‌ روی سیستم هدف باز شده باشد و به مهاجم اجازه‌ی اجرای دستورات دلخواهش را بدهد
• کد دلخواه اجرا شود
• یک عامل مخرب نصب شده باشد
• سیستم مورد نظر مختل شده و در حالت عدم پاسخگویی قرار گرفته باشد
• و سایر موارد

کتابخانه‌ی سواستفاده‌های NSS

آزمایش‌ تعداد هشدارهای ‌کاذب

در تست‌های انجام گرفته، فایروال XG-750 ترافیک را به درستی شناسایی کرد و خبری از هشدارهای کاذب برای محتویات غیرمخرب ‌در کار نبود.

میزان پوشش بر اساس حمله

عدم جلوگیری کامل از حملات می‌تواند پیامدهای سنگینی در بر داشته باشد و خسارات جبران‌ناپذیری به سیستم‌های حیاتی کسب و کار وارد کند،‌ فایروال‌های نسل جدید یا NGFWها باید در برابر مجموعه‌ی گسترده‌ای از تهدیدات کارامد باشند. پروسه‌ی یک سواستفاده می‌تواند هم در سمت هدف و هم از سمت مهاجم آغاز شود. آن دسته از سواستفاده‌هایی که از جانب مهاجم آغاز می‌شوند، تهدیداتی هستند که بصورت راه دور و با بهره‌برداری شخص مهاجم از شکاف‌های امنیتی سیستم عامل یا اپلیکیشن رخ می‌دهند و آنهایی هم که در سمت دستگاه قربانی یا هدف استارت می‌خورند بطور معمول از سیستم‌های آلوده نشئت می‌گیرند. سواستفاده‌هایی که از سیستم‌های هدف شروع می‌شوند نوع بسیار رایج‌تری از این تهدیدات بوده و هنگامی که اجرا می‌شوند، فرد مهاجم یا کنترل کمی روی آنها داشته و یا هیچ گونه کنترلی ندارد.

پوشش بر اساس بردار حمله

پوشش بر اساس نحوه‌ی تاثیرگذاری

جدی‌ترین انواع سواستفاده‌ها آنهایی هستند که منجر به آلودگی یک سیستم از راه دور می‌شوند و دست مهاجم را در اجرای کامندهای دلخواهش در سطح سیستم باز می‌گذارند. بیشتر حملاتی که در این رده قرار می‌گیرند اصطلاحا به حملات weaponized معروف بوده و کلاینت یا سرور هدف را بطور کامل در اختیار مهاجم قرار می‌دهند. دسته‌ی دیگری از حملات هستند که خطر به نسبت پایین‌تری ایجاد می‌کنند و می‌توانند بجای کل سیستم،‌ یک سرویس بخصوص را تحت فرمان قرار دهند. دسته‌ی آخر سواستفاده‌هایی هستند که باعث ایجاد اخلال و باصطلاح کرش‌ کردن سرویس یا سیستم هدف شده که رفع این وضعیت به دخالت ادمین و یا ریبوت سیستم نیاز دارد.

میزان پوشش بر اساس تاریخ

شکل ۷ نشان می‌دهد که آیا شرکت‌های امنیتی توانسته‌اند پابه‌پای تکامل بدافزارها پیش بروند و با تشخیص امضای امنیتی‌شان آنان را از رده خارج کنند یا خیر. همچنین نشان می‌دهد که آیا یک محصول می‌تواند مرسوم‌ترین آسیب‌پذیری‌های ممکن را پوشش دهد یا از نظر امنیتی لنگ می‌زند. گزارشات NSS بازه‌ی ده سال گذشته را مورد مطالعه قرار داده‌ و بازه‌ی قدیمی‌تر از ده سال را در یک گروه منظور کرده‌اند.

پوشش محصول بر اساس تاریخ

میزان پوشش بر اساس برند هدف گیری شده

حملاتی که منبع آنها کتابخانه‌ی سواستفاده‌های NSS بوده‌اند،‌ مجموعه‌ای از تمام پروتکل‌ها و اپلیکیشن‌ها را هدف قرار دادند. شکل ۸ پوشش فایروال XG-750 را برای ۵ عدد از بزرگترین برندهای موجود به تصویر کشیده است.
پوشش محصول بر اساس برند هدف

مقاومت در برابر ترفندهای فرار

ترفندهای فرار دسته‌ای از شگردها و راهکارها هستند که مهاجمان استفاده کرده و با تغییر شکل یا دستکاری حملاتشان در نقطه‌ی ورود، از شناسایی و مسدود شدن آنها جلوگیری می‌کنند. ناکامی سیستم محافظتی در ممانعت از یکی از این تهدیدات، راه را برای مهاجم باز می‌گذارد تا از طریق همان آسیب‌پذیری، تمامی اکسپلویت‌ یا سواستفاده‌های موجود در آن رده را بکار برده و دستگاه محافظتی مورد نظر را عملا بی‌استفاده سازد. بسیاری از تکنیک‌های بکار رفته در این آزمایش، سال‌ها از عمرشان می‌گذرد و بهمین دلیل توانایی فایروال در خنثی کردن این دست از تکنیک‌ها برای فایروال‌های نسل جدید، ، حداقل لازم محسوب می‌شود.
فراهم آوردن محافظت در برابر سواستفاده‌ها، بدون لحاظ کردن ترفندهای فرار، نتیجه‌ی خوبی در بر نداشته و می‌تواند گمراه کننده باشد. هرچه ترفندهای بیشتری بتوانند از تیررس دید سیستم امنیتی پنهان بمانند (مثل فرار از HTTP،‌ IP packet fragmentation، stream segmentation، RPC fragmentation، URL obfuscation، HTML obfuscation و FTP evasion)، کارایی آن سیستم امنیتی پایین‌تر و پایین‌تر خواهد بود. برای مثال بهتر است که فایروال از تشخیص تمام شگردهای موجود در یکی از کلاس‌های ذکر شده عاجز باشد، تا اینکه از هر یک از این کلاس‌ها یک مورد را از قلم بیندازد. چون در اینصورت، گستره‌ی حمله وسعت بیشتری خواهد داشت.
مسئله‌ی دیگر اینکه، فرارهایی که در لایه‌های پایین‌تر شبکه رخ می‌دهند (مانند IP packet fragmentation و stream segmentation) به نسبت آنهایی که در لایه‌های بالاتر اتفاق می‌افتند، تاثیر بیشتری در کارایی سیستم می‌گذارند (مثل HTTP or FTP obfuscation). فرارهای سطح پایین‌تر، می‌توانند مجموعه‌ی بزرگتری از سواستفاده‌ها را در بر بگیرند. مثلا از قلم انداختن یک TCP segmentation‌ خیلی خطرناک‌تر از جا انداختن یک FTP obfuscation‌ است.

شکل ۹ نتیجه‌ی آزمایشات انجام گرفته در خصوص توانایی دستگاه XG-750‌ را در مقابله با تکنیک‌های فرار نشان می‌دهد. از مجموع ۱۳۷ ترفند موجود، XG-750‌ تنها در دو مورد نتوانست تشخیص لازم را به درستی بدهد. برای جزئیات بیشتر به ضمیمه‌ی A مراجعه بفرمایید.

توانایی دستگاه سوفوس XG-750

کارایی

همواره میان بازدهی محافظتی و کارایی یک توازن منفی وجود داشته است. به همین دلیل است که برای قضاوت در مورد عملکرد قابلیت‌های محافظتی یک دستگاه، باید کارایی و بهره‌وری کلی دستگاه هم در نظر گرفته شود. تنها با این روش است که می‌توانیم مطمئن شویم، امکانات محافظتی جدید نمی‌توانند تاثیر منفی محسوسی روی کارایی دستگاه بگذارند و از آنطرف هم، هیچگاه به منظور حفظ و یا بالا بردن سرعت دستگاه، از میانبر‌های محافظتی استفاده نشده و نیازی به غیرفعال کردن امکانات محافظتی نمی‌باشد.

کارایی در پردازش پکت‌های خام (بازدهی UDP)

در این آزمون از پکت‌های UDP با اندازه‌های مختلف استفاده می‌شود که توسط ابزارهای آزمایشگاهی تولید شده‌اند. جریان ثابتی از پکت‌ها با اندازه‌های تعیین شده با IP‌‌های مبدا و مقصد متفاوت، از یک پورت ثابت وارد شده و به پورت ثابت دیگر می‌روند و بدین ترتیب تراکنش اطلاعات بصورت دو طرفه میان هر جفت پورت مشخص از دستگاه انجام می‌شود.
پکت‌ها دارای داده‌های آزمایشی بوده و به سمت پورت معتبر موجود در زیرشبکه یا subnet هدف گیری شده حرکت می‌کنند. مقادیر درصد بار و فریم بر ثانیه برای هر جفت از پورت‌ها، قبل از انجام هر تست، توسط ابزارهای نظارتی شبکه محاسبه شده‌اند. هر زمان که لازم بوده، چندین تست گرفته شده و میانگین آنها به عنوان نتیجه منظور شده است.
در این آزمایش قرار نبوده که ترافیک دنیای واقعی برای شبکه شبیه‌سازی شود. هیچ اتصال TCP‌ در حین تست بوجود نیامده و برای موتور وضعیت (state engine)‌ کار چندانی وجود نداشته است. تنها هدف مد نظر از انجام این تست این بوده که ظرفیت دستگاه برای پردازش پکت‌های خام در حال تبادل بین هر جفت پورت‌ محک بخورد و اینکه ببینیم این دستگاه برای رسیدن به بیشترین سرعت و کمترین تاخیر ممکن، در ارسال پکت‌ها تا چه حد سریع عمل می‌کند.

کارایی در پردازش پکت‌های خام (تاخیر UDP)

آن دسته از فایروال‌های NFGW که تاخیر بالایی دارند، زمان پاسخگویی نامطلوبی برای کاربران ایجاد می‌کنند. مخصوصا وقتی چندین دستگاه امنیتی در مسیر داده‌ها قرار داشته باشند. در این تست میزان تاخیر UDP بر حسب میکروثانیه و در حالت استفاده از ۹۰ درصد ظرفیت فایروال نشان داده شده است.

تاخیر UDP‌ به میکروثانیه

حداکثر ظرفیت

استفاده از ابزارهای تولید ترافیک، این امکان را برای مهندسان NSS ایجاد می‌کند که ترافیک دنیای واقعی را در سرعت‌های چندگیگابیتنی و به عنوان ترافیک پس‌زمینه‌ی شبکه برای فایروال شبیه‌سازی کنند. انگیزه‌های این تست‌ها زیر بار قرار دادن موتور بازرسی یا Inspection Engine‌ بوده و اینکه مشاهده کنیم با وجود تعدد کانکشن‌های TCP‌ در هر ثانیه، انتقال داده در سطح اپلیکیشن‌ها در هر ثانیه و اتصالات باز و همزمان، این موتور چه عملکردی از خود به نمایش می‌گذارد. تمامی پکت‌ها دارای پی‌لود و آدرس معتبر بوده و این تست‌ها وضعیت شبکه را با نرخ‌های مختلفی از اتصالات و تراکنش‌ها به بهترین شکل نشان می‌دهند.
دقت شود که در تمام این تست‌ها نقاط بحرانی شکست یا breaking point‌ بصورت زیر لحاظ شده‌اند و نتیجه‌ی محاسبات در این نقاط استخراج ‌شده است:
ه تعداد اتصالات TCP بیش از حد – تاخیر در NFGW باعث افزایش نامطلوب تعداد کانکشن‌ها شود
• افزایش بیش از حد اتصالات همزمان HTTP – تاخیر در NGFW‌ باعث افزایش نامطلوب زمان تاخیر و پاسخگویی شود
• تراکنش‌های ناموفق HTTP – در حالت عادی، تعداد تراکنش‌های ناموفق باید صفر باشد. به محض اینکه چنین اتفاقی رخ دهد نشانگر این است که میزان بالای تاخیر در NGFW باعث قطعی اتصال و اصطلاحا time out‌ شده است.

نرخ اتصالات همزمان

ظرفیت HTTP

هدف از انجام این تست، سنجش کارایی موتور شناسایی HTTP‌ و ظرفیت‌ آن در بارهای مختلف شبکه و انتقال پکت‌هایی با اندازه‌‌های متفاوت و تعداد متغییر کانکشن‌ها می‌باشد. با تولید ترافیک مبتنی بر اتصال یا session-based و ایجاد تغییر در مدت زمان هر کدام از این کانکشن‌ها، فایروال مجبور می‌شود تا اتصالات TCP درست را پیدا کند و نسبت به حالتی که تنها در معرض پردازش ترافیک پس‌زمینه‌ی پکت محور قرار دارد، بار سنگین‌تری به آن تحمیل می‌شود. به این ترتیب محیطی فراهم می‌شود که شرایط واقعی را به خوبی شبیه‌سازی کرده و از طرف دیگر، دقت بالا و تکرارپذیری عملیات، تضمین شده خواهد بود.
هر کدام از تراکنش‌ها حاوی یک درخواست HTTP GET هستند. محتوای این پکت‌ها از یک پی‌لود معتبر (ترکیبی از آبجکت‌های باینری و اَسکی) و اطلاعات آدرس تشکیل شده است. این تست، شبیه‌سازی خوبی از یک شبکه‌ی واقعی را تحت بار‌های عملیاتی مختلف ارائه می‌دهد (البته با تمرکز بیشتر روی ترافیک HTTP).

نمودار ظرفیت HTTP

میانگین زمان پاسخگویی اپلیکیشن – HTTP

میانگین زمان پاسخگویی اپلیکیشن (میلی ثانیه)

ظرفیت HTTP با اتصالات HTTP Persistent

این آزمایش از کانکشن‌های HTTP Persistent استفاده می‌کند و هر اتصال TCP از ۱۰ عدد HTTP GET و پاسخ متناظر با آن تشکیل شده است. تمام پکت‌ها از پی‌لود معتبر و اطلاعات آدرس تشکیل یافته و این تست، نمایش بسیار واضحی از وضعیت یک شبکه‌ی زنده را تحت بارهای عملیاتی مختلف نشان می‌دهد. اندازه‌ای که برای زمان پاسخگویی نشان داده شده، مجموع زمان تمام پاسخ‌های HTTP‌ بوده که در قالب یک اتصال TCP‌ انجام شده‌اند.

ظرفیت HTTP‌ با اتصالات HTTP Persistent

ظرفیت HTTPS با اتصالات HTTPS Persistent

این آزمایش از کانکشن‌های HTTPS Persistent استفاده کرده و هر اتصال TCP از ۱۰ عدد HTTPS GET و پاسخ متناظر با آن تشکیل شده است.

ظرفیت HTTPS با اتصالات HTTPS Persistent

میکس ترافیک در دنیای واقعی

این تست شبیه‌سازی بسیار دقیقی از محیط دنیای واقعی ارائه کرده و علاوه بر آن، انواع و اقسام پروتکل‌ها را همراه با محتویات (content) واقعی به آزمایش اضافه کرده در حالیکه دقت و تکرار پذیری ترافیک ثابت پس‌زمینه را نگه داشته است. بسته به اینکه دستگاه در کجا قرار گرفته باشد (در مرکز و یا مرز شبکه)، میکس‌های مختلفی از پروتکل‌ها بکار رفته‌ تا با کاربردهای واقعی هماهنگی کامل داشته باشد. برای اطلاعات بیشتر در خصوص پروتکل‌های دنیای واقعی و درصد استفاده از هر کدام، به NSS Labs Next Generation Firewall Test Methodology که در سایت www.nsslabs.com آمده مراجعه کنید.

میکس ترافیک در دنیای واقعی

فایروال XG-750 توسط NSS Labs مورد آزمایش قرار گرفت و برای تمام انواع میکس‌های ترافیک دنیای واقعی، عملکردی پایین‌تر از ادعای برند سازنده از خود نشان داد.

ثبات و اتکاپذیری

ثبات کاری بلندمدت، خصوصا برای دستگاه‌هایی که بصورت inline استفاده می‌شوند، یک فاکتور بسیار حیاتی به حساب می‌آید. این تست‌ها عملکرد و سرعت دستگاه و بازدهی محافظتی آن را در شرایط عبور ترافیک عادی و در شرایط عبور ترافیک مخرب نشان می‌دهند. دستگاه‌هایی که در زمان حمله، قادر به عبور دادن ترافیک عادی نیستند و یا دچار اختلال می‌شوند و کرش می‌کنند، از این تست نمره‌ی قبولی نمی‌گیرند.
انتظار می‌رود که دیوایس مورد آزمایش در جریان این تست‌ها عملیاتی و باثبات باقی بماند و قادر باشد که ۱۰۰٪ ترافیک مسدود شده‌ی قبلی را دوباره مسدود نماید و برای هرکدام هشداری تولید کند. اگر دستگاه مورد نظر به دلیل حجم و یا نوع ترافیک و یا هر دلیل دیگری، حتی یک مورد از ترافیک نامعتبر را عبور دهد، در این تست رد خواهد شد.

ثبات و اتکاپذیری نتیجه
مسدودسازی تحت حملات شدید PASS
عبور دادن ترافیک معتبر تحت حملات شدید PASS
رفتار موتور وضعیت (State Engine) زیر بار نتیجه
شناسایی/مسدودسازی حمله – بار عادی PASS
حفظ وضعیت – باری عادی PASS
عبور دادن ترافیک معتبر – بار عادی PASS
حفظ وضعیت – بار بیش از حد PASS
جا انداختن ترافیک – بار بیش از حد PASS
دستکاری پروتکل‌ها (Fuzzing and Mutation) PASS
اخلال در توان دستگاه PASS
حفظ تمامیت اطلاعات PASS

این آزمایشات نشان‌دهنده‌ی رفتار State Engine تحت بار عملیاتی هستند. تمام دستگاه‌های NGFW هنگامیکه از نظر منابع کم می‌آورند، یا باید ریسک مسدود کردن اطلاعات معتبر و یا ریسک عبور دادن داده‌های مخرب را بپذیرند. یک فایروال NGFW وقتی از لحاظ منابع (مثلا حافظه‌ی state table) دچار کمبود شود یا ترافیک از ظرفیت حداکثری بالاتر رود، کانکشن‌های جدید را جا می‌اندازد و از دست می‌دهد. در تئوری این به آن معناست که NGFW ترافیک معتبر را مسدود می‌سازد، اما از آن طرف وضعیت کانکشن‌های فعلی را حفظ می‌کند (و از شیوع حمله جلوگیری می‌کند).

مجموع هزینه‌های مالکیت (TCO)

پیاده‌سازی و استقرار سیستم‌های امنیتی می‌تواند کاری پیچیده و هزینه‌بر بوده و فاکتورهای مختلفی هستند که می‌توانند روی هزینه‌‌ی پیاده‌سازی، نگهداری و تعمیر آن تاثیرگذار باشند. در ارزیابی عمر مفید یک محصول، هر کدام از موارد زیر باید مد نظر قرار بگیرند:
• خرید – قیمت خرید محصول
• پشتیبانی محصول – مخارجی که بابت پشتیبانی و بروزرسانی به تولیدکننده پرداخت می‌شود
• نصب دستگاه – زمان لازم برای بیرون آوردن محصول، راه‌اندازی، نصب پچ‌ها و بروزرسان‌های موجود و تنظیم امکانات لاگ و گزارش‌دهی آن را شامل می‌شود
ا نگهداری – زمان لازم برای اعمال بروزرسانی‌های نرم‌افزاری و سخت‌افزاری
• مدیریت – روال روزمره‌ی مدیریت دستگاه شامل کارهایی مثل پیکربندی، بروزرسانی پالیسی‌ها،‌ استقرار پالیسی‌ها، سر و سامان دادن به هشدارها و موارد دیگر
در گزارش حاضر،‌ آیتم‌هایی که برای CAPEX منظور شده‌ تنها برای یک دیوایس در نظر گرفته شده‌اند (هزینه‌ی خرید و نصب).

زمان لازم برای نصب

این جدول ساعات کاری لازم را برای نصب دستگاه و فقط با کمک آپشن‌های محلی مدیریت دیوایس نشان می‌دهد. این جدول به دقت نشان می‌دهد که چه زمانی طول کشیده تا مهندسان NSS با کمک مهندسان برند تولیدکننده، موفق به نصب و پیکربندی دستگاه شوند و دستگاه عملیات خود را تحت آزمایش آغاز کند و با موفقیت اولین موج از ترافیک معتبر را عبور دهد و ترافیک مخرب را مسدود و شناسایی نماید. این سناریو پروسه‌ی نصب و پیاده‌سازی یک شرکت را برای یک دستگاه واحد به خوبی به تصویر کشیده است.

زمان نصب (ساعت)مجموع هزینه‌های مالکیت

هزینه‌های تخمینی بر اساس اطلاعات در دسترس از برند سازنده محاسبه شده است. در مورد هزینه‌های پشتیبانی هم، قرارداد پشتیبانی بیست و چهار ساعته و هفت روز هفته و تعویض قطعات ۲۴ ساعته‌ی بعد از اعلام درخواست، منظور شده است. چرا که این نوع قرارداد مرسوم‌ترین گزینه‌ی مورد استفاده توسط اکثر شرکت‌ها می‌باشد. قیمت‌های نمایش داده شده تنها برای تعمیر و نگهداری یک دستگاه واحد در نظر گرفته شده‌اند.

• سال اول – فرمول محاسبه‌ی هزینه به شرح زیر بوده است:
(۷۵ دلار آمریکا قیمت هر ساعت کار × تعداد ساعات صرف شده برای نصب) + قیمت خرید + هزینه‌ی تعمیر و نگهداری/پشتیبانی برای سال اول
• سال دوم – تنها شامل هزینه‌های تعمیر و نگهداری و پشتیبانی
• سال سوم – تنها شامل هزینه‌های تعمیر و نگهداری و پشتیبانی

برای مطالعه‌ی جزئیات بیشتر از تحلیل TCO‌ که شامل CMS یا هزینه‌ی راهکارهای مدیریت متمرکز هم می‌شود، به گزارش TCO Comparative مراجعه کنید.

ضمیمه‌ی A. جدول امتیازات محصول

Product-Schedule

جدول امتیازات محصول 2

جدول امتیازات محصول 3

جدول امتیازات محصول 5

متدولوژی آزمایش

Next Generation Firewall (NGFW) Test Methodology v7.0
برای مطالعه‌ی جزئیات متدولوژی می‌توانید به آدرس www.nsslabs.com مراجعه کنید.

اطلاعات تماس[/vc_column_text][/vc_column][/vc_row]

برچسب‌ها: بدون برچسب

دیدگاه ها بسته شده اند.