比较Palo Alto和Checkpoint 从Checkpoint网站 根据NSS Labs的结果:

帕洛阿尔托 检查点
NSS Labs结果–防止HTML逃避* 33% 100%
NSS Labs结果–全面保护** 93% 98%
文件共享应用 170 531
总申请 1,511 4,733
应用程序社交网络小部件 0 240,000+
网址过滤 盒装2000万 1亿基于云
防止数据丢失 9种文件类型与正则表达式匹配 532种文件类型以及文件属性,文档模板,字典,关键字和脚本语言匹配
反博特 <1百万个保护(签名/ DNS / URL / IP) 分析了2.5亿个地址以进行机器人发现
基于信誉的保护 独特的多层检测引擎(信誉,签名,基于邮件活动和行为的基础),通过ThreatCloud具有实时安全智能

* NSS Labs NGFW测试,2012年
** 2012年NSS Labs IPS测试

———————————————————————————————————————————————————
帕洛阿尔托 网络s忽略了标准OSI模型-专注于应用程序层

 is focused 上 the
应用层

开放系统互连模型的七层将网络和安全性分为离散的可管理组件。 SANS研究所和其他领先的安全组织意识到,我们必须理解所有层以提供完整的安全性。
帕洛阿尔托网络(Palo Alto 网络s)对应用层的关注可能会为其客户带来更多的安全隐患。 检查点的平衡方法认识到考虑应用程序和网络层评估所有风险并提供强大安全性的重要性。

只有当我们看到我们的网络是个体的
我们可以充分保证这些级别的组件。

SANS研究所

——————————————————————————————————————————————————————— ---
帕洛阿尔托 网络s默认打开端口,使组织容易受到攻击

帕洛阿尔托网络公司(Palo Alto 网络s)的单程体系结构默认情况下会打开所有端口,从而使组织容易受到攻击。为什么?因为它的App-ID 需要与应用程序交互,以便可以对其进行识别和分类。为了安全,这是一个大问题。
为什么要在攻击者准备针对性攻击时为其提供优势?攻击者扫描端口以发现漏洞。由于Palo Alto专注于应用程序检查和App-ID,它必须首先允许连接标识应用程序以实施策略。这种不安全性允许端口扫描将有关您的配置,设备和安全性的详细信息泄露给攻击者。应用程式编号 着重于首先识别应用程序,因此存在不必要的安全风险。
帕洛阿尔托方法要求允许流量确定应用程序,Network World Clear Choice测试指出:可能会轻易导致意想不到的后果和不安全的配置,这是一个有效的担忧。


Palto Alto 网络s可能会导致您无法进行PCI审核

帕洛阿尔托网络公司(Palo Alto 网络s)专注于其下一代防火墙,而应用层也为遵守PCI数据安全标准提出了严重的问题。组织花费大量资源来准备通过或失败的PCI审核。 PCI DSS规范中明确说明的要求之一是组织需要在防火墙中部署“状态检查”。根据Palo Alto的说法,状态检查已被他们所谓的“称为App-ID的新核心技术”所取代。”对于组织而言,通过PCI审核失败是非常不幸的,因为它选择了错误的防火墙。

PCI DSS要求 测试程序
1.3.6实现状态检查,也称为动态数据包过滤。 (也就是说,只允许“已建立”的连接进入网络。) 1.3.6确认防火墙执行状态检查(动态数据包过滤)。 (仅当已建立的连接与先前建立的会话相关联时,才应允许建立的连接。)

状态检查已被我们称为App-ID的新核心技术所取代,该技术可识别网络上的应用程序并对其进行分类,而与端口,协议,规避策略或SSL加密无关。

帕洛阿尔托 网络s首席技术官

———————————————————————————————————————————————
缓存中毒如何绕过Palo Alto 网络s

SIP流量作为HTTP流量经过PAN FW
帕洛阿尔托 网络s容易遭受缓存中毒。例如,会话启动协议(SIP)或任何其他协议连接都可以用作攻击公司内部网络的渠道。最初可以准确地阻止SIP会话,但是通过利用缓存中毒漏洞,SIP会话可以绕过Palo Alto防火墙。该漏洞可以被利用如下:

  1. 防火墙策略允许使用HTTP
  2. 正确阻止打开通常与VoIP通信一起使用的SIP会话
  3. 生成导致缓存达到阈值的HTTP流量-意味着流量继续通过缓存,但不再受防火墙检查
  4. 将HTTP连接切换到SIP,然后再允许–从而使您面临风险

强大的安全产品不允许缓存中毒,并且强大的防火墙将永远不会停止检查网络流量。

资源:
Defcon 2011,Brad Woodberg,瞻博网络

————————————————————————————————————————————

检查点可防止NSS Labs测试的100%逃避技术

产品 IP数据包分片 TCP流分段 RPC碎片 URL混淆 HTML规避 FTP规避
检查点 100% 100% 100% 100% 100% 100% 100%
资料来源:NSS Labs NGFW测试,2012年

产品 客户保护 服务器保护 全面保护
检查点 99% 97% 98.3%
资料来源:NSS Labs IPS测试,2012年

NSS Labs发布了其2012 IPS组测试的结果,该结果审查了来自八个供应商的入侵防御系统产品。 检查点 IPS再次在测试中表现异常出色,展示了顶级的IPS保护。 检查点 12600 Appliance IPS可以防止NSS Labs尝试的100%逃避技术。
“对已知规避技术的抵抗力是完美的……IP分段,TCP流分段,RPC分段,URL混淆,HTML规避和FTP规避均无法诱使产品忽略有效的攻击。不仅成功地阻止了碎片化和混淆性的攻击,而且还准确地解码了所有攻击。”
检查点 IPS的总体防护等级为98.3%,比2011 NSS Labs IPS测试的总体防护等级提高了97.3%。
检查点在NSS IPS小组测试中的主要表现包括:

  • 优越的安全性
  • 整体防护得分高达98.3%的顶级产品
  • 100%的规避技术可确保强大的安全性
  • 服务器防护最高分97%
  • 强大而细致的一流管理系统

—————————————————————————————————————————————
应用差距

  • 检查点跟踪超过531个文件共享应用程序(对于企业而言是至关重要的应用程序类别),Palo Alto跟踪了170个。
  • 检查点跟踪的应用程序总数超过4,733,Palo Alto跟踪的总数为1,511。
  • 检查点跟踪将近25万个小部件,Palo Alto跟踪0。
检查点可以跟踪更多应用程序,并提供额外的保护粒度,因为对小部件和配置的攻击要追随某些应用程序的个别或特定功能。 帕洛阿尔托应该是“应用程序安全专家”,所以您不希望它专注于应用程序层以提供完整的解决方案吗?考虑三个突出的例子,例如Poison Ivy,Access Remote PC和Anyplace Control。 检查点具有针对这三个应用程序的控件;帕洛阿尔托(Palo Alto)没有。
数字说明了这个故事。不幸的是,使用Palo Alto的企业主只能自己弄清楚如何处理未跟踪的应用程序。
帕洛阿尔托有限的应用程序覆盖范围是可见性和安全性问题。

—————————————————————————————————————————————

帕洛阿尔托 网络s的风险可见性有限

没有考试 PDF中的数据-仅支持9种文件格式
没有识别 .docx中的非英文字符 (Office 2007及更高版本的文档)
没有保护 客户列表或任何大于350个项目的词典
没有保护 美国SSN以外的个人身份信息& CCN
没有保护 HIPAA,GLBA,SEC文件
没有保护 源代码,CAD-CAM,ASIC或FPGA设计,专利申请
没有验证 IBAN,税号,服务请求号等

帕洛阿尔托解决方案为保护信息和检查内容提供了不完整的可见性。它的技术具有有限的能力,无法深入检查超出基本范围的各种文件格式和数据类型。为什么要使用Palo Alto 网络s冒着您的重要公司数据或知识产权的风险? 检查点为您提供完整的可见性和全面的保护。

我们发现文件阻止很容易上当。例如,将文件放入zip归档文件可有效地隐藏文件类型,更改文件的前几个字节(通过添加空白行),以及在某些情况下,更改文件名也是如此,这是我们所不希望的。

 2011年8月

泛承诺的功能不会在实际部署中转化为现实。

领先的在线投资公司

泛的解决方案充满了漏洞。

国际电影学院

—————————————————————————————————————————————

帕洛阿尔托 网络s管理能力薄弱

帕洛阿尔托 网络s没有用于VPN配置的内置中央监视工具。
使用Palo Alto 网络s,每个隧道都是单独配置的。
包含30个网关的网格需要手动设置870个隧道!


这是Palo Alto安全管理中的一个空白示例:虚拟专用网的配置和管理。设置VPN时,必须为VPN连接定义隧道。配置Palo Alto 虚拟专用网时,需要为每个隧道手动配置网关。对于30个安全网关,这将需要870个隧道。您将需要手动配置每个组件并开发脚本以将它们缝合在一起。 帕洛阿尔托没有用于VPN配置的内置集中式监视工具。

显然,Palo Alto所需的手动工作将使大型部署变得非常困难。正如Network World在其最新的“下一代防火墙”产品评论中指出的那样:“大型VPN部署将不希望迁移到Palo Alto…任何大型部署都必须完全由手工构建”。
检查点提供一键式VPN配置,可自动执行该过程并提高您的生产率。使用Check Point,无需手动构建和配置870个单独的VPN隧道!而且我们的SmartView Monitor可提供对在线隧道状态和VPN计数器的完全可见性。

大型VPN部署将不希望迁移到Palo Alto…任何大型部署都必须完全手动构建。

网络世界 2011年8月

帕洛阿尔托 网络s没有与Check Point多域管理类似的功能。

主要能源公司

通过 约翰

关于“从检查站的角度来看NGFW事实的Palo Alto”​​的想法

发表评论