2025年第1季度企业防火墙和混合式部署防火墙安全功效竞争性评估实验报告摘要

2目录 Check Point企业防火墙和混合式部署防火墙SR241113MMiercom安全功效竞争性评估2025年2月3日Miercom2025年1.0执行摘要32.0测试结果摘要62.1恶意软件防御与检测摘要62.2恶意网络钓鱼URL防御与检测摘要82.3 SSE/SASE威胁防御92.4 CISA KEV评估102.5入侵防护系统测试摘要113.0用于测试的产品124.0测试设置134.1 Miercom高级攻击性威胁检测144.2 VirusTotal154.3测试环境165.0关于Miercom176.0本报告的使用17 Check Point企业防火墙和混合式部署防火墙Miercom安全功效竞争性评估Miercom2025年1.0执行摘要Check Point委托Miercom对Check Point企业防火墙和混合式部署防火墙开展竞争性安全有效性测试，选择的竞品分别来自Cisco、Fortinet、Palo Alto Networks和Zscaler。测试内容包括验证防病毒、反恶意软件、防僵尸网络、URL过滤(URLF)、沙盒、AI/ML及网络钓鱼防御引擎的有效性。我们在所有供应商的安全服务启用的情况下开展全面测试，并测试了每种解决方案检测和拦截最新现代恶意软件的能力。基于Web的恶意软件攻击、有针对性的网络钓鱼攻击、应用程序层的攻击等现代威胁在全球范围内提升了各个组织所面临的威胁级别。大多数新的恶意软件和入侵都企图利用应用程序（而不是网络组件和服务）中的漏洞。本报告中使用的术语包括防御与仅检测。“防御”表示恶意软件已被拦截。“仅检测”表示恶意软件已被识别但未被拦截。在三个月的时间里，Miercom通过从VirusTotal下载500个文件集进行了连续测试。这些样本包括：DOCX、XLSX、PDF、EXE、PowerShell和Bash脚本、APK、DLL和存档文件。每种解决方案都使用防病毒、IPS、防僵尸网络、URLF、沙盒和AI/ML驱动的安全引擎进行了评估。对所有供应商的测试同时进行，以评估其在拦截现代网络威胁方面的有效性。Miercom分析了CISA（网络安全和基础设施安全局）维护的已知被利用漏洞(KEV)目录中列出的常见漏洞和暴露(CVE)数。CISA的KEV目录包含的漏洞在实际攻击中被积极利用，因此透过这项指标可以深入了解产品的安全性和质量。组织会优先修复这些已知漏洞，因为它们是全球黑客的主要攻击目标。由于难免要进行修补和补救，这些漏洞会给组织造成巨大的运营开销。（详见第2.4节。）使用BreakingPoint对IPS拦截率进行了评估。BreakingPoint是由Keysight Technologies开发的网络安全测试平台，可模拟包括网络攻击在内的真实流量。该评估衡量了每种解决方案在保持性能的同时检测和缓解威胁的有效性。本报告还评估了安全服务边缘(SSE)（通常称为防火墙即服务年度报告侧重于本地和云网络防火墙。然而，随着混合式部署防火墙架构（由Gartner定义）的兴起，这份2025年的报告从整体上分析了所有三种混合式部署防火墙用例（本地、云端和防火墙即服务）。✓ 3SR241113M2025年2月3日广泛测试已知被利用漏洞(KEV)入侵防护系统(IPS)安全服务边缘(SSE)(FWaaS)）的安全功效。之前的 Check Point企业防火墙和混合式部署防火墙4SR241113MMiercom安全功效竞争性评估2025年2月3日Miercom2025年在本报告中，0+1日恶意软件（发现零日攻击的次日）是指当天新发现的恶意软件。在前24小时内，任何供应商的签名检测机制都不太可能识别这些恶意软件样本主要调查结果前24小时内的关键防御率：在即时防御恶意软件样本的总数方面，Check Point在小组中遥遥领先。恶意软件攻击活动的前24小时是最危险的，这也是拦截攻击以免其迅速传播并造成大规模破坏的关键时段。如果安全系统在攻击的前24小时内具有更高拦截率，那么企业就能实时阻止威胁，从而更大限度地降低数据泄露、停机和高级持续性威胁(APT)造成损害的风险。这种主动能力增强了组织弹性，并确保在不断演变的威胁形势下提供适应未来发展的安全保障。•0+1日恶意软件防御与检测：Check Point成功防御了99.9%的新恶意软件，这些恶意软件来自一组全面的文件类型，包括DOCX、XLSX、PDF、EXE、PowerShell和Bash脚本、APK、DLL以及存储时间不超过一天的存档文件。Check Point的得分最高，防御了99.9%的恶意软件下载。Palo Alto Networks的防御率和仅检测率分别为62.7%和25.2%。Fortinet的防御率和仅检测率分别为87.8%和5.7%。Cisco的防御率和仅检测率分别为67.1%和7%。Zscaler的防御率和仅检测率分别为90.9%和0。•0+1日恶意软件防御（率先拦截）：Check Point以99.9%的防御率居于首位。Palo Alto Networks的防御率为62.7%。Fortinet的防御率为87.7%。Cisco的防御率为67.1%。Zscaler的防御率为90.9%。•网络钓鱼防御：同样，前24小时是拦截攻击的最关键时段。事实证明，Check Point利用R82先进的AI深度学习能力，对网络钓鱼URL的整体防御效果最佳Check Point以99.74%的预防率居于首位，只漏检了1个URL。Palo Alto Networks的防御率为98.69%，漏检了5个URL。Fortinet的防御率为97.39%，漏检了10个URL。Cisco的防御率为55.87%，漏检了169个URL。Zscaler的防御率为91.12%，漏检了34个URL。•远程用户恶意软件防御(SSE)：Check Point以99%的总体拦截率居于首位。Palo Alto Networks的总体拦截率为74%。Fortinet的总体拦截率为84%。Cisco的总体拦截率为96%。Zscaler的总体拦截率为83%。 Check Point企业防火墙和混合式部署防火墙5SR241113MMiercom安全功效竞争性评估2025年2月3日Miercom2025年•网络安全和基础设施安全局(CISA)已知被利用漏洞：这些数字反映了与每家供应商的产品相关的已知被利用漏洞数，以及它们涵盖的KEV数，如CISA KEV目录中所列。Check Point排名第一，只有1个已知被利用漏洞，涵盖了860个漏洞。Palo Alto Networks有11个已知被利用漏洞，涵盖了745个漏洞。Fortinet有16个已知被利用漏洞，涵盖了830个漏洞。Cisco有21个已知被利用漏洞，涵盖了756个漏洞。作为SASE供应商，Zscaler的分数不适用，因为这种解决方案完全由该供应商管理，无需报告KEV数。•入侵防护系统：BreakingPoint IPS是一款网络安全测试工具，旨在模拟包括网络攻击在内的真实流量，以评估和优化IPS的性能。Check Point以98.0%的平均拦截率居于首位。Palo Alto Networks的平均拦截率为91.6%。Fortinet的平均拦截率为94.6%。Cisco的平均拦截率为42.6%。Zscaler的平均拦截率为72.5%。 Check Point企业防火墙和混合式部署防火墙Miercom安全功效竞争性评估Miercom2025年2.0测试结果摘要2.1恶意软件防御与检测摘要企业防火墙和混合式部署防火墙测试结果摘要：几款产品针对0+1日最新发现的恶意软件的拦截与检测功效的测试结果对比。恶意软件新变种的防御成功率：在我们的0+1日恶意软件测试中，Check Point成功防御了超过99.9%的恶意软件，这些恶意软件来自大批文件和不同的文件类型，包括可执行文件、文档和档案。Fortinet、Zscaler、Palo Alto Networks和Cisco的防御率分别为87.7%、90.0%、62.7%和67.1%。上图显示了在攻击的前24小时内，每个供应商的防火墙在防御与仅检测方面的表现。防御表示该解决方案识别出恶意软件并立即将其拦截在网络之外。仅检测表示该解决方案识别出恶意软件，但未将其拦截在网络之外。请注意，供应商没有机会配置自己的产品，但每款产品都是按照供应商的最佳实践配置的。 6SR241113M2025年2月3日 Check Point企业防火墙和混合式部署防火墙7SR241113MMiercom安全功效竞争性评估2025年2月3日Miercom2025年上图显示了每家供应商的防火墙在攻击的前24小时内的防御表现。防御表示该解决方案识别出恶意软件并立即将其拦截在网络之外。Palo Alto Networks和Cisco的误报率为4.75%。 Check Point企业防火墙和混合式部署防火墙8Miercom安全功效竞争性评估Miercom2025年2.2恶意网络钓鱼URL防御与检测摘要企业防火墙和混合式部署防火墙测试结果摘要：对最新发现的网络钓鱼和其他恶意URL的拦截和检测功效之测试结果对比。漏检的恶意URL越少越好。上图显示了每家供应商的产品在检测和防御最新发现的（发现小时以内）网络钓鱼和其他恶意URL方面的表现。Check Point不仅展示了静态检测能力，还可以根据对网页内容（例如企业徽标/图标、可疑字段、不规则拼写、重定向以及这些网站的许多其他模糊的恶意组件）的分析，使用基于AI的网络钓鱼保护动态检测网络钓鱼网站。这种针对网络钓鱼检测的双层保护（基于信誉和内容分析）非常重要，因为许多网络钓鱼网站会通过更改其IP地址位置和域名来攻克基于信誉的静态保护形式。在之前Miercom对相关产品（即Cisco Secure Access解决方案）的测试中，当配置了最大检测设置时，Cisco在24小时重新测试中实现了98%的恶意URL拦截率。请注意，这是另一个用于进行SSE评估的环境，而不是本报告中反映的仅针对企业防火墙和混合式部署防火墙的审查。此注释是为了澄清和确保公开透明。 SR241113M2025年2月3日24 Check Point企业防火墙和混合式部署防火墙Miercom安全功效竞争性评估Miercom2025年2.3SSE/SASE威胁防御企业防火墙和混合式部署防火墙测试结果摘要：SSE/SASE威胁防护针对安全服务边缘(SSE)用例（也称为防火墙即服务(FWaaS)）的安全功效之测试结果对比。上图显示了每家供应商的解决方案在SSE/SASE威胁防御测试用例中的表现。该评估衡量了安全服务边缘(SSE)防火墙即服务(FWaaS)功能在拦截恶意软件威胁方面的有效性。之前的年度报告侧重于本地和云网络防火墙，而本次评估则与不断演变的混合式部署防火墙架构相一致。它全面分析了所有三种部署模型：本地、云端和防火墙即服务。 9SR241113M2025年2月3日 Check Point企业防火墙和混合式部署防火墙Miercom安全功效竞争性评估Miercom2025年2.4 CISA KEV评估网络安全和基础设施安全局(CISA)维护着已知被利用漏洞(KEV)目录，这是一个权威的漏洞库，其中包含真实网络攻击中被利用的漏洞。此资源可帮助组织优先处理因积极利用而构成重大风险的漏洞。这些数字反映了与每家供应商的产品相关的已知被利用漏洞数，如KEV目录中所列。需要指出的是，漏洞的存在可能受到产品组合广度、市场份额和每家供应商所提供解决方案的复杂性等因素的影响。请注意，所有网关都是按照供应商的最佳实践配置而成。组织可通过定期查阅KEV目录(https://www.cisa.gov/known-exploited-vulnerabilities-catalog)来及时了解被积极利用的漏洞。帮助及时进行补救。上图显示了CISA KEV目录中每家供应商已缓解的CVE总数（红色）以及目录中识别的特定于供应商的CV