已有帳號?

  •   個人化內容
  •   您的產品與支援

需要帳號?

建立帳號

比較業界新一代防火牆 (NGFW)

數據截至2018年10月有效。

思科

Palo Alto Networks

Fortinet

Check Point Software Technologies

Expand all

安全性功能

持續分析Cisco Firepower 採用持續分析,超越事件視界(時間點)並可進行回溯性偵測、 警示、追蹤、 分析及修正起初看似無異狀、 或規避初期防禦機制但稍後被識別為具惡意的進階惡意軟體。有限僅限時間點。 (時間點分析可指出判定結果是在首 次處理檔案時而得。 若檔案變形或稍後才出現惡意行為, 就沒有適當的控管機制來追蹤發生 何事或惡意軟體最終去向。)有限僅限時間點。 (時間點分析可指出判定結果是在首 次處理檔案時而得。 若檔案變形或稍後才出現惡意行為, 就沒有適當的控管機制來追蹤發生 何事或惡意軟體最終去向。)有限僅限時間點。 (時間點分析可指出判定結果是在首 次處理檔案時而得。 若檔案變形或稍後才出現惡意行為, 就沒有適當的控管機制來追蹤發生 何事或惡意軟體最終去向。)
Cisco Firepower 採用持續分析,超越事件視界(時間點)並可進行回溯性偵測、 警示、追蹤、 分析及修正起初看似無異狀、 或規避初期防禦機制但稍後被識別為具惡意的進階惡意軟體。僅限時間點。 (時間點分析可指出判定結果是在首 次處理檔案時而得。 若檔案變形或稍後才出現惡意行為, 就沒有適當的控管機制來追蹤發生 何事或惡意軟體最終去向。)僅限時間點。 (時間點分析可指出判定結果是在首 次處理檔案時而得。 若檔案變形或稍後才出現惡意行為, 就沒有適當的控管機制來追蹤發生 何事或惡意軟體最終去向。)僅限時間點。 (時間點分析可指出判定結果是在首 次處理檔案時而得。 若檔案變形或稍後才出現惡意行為, 就沒有適當的控管機制來追蹤發生 何事或惡意軟體最終去向。)
網路檔案軌跡持續性思科會記錄主機如何在您的整個網路中傳輸檔案(包括惡意軟體檔案)。 系統可查看檔案傳輸作業是否遭封鎖或檔案是否被隔離。 這提供了找出範圍、控制疫情及識別感染源的方法。軌跡須仰賴持續分析功能。軌跡須仰賴持續分析功能。軌跡須仰賴持續分析功能。
思科會記錄主機如何在您的整個網路中傳輸檔案(包括惡意軟體檔案)。 系統可查看檔案傳輸作業是否遭封鎖或檔案是否被隔離。 這提供了找出範圍、控制疫情及識別感染源的方法。軌跡須仰賴持續分析功能。軌跡須仰賴持續分析功能。軌跡須仰賴持續分析功能。
影響評估Cisco Firepower 可關聯所有入侵事件與攻擊所造成的影響,藉此指示操作人員哪些項目需要立即處理。 此評估作業仰賴來自被動裝置探索的資訊, 包括作業系統、 用戶端及伺服器應用程式、 漏洞、 檔案處理以及連線活動等等。有限僅針對威脅嚴重性來衡量影響。 沒有主機設定檔資訊可判斷主 機是否易受威脅。有限僅針對威脅嚴重性來衡量影響。 沒有主機設定檔資訊可判斷主 機是否易受威脅。有限僅針對威脅嚴重性來衡量影響。 沒有主機設定檔資訊可判斷主 機是否易受威脅。
Cisco Firepower 可關聯所有入侵事件與攻擊所造成的影響,藉此指示操作人員哪些項目需要立即處理。 此評估作業仰賴來自被動裝置探索的資訊, 包括作業系統、 用戶端及伺服器應用程式、 漏洞、 檔案處理以及連線活動等等。僅針對威脅嚴重性來衡量影響。 沒有主機設定檔資訊可判斷主 機是否易受威脅。僅針對威脅嚴重性來衡量影響。 沒有主機設定檔資訊可判斷主 機是否易受威脅。僅針對威脅嚴重性來衡量影響。 沒有主機設定檔資訊可判斷主 機是否易受威脅。
安全性自動化與適應性威脅管理思科能自動調整防禦機制以應對網路、檔案或針對主機的動態變更。 此自動化機制涵蓋了主要的防禦要素, 例如 NGIPS 規則調整以及網路防火牆原則。有限所有原則均需要與管理員互動。 原則僅限基本調整。 必須人工辨識及緩解誤報情形。有限所有原則均需要與管理員互動。 原則僅限基本調整。 必須人工辨識及緩解誤報情形。有限原則需要與管理員互動。
思科能自動調整防禦機制以應對網路、檔案或針對主機的動態變更。 此自動化機制涵蓋了主要的防禦要素, 例如 NGIPS 規則調整以及網路防火牆原則。所有原則均需要與管理員互動。 原則僅限基本調整。 必須人工辨識及緩解誤報情形。所有原則均需要與管理員互動。 原則僅限基本調整。 必須人工辨識及緩解誤報情形。原則需要與管理員互動。
行為式入侵指標(IoCs)Cisco Firepower 會考量檔案行為以及網站的信譽, 並使用超過 1,000 個行為式指標來關聯網路與終端活動。 這提供了數十億的惡意軟體構件,達到無與倫比的規模,並可覆蓋來自全球的威脅。有限標準的非行為式 IoC 為個別提供產品。有限IoC 是以威脅嚴重性為基礎,而非以行為作為判別。有限IoC 是以威脅嚴重性為基礎,而非以行為作為判別。
Cisco Firepower 會考量檔案行為以及網站的信譽, 並使用超過 1,000 個行為式指標來關聯網路與終端活動。 這提供了數十億的惡意軟體構件,達到無與倫比的規模,並可覆蓋來自全球的威脅。標準的非行為式 IoC 為個別提供產品。IoC 是以威脅嚴重性為基礎,而非以行為作為判別。IoC 是以威脅嚴重性為基礎,而非以行為作為判別。
使用者、網路及終端知名度Cisco Firepower 可提供完整的情境威脅分析及防護, 並可感知使用者、每部電腦上的使用者記錄、 行動裝置、用戶端應用程式、 作業系統、 虛擬機器與電腦間通訊、漏洞、威脅及 URL。有限僅限使用者感知。有限除非使用個別的終端軟體,否則僅限使用者感知。有限除非使用個別的終端軟體,否則僅限使用者感知。
Cisco Firepower 可提供完整的情境威脅分析及防護, 並可感知使用者、每部電腦上的使用者記錄、 行動裝置、用戶端應用程式、 作業系統、 虛擬機器與電腦間通訊、漏洞、威脅及 URL。僅限使用者感知。除非使用個別的終端軟體,否則僅限使用者感知。除非使用個別的終端軟體,否則僅限使用者感知。
NGIPS新一代配備即時情境感知及網路對應的新一代 IPS。特徵碼式特徵碼式特徵碼式
配備即時情境感知及網路對應的新一代 IPS。
整合進階威脅防護內建動態沙箱功能 (AMP-ThreatGrid) 可偵測規避性及沙箱感知惡意軟體、 可行事件關聯、超過 1,000 個的 IoC、 數十億的惡意軟體構件, 以及容易理解的威脅分數。有限沙箱是以雲端訂閱或企業內部自建裝置的形式提供。有限沙箱是以雲端訂閱或企業內部自建裝置的形式提供。有限沙箱是以雲端訂閱或企業內部自建裝置的形式提供。
內建動態沙箱功能 (AMP-ThreatGrid) 可偵測規避性及沙箱感知惡意軟體、 可行事件關聯、超過 1,000 個的 IoC、 數十億的惡意軟體構件, 以及容易理解的威脅分數。沙箱是以雲端訂閱或企業內部自建裝置的形式提供。沙箱是以雲端訂閱或企業內部自建裝置的形式提供。沙箱是以雲端訂閱或企業內部自建裝置的形式提供。
惡意軟體修正Cisco AMP for Networks 的智慧型自動化機制可讓您快速瞭解作用中攻擊及其攻擊範圍, 並加以遏止。有限在未知威脅範圍中, 沒有根本原因或軌跡結果。 修補作業為入侵後事件回應機制中的手動程序。有限在未知威脅範圍中, 沒有根本原因或軌跡結果。 修補作業為入侵後事件回應機制中的手動程序。有限在未知威脅範圍中, 沒有根本原因或軌跡結果。 修補作業為入侵後事件回應機制中的手動程序。
Cisco AMP for Networks 的智慧型自動化機制可讓您快速瞭解作用中攻擊及其攻擊範圍, 並加以遏止。在未知威脅範圍中, 沒有根本原因或軌跡結果。 修補作業為入侵後事件回應機制中的手動程序。在未知威脅範圍中, 沒有根本原因或軌跡結果。 修補作業為入侵後事件回應機制中的手動程序。在未知威脅範圍中, 沒有根本原因或軌跡結果。 修補作業為入侵後事件回應機制中的手動程序。

威脅情報(Talos)

每天不重複惡意軟體樣本數150萬數以萬計數以萬計數以萬計
每天阻擋的威脅197億*不包含電子郵件
不包含電子郵件無報告無報告無報告
每天掃描的電子郵件訊息數6千億在 6 千億已掃描的電子郵件訊息中,超過 85% 是垃圾郵件。 無報告6百萬 無報告
在 6 千億已掃描的電子郵件訊息中,超過 85% 是垃圾郵件。無報告 無報告
每天監視的網站請求數160億每天由 WSA/CWS 監視的網站請求數。 作為參考, Google 每天處理 35 億個搜尋請求。 無報告350萬 無報告
每天由 WSA/CWS 監視的網站請求數。 作為參考, Google 每天處理 35 億個搜尋請求。無報告 無報告
自動化情報摘要安全性情報摘要每 2 小時更新一次,可調整為每 5 分鐘一次。
安全性情報摘要每 2 小時更新一次,可調整為每 5 分鐘一次。

作業能力

Scanning architecture 單一通道 單一通道 ASIC 多通道
單一通道單一通道ASIC多通道
軟體定義分段Cisco TrustSec 與 ACI 提供的安全服務獨立於工作負載與部署(實體、虛擬及雲端)。 網路中的安全性群組標記 (SGT) 分段軟體。
Cisco TrustSec 與 ACI 提供的安全服務獨立於工作負載與部署(實體、虛擬及雲端)。 網路中的安全性群組標記 (SGT) 分段軟體。
自動化威脅遏制Cisco Rapid Threat Containment 可透過思科身分識別服務引擎自動化隔離動作。
Cisco Rapid Threat Containment 可透過思科身分識別服務引擎自動化隔離動作。
作業與管理極佳將安全性與網路作業結合。一個或一對 HA 主控台可提供所有更新、 修補、報告及威脅資訊。有限NGFW 管理適用的單一使用者介面。惡意軟體、 終端或任何其他平台功能適用的額外使用者介面。有限NGFW 管理適用的單一使用者介面。 記錄和事件適用的額外產品及使用者介面。 沙箱作業適用的額外產品及使用者介面。極佳NGFW、ATP 等各項獨立功能適用的單一管理程式。
將安全性與網路作業結合。一個或一對 HA 主控台可提供所有更新、 修補、報告及威脅資訊。NGFW 管理適用的單一使用者介面。惡意軟體、 終端或任何其他平台功能適用的額外使用者介面。NGFW 管理適用的單一使用者介面。 記錄和事件適用的額外產品及使用者介面。 沙箱作業適用的額外產品及使用者介面。NGFW、ATP 等各項獨立功能適用的單一管理程式。
部署模式一般裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)一般裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)一般裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)一般裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)
裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)裝置、虛擬執行個體 (VMware) 及公共雲(AWS 和 Azure)
eStreamer APICisco Firepower 可將事件資料和主機設定檔資訊串流至用戶端應用程式、SIEM 及 SOC 平台,強化您的可行情報。
Cisco Firepower 可將事件資料和主機設定檔資訊串流至用戶端應用程式、SIEM 及 SOC 平台,強化您的可行情報。
修補APICisco Firepower 可與第三方產品搭配使用。它可變更資產的 VLAN 或存取控制項, 甚至可透過服務台開立工單。
Cisco Firepower 可與第三方產品搭配使用。它可變更資產的 VLAN 或存取控制項, 甚至可透過服務台開立工單。
主機API其他系統(例如詳細目錄、漏洞與資產管理,以及 Nmap)均可將資料傳送至 Cisco Firepower 平台。
其他系統(例如詳細目錄、漏洞與資產管理,以及 Nmap)均可將資料傳送至 Cisco Firepower 平台。

關鍵基礎架構(ICS/SCADA)

提供強化的堅固型版本必須在個別伺服器上執行 VM 版 NGFW,包括載入和管理支援的 Hypervisor
必須在個別伺服器上執行 VM 版 NGFW,包括載入和管理支援的 Hypervisor
基礎功能集NGFW, AMP, NGIPS, 威脅情報NGFW 內含應用能見度、URL 過濾、IPS、防毒及使用者身分。 Firepower 亦包括所有上述的重要安全性強化, 例如 NGIPS、進階惡意軟體防護 (AMP)、回溯、影響分析等等。僅限NGFW 僅限NGFW 僅限NGFW
NGFW 內含應用能見度、URL 過濾、IPS、防毒及使用者身分。 Firepower 亦包括所有上述的重要安全性強化, 例如 NGIPS、進階惡意軟體防護 (AMP)、回溯、影響分析等等。
SCADA規則~250~250 規則(根據 Snort)。Talos 可提供 ICS 產業適用的規則。 可匯入第三方規則。 客戶可自行建立規則。~100~300~180
~250 規則(根據 Snort)。Talos 可提供 ICS 產業適用的規則。 可匯入第三方規則。 客戶可自行建立規則。
Modbus, DNP, CIP 預處理器Modbus、DNP3 及 BACnet。可透過 Firepower 系統使用 SCADA 通訊協定。Modbus、DNP3、OPC、ICCP、IEC 61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850
Modbus、DNP3 及 BACnet。可透過 Firepower 系統使用 SCADA 通訊協定。Modbus、DNP3、OPC、ICCP、IEC 61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850Modbus、DNP3、BACNet、MMS、OPC、Profinet、ICCP、IEC.60870.5.104、IEC.61850

服務供應商

電信級認證NEBS 第3級NEBS 第3級
NEBS 第3級 NEBS 第3級
電信級功能GTP v2、CG-NAT、Diameter、SCTP、SIP 訊號防火牆GTP v2、CG-NAT、Diameter、SCTP、SIP 訊號防火牆GTP v2、CG-NAT、Diameter、SCTP、SIP 訊號防火牆
GTP v2、CG-NAT、Diameter、SCTP、SIP 訊號防火牆 GTP v2、CG-NAT、Diameter、SCTP、SIP 訊號防火牆GTP v2、CG-NAT、Diameter、SCTP、SIP 訊號防火牆
第三方服務拼接第三方與原生容器可無縫拼接在一起與 Firepower Threat Defense 搭配運作。
第三方與原生容器可無縫拼接在一起與 Firepower Threat Defense 搭配運作。
True DDoSRadware DefensePro vDOS 容器已直接與 NGFW 系統 (Cisco Firepower 9300) 整合。有限需要不同產品。有限需要不同產品。
Radware DefensePro vDOS 容器已直接與 NGFW 系統 (Cisco Firepower 9300) 整合。 需要不同產品。需要不同產品。