Fortinet在IPS测试中具有最高的捕获率

我们测试了每个下一代防火墙的入侵防御能力，以确定它们的工作程度以及IP如何与系统管理集成。

我们特别关注误报的IPS工作流程，从登录的IPS事件到触发事件的特定IPS签名，禁用或修改IPS签名以减少问题的功能。

我们开始使用我们的MU Dynamics Studio安全测试工具检查每个防火墙的IPS将如何捕获MU的已发布漏洞列表。我们在两种不同的配置中测试了防火墙，一个优化以保护最终用户，以及优化以保护服务器的第二个配置。对于每个配置，我们发送了一个不同的约1,000个漏洞。

下一步防火墙：关闭良好的开端

对于每个漏洞集（服务器攻击和客户端攻击），我们为每个防火墙创建了两个策略。一个策略包括所有IPS签名，另一个策略只有标记为最优先级的签名子集。我们认为“所有”签名集将具有更大的误报，大多数网络经理都希望只阻止最关键的漏洞。

在大多数产品中，我们在两套之间看到了不到两个百分点的差异，这意味着可以很少调整IPS可能。Fortinet的FortiGate是例外，显示攻击差异的10％至25％，提供了网络管理器更多工具来将IPS与其网络匹配。

在保护客户端时，我们发现检查点安全网关，Fortinet FortiGate和Barracuda NG防火墙全都表现优于SonicWALL Sonicos。但是，当我们测试服务器保护的IPS配置时，SonicWALL和Fortinet比检查点和Barracua更好地执行。

我们认为，大多数部署下一代防火墙功能的企业将执行它来保护最终用户而不是服务器，因此客户端保护IPS覆盖率比服务器保护覆盖更重要。

虽然我们认为使用MU动态测试仪测试有助于将IPS供应商带​​入脚趾上的漏洞签名，但重要的是不要读取太多的效力测试。由于MU动态测试仪是标准产品，因此IPS供应商将调整其系统的可能性，即使他们不同意特定的攻击或漏洞是重要或正确制作的。Mu Dynamics Tester也很有用，因为它可以进行突变测试，这可以在下一代防火墙中强调软件，尽管只有Barracuda NG防火墙在测试运行期间只有崩溃。

因为IPSES都可以触发误报，因此管理是一个重要的问题。我们发现检查点安全网关和SonicWALL Sonicos最容易使用，虽然这可能是个人偏好的问题。两个设备仅允许每个设备的单个IPS策略，这意味着您正在在防火墙上管理单个大型策略。这是限制性的，但是当您管理防火墙而不是专用IPS设备时，这是一个适当的限制。

相比之下，Barracuda NG防火墙和Fortinet FortiGate允许您定义多个策略，并将每个策略带入规则逐行播放。NG防火墙和FortiGate更灵活，但有一个价格要付偿 - 您没有非常好的政策创建和管理工具，这意味着制作多个策略可以才能加剧。

如果您认为您的IPS管理将是“设置它并忘记它”的风格，在您定义要启用的粗略类别的情况下，然后再也看出日志或配置，您将对任何这些产品感到满意。

当我们转向IPS报告界面时，我们在与可选的SmartEvent分析仪组合时，我们发现了一个清晰的赢家。检查点的获奖组合提供了一种易于查看IPS事件的方式，了解随着时间的推移发生了什么，并向下进行了个别事件并为每个事件提供支持证据。从SmartEvent分析仪中，我们能够直接跳转到IPS策略，启用或禁用签名或添加异常。

如果您正在考虑使用包含IP的下一代防火墙替换您的独立IP，并且希望具有独立IPS为您提供相同的报告和分析，请使用SmartEvent分析器检查点安全网关离开其他设备。

当与其可选的全局管理系统相结合时，IPS报告中的第二名是SonicWALL。Fortinet FortiGate和Barracuda NG防火墙都在我们的实验室没有单独的报告系统，只留下了盒子分析工具。FortiGate提供了一个漂亮的板岩，包括一些钻取功能，但没有像SonicWALL全局管理系统或检查点SmartEvent分析仪那样良好的工作。

总的来说，最接近独立IP的下一代防火墙在其可见性和策略管理功能中是检查点的安全网关（但仅在与SmartEvent Analyzer组合时）。

如果您只想要一个Set-It和忘记IT IPS，Fortinet通过在我们的Mu Dynamics的IPS漏洞覆盖测试中提出更高的捕获率，Fortinet几乎没有地脱掉SonicWALL和Barracuda。