比較業界新一代防火牆(NGFW) - Cisco

利用來自NSS Labs 的結果，將思科與其他三大廠商的新一代防火牆網路安全性功能與作業能力進行比較。

跳转到页面内容 略過搜尋 跳转到页脚 比較業界新一代防火牆(NGFW) 數據截至2018年10月有效。

思科PaloAltoNetworksFortinetCheckPointSoftwareTechnologiesExpandall安全性功能持續分析CiscoFirepower採用持續分析，超越事件視界（時間點）並可進行回溯性偵測、警示、追蹤、分析及修正起初看似無異狀、或規避初期防禦機制但稍後被識別為具惡意的進階惡意軟體。

有限僅限時間點。

（時間點分析可指出判定結果是在首次處理檔案時而得。

若檔案變形或稍後才出現惡意行為，就沒有適當的控管機制來追蹤發生何事或惡意軟體最終去向。

）有限僅限時間點。

（時間點分析可指出判定結果是在首次處理檔案時而得。

若檔案變形或稍後才出現惡意行為，就沒有適當的控管機制來追蹤發生何事或惡意軟體最終去向。

）有限僅限時間點。

（時間點分析可指出判定結果是在首次處理檔案時而得。

若檔案變形或稍後才出現惡意行為，就沒有適當的控管機制來追蹤發生何事或惡意軟體最終去向。

）CiscoFirepower採用持續分析，超越事件視界（時間點）並可進行回溯性偵測、警示、追蹤、分析及修正起初看似無異狀、或規避初期防禦機制但稍後被識別為具惡意的進階惡意軟體。

僅限時間點。

（時間點分析可指出判定結果是在首次處理檔案時而得。

若檔案變形或稍後才出現惡意行為，就沒有適當的控管機制來追蹤發生何事或惡意軟體最終去向。

）僅限時間點。

（時間點分析可指出判定結果是在首次處理檔案時而得。

若檔案變形或稍後才出現惡意行為，就沒有適當的控管機制來追蹤發生何事或惡意軟體最終去向。

）僅限時間點。

（時間點分析可指出判定結果是在首次處理檔案時而得。

若檔案變形或稍後才出現惡意行為，就沒有適當的控管機制來追蹤發生何事或惡意軟體最終去向。

）網路檔案軌跡持續性思科會記錄主機如何在您的整個網路中傳輸檔案（包括惡意軟體檔案）。

系統可查看檔案傳輸作業是否遭封鎖或檔案是否被隔離。

這提供了找出範圍、控制疫情及識別感染源的方法。

軌跡須仰賴持續分析功能。

軌跡須仰賴持續分析功能。

軌跡須仰賴持續分析功能。

思科會記錄主機如何在您的整個網路中傳輸檔案（包括惡意軟體檔案）。

系統可查看檔案傳輸作業是否遭封鎖或檔案是否被隔離。

這提供了找出範圍、控制疫情及識別感染源的方法。

軌跡須仰賴持續分析功能。

軌跡須仰賴持續分析功能。

軌跡須仰賴持續分析功能。

影響評估CiscoFirepower可關聯所有入侵事件與攻擊所造成的影響，藉此指示操作人員哪些項目需要立即處理。

此評估作業仰賴來自被動裝置探索的資訊，包括作業系統、用戶端及伺服器應用程式、漏洞、檔案處理以及連線活動等等。

有限僅針對威脅嚴重性來衡量影響。

沒有主機設定檔資訊可判斷主機是否易受威脅。

有限僅針對威脅嚴重性來衡量影響。

沒有主機設定檔資訊可判斷主機是否易受威脅。

有限僅針對威脅嚴重性來衡量影響。

沒有主機設定檔資訊可判斷主機是否易受威脅。

CiscoFirepower可關聯所有入侵事件與攻擊所造成的影響，藉此指示操作人員哪些項目需要立即處理。

此評估作業仰賴來自被動裝置探索的資訊，包括作業系統、用戶端及伺服器應用程式、漏洞、檔案處理以及連線活動等等。

僅針對威脅嚴重性來衡量影響。

沒有主機設定檔資訊可判斷主機是否易受威脅。

僅針對威脅嚴重性來衡量影響。

沒有主機設定檔資訊可判斷主機是否易受威脅。

僅針對威脅嚴重性來衡量影響。

沒有主機設定檔資訊可判斷主機是否易受威脅。

安全性自動化與適應性威脅管理思科能自動調整防禦機制以應對網路、檔案或針對主機的動態變更。

此自動化機制涵蓋了主要的防禦要素，例如NGIPS規則調整以及網路防火牆原則。

有限所有原則均需要與管理員互動。

原則僅限基本調整。

必須人工辨識及緩解誤報情形。

有限所有原則均需要與管理員互動。

原則僅限基本調整。

必須人工辨識及緩解誤報情形。

有限原則需要與管理員互動。

思科能自動調整防禦機制以應對網路、檔案或針對主機的動態變更。

此自動化機制涵蓋了主要的防禦要素，例如NGIPS規則調整以及網路防火牆原則。

所有原則均需要與管理員互動。

原則僅限基本調整。

必須人工辨識及緩解誤報情形。

所有原則均需要與管理員互動。

原則僅限基本調整。

必須人工辨識及緩解誤報情形。

原則需要與管理員互動。

行為式入侵指標(IoCs)CiscoFirepower會考量檔案行為以及網站的信譽，並使用超過1,000個行為式指標來關聯網路與終端活動。

這提供了數十億的惡意軟體構件，達到無與倫比的規模，並可覆蓋來自全球的威脅。

有限標準的非行為式IoC為個別提供產品。

有限IoC是以威脅嚴重性為基礎，而非以行為作為判別。

有限IoC是以威脅嚴重性為基礎，而非以行為作為判別。

CiscoFirepower會考量檔案行為以及網站的信譽，並使用超過1,000個行為式指標來關聯網路與終端活動。

這提供了數十億的惡意軟體構件，達到無與倫比的規模，並可覆蓋來自全球的威脅。

標準的非行為式IoC為個別提供產品。

IoC是以威脅嚴重性為基礎，而非以行為作為判別。

IoC是以威脅嚴重性為基礎，而非以行為作為判別。

使用者、網路及終端知名度CiscoFirepower可提供完整的情境威脅分析及防護，並可感知使用者、每部電腦上的使用者記錄、行動裝置、用戶端應用程式、作業系統、虛擬機器與電腦間通訊、漏洞、威脅及URL。

有限僅限使用者感知。

有限除非使用個別的終端軟體，否則僅限使用者感知。

有限除非使用個別的終端軟體，否則僅限使用者感知。

CiscoFirepower可提供完整的情境威脅分析及防護，並可感知使用者、每部電腦上的使用者記錄、行動裝置、用戶端應用程式、作業系統、虛擬機器與電腦間通訊、漏洞、威脅及URL。

僅限使用者感知。

除非使用個別的終端軟體，否則僅限使用者感知。

除非使用個別的終端軟體，否則僅限使用者感知。

NGIPS新一代配備即時情境感知及網路對應的新一代IPS。

特徵碼式特徵碼式特徵碼式配備即時情境感知及網路對應的新一代IPS。

整合進階威脅防護內建動態沙箱功能(AMP-ThreatGrid)可偵測規避性及沙箱感知惡意軟體、可行事件關聯、超過1,000個的IoC、數十億的惡意軟體構件，以及容易理解的威脅分數。

有限沙箱是以雲端訂閱或企業內部自建裝置的形式提供。

有限沙箱是以雲端訂閱或企業內部自建裝置的形式提供。

有限沙箱是以雲端訂閱或企業內部自建裝置的形式提供。

內建動態沙箱功能(AMP-ThreatGrid)可偵測規避性及沙箱感知惡意軟體、可行事件關聯、超過1,000個的IoC、數十億的惡意軟體構件，以及容易理解的威脅分數。

沙箱是以雲端訂閱或企業內部自建裝置的形式提供。

沙箱是以雲端訂閱或企業內部自建裝置的形式提供。

沙箱是以雲端訂閱或企業內部自建裝置的形式提供。

惡意軟體修正CiscoAMPforNetworks的智慧型自動化機制可讓您快速瞭解作用中攻擊及其攻擊範圍，並加以遏止。

有限在未知威脅範圍中，沒有根本原因或軌跡結果。

修補作業為入侵後事件回應機制中的手動程序。

有限在未知威脅範圍中，沒有根本原因或軌跡結果。

修補作業為入侵後事件回應機制中的手動程序。

有限在未知威脅範圍中，沒有根本原因或軌跡結果。

修補作業為入侵後事件回應機制中的手動程序。

CiscoAMPforNetworks的智慧型自動化機制可讓您快速瞭解作用中攻擊及其攻擊範圍，並加以遏止。

在未知威脅範圍中，沒有根本原因或軌跡結果。

修補作業為入侵後事件回應機制中的手動程序。

在未知威脅範圍中，沒有根本原因或軌跡結果。

修補作業為入侵後事件回應機制中的手動程序。

在未知威脅範圍中，沒有根本原因或軌跡結果。

修補作業為入侵後事件回應機制中的手動程序。

威脅情報(Talos)每天不重複惡意軟體樣本數150萬數以萬計數以萬計數以萬計每天阻擋的威脅197億*不包含電子郵件不包含電子郵件無報告無報告無報告每天掃描的電子郵件訊息數6千億在6千億已掃描的電子郵件訊息中，超過85%是垃圾郵件。

無報告6百萬無報告在6千億已掃描的電子郵件訊息中，超過85%是垃圾郵件。

無報告無報告每天監視的網站請求數160億每天由WSA/CWS監視的網站請求數。

作為參考，Google每天處理35億個搜尋請求。

無報告350萬無報告每天由WSA/CWS監視的網站請求數。

作為參考，Google每天處理35億個搜尋請求。

無報告無報告自動化情報摘要安全性情報摘要每2小時更新一次，可調整為每5分鐘一次。

安全性情報摘要每2小時更新一次，可調整為每5分鐘一次。

作業能力Scanningarchitecture單一通道單一通道ASIC多通道單一通道單一通道ASIC多通道軟體定義分段CiscoTrustSec與ACI提供的安全服務獨立於工作負載與部署（實體、虛擬及雲端）。

網路中的安全性群組標記(SGT)分段軟體。

CiscoTrustSec與ACI提供的安全服務獨立於工作負載與部署（實體、虛擬及雲端）。

網路中的安全性群組標記(SGT)分段軟體。

自動化威脅遏制CiscoRapidThreatContainment可透過思科身分識別服務引擎自動化隔離動作。

CiscoRapidThreatContainment可透過思科身分識別服務引擎自動化隔離動作。

作業與管理極佳將安全性與網路作業結合。

一個或一對HA主控台可提供所有更新、修補、報告及威脅資訊。

有限NGFW管理適用的單一使用者介面。

惡意軟體、終端或任何其他平台功能適用的額外使用者介面。

有限NGFW管理適用的單一使用者介面。

記錄和事件適用的額外產品及使用者介面。

沙箱作業適用的額外產品及使用者介面。

極佳NGFW、ATP等各項獨立功能適用的單一管理程式。

將安全性與網路作業結合。

一個或一對HA主控台可提供所有更新、修補、報告及威脅資訊。

NGFW管理適用的單一使用者介面。

惡意軟體、終端或任何其他平台功能適用的額外使用者介面。

NGFW管理適用的單一使用者介面。

記錄和事件適用的額外產品及使用者介面。

沙箱作業適用的額外產品及使用者介面。

NGFW、ATP等各項獨立功能適用的單一管理程式。

部署模式一般裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）一般裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）一般裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）一般裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）裝置、虛擬執行個體(VMware)及公共雲（AWS和Azure）eStreamerAPICiscoFirepower可將事件資料和主機設定檔資訊串流至用戶端應用程式、SIEM及SOC平台，強化您的可行情報。

CiscoFirepower可將事件資料和主機設定檔資訊串流至用戶端應用程式、SIEM及SOC平台，強化您的可行情報。

修補APICiscoFirepower可與第三方產品搭配使用。

它可變更資產的VLAN或存取控制項，甚至可透過服務台開立工單。

CiscoFirepower可與第三方產品搭配使用。

它可變更資產的VLAN或存取控制項，甚至可透過服務台開立工單。

主機API其他系統（例如詳細目錄、漏洞與資產管理，以及Nmap）均可將資料傳送至CiscoFirepower平台。

其他系統（例如詳細目錄、漏洞與資產管理，以及Nmap）均可將資料傳送至CiscoFirepower平台。

關鍵基礎架構(ICS/SCADA)提供強化的堅固型版本必須在個別伺服器上執行VM版NGFW，包括載入和管理支援的Hypervisor必須在個別伺服器上執行VM版NGFW，包括載入和管理支援的Hypervisor基礎功能集NGFW,AMP,NGIPS,威脅情報NGFW內含應用能見度、URL過濾、IPS、防毒及使用者身分。

Firepower亦包括所有上述的重要安全性強化，例如NGIPS、進階惡意軟體防護(AMP)、回溯、影響分析等等。

僅限NGFW僅限NGFW僅限NGFWNGFW內含應用能見度、URL過濾、IPS、防毒及使用者身分。

Firepower亦包括所有上述的重要安全性強化，例如NGIPS、進階惡意軟體防護(AMP)、回溯、影響分析等等。

SCADA規則~250~250規則（根據Snort）。

Talos可提供ICS產業適用的規則。

可匯入第三方規則。

客戶可自行建立規則。

~100~300~180~250規則（根據Snort）。

Talos可提供ICS產業適用的規則。

可匯入第三方規則。

客戶可自行建立規則。

Modbus,DNP,CIP預處理器Modbus、DNP3及BACnet。

可透過Firepower系統使用SCADA通訊協定。

Modbus、DNP3、OPC、ICCP、IEC61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850Modbus、DNP3及BACnet。

可透過Firepower系統使用SCADA通訊協定。

Modbus、DNP3、OPC、ICCP、IEC61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850服務供應商電信級認證NEBS第3級NEBS第3級NEBS第3級NEBS第3級電信級功能GTPv2、CG-NAT、Diameter、SCTP、SIP訊號防火牆GTPv2、CG-NAT、Diameter、SCTP、SIP訊號防火牆GTPv2、CG-NAT、Diameter、SCTP、SIP訊號防火牆GTPv2、CG-NAT、Diameter、SCTP、SIP訊號防火牆GTPv2、CG-NAT、Diameter、SCTP、SIP訊號防火牆GTPv2、CG-NAT、Diameter、SCTP、SIP訊號防火牆第三方服務拼接第三方與原生容器可無縫拼接在一起與FirepowerThreatDefense搭配運作。

第三方與原生容器可無縫拼接在一起與FirepowerThreatDefense搭配運作。

TrueDDoSRadwareDefenseProvDOS容器已直接與NGFW系統(CiscoFirepower9300)整合。

有限需要不同產品。

有限需要不同產品。

RadwareDefenseProvDOS容器已直接與NGFW系統(CiscoFirepower9300)整合。

需要不同產品。

需要不同產品。

下載PDF深入探索新世代防火牆(NGFWs) 關注思科 新聞與活動新聞中心活動部落格社群 關於我們 關於我們 客戶案例 關於思科 客戶案例 投資人關係 社會責任 環境永續性 信任中心 聯絡我們 聯絡我們 聯絡思科 認識思科合作夥伴 尋找經銷商 工作機會 人才招募 探索思科 成為思科合作夥伴 思科網站 Meraki WebexMeetings 全新Webex 思科資安防護傘