次世代ファイアウォール・テスト・レポート - チェック・ポイント・ソフトウェア

次世代ファイアウォール・テスト・レポート
チェック・ポイント・ソフトウェア・テクノロジーズ
13800 次世代ファイアウォール・アプライアンス
R77.20
執筆者 - ティモシー・オットー(Timothy Otto)
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
概要
今回 NSS Labs は、Check Point 13800 NGFW アプライアンス(R77.20)について単独のテストを実施しまし
た。同製品のテストは、米国テキサス州オースティンに設けられた NSS の施設において、www.nsslabs.com.
で公開されているテスト手法「Next Generation Firewall (NGFW) Test Methodology v6.0」に基づいて実施さ
れています。本テストは無償のプログラムであり、NSS は、チェック・ポイント製品のテストにあたり、同社から一
切の対価を受け取っていません。NGFW 技術の詳細については、NSS のアナリスト・ブリーフ『What Do CIOs
Need to Know About Next Generation Firewalls?1』を参照してください。
本レポートと対をなす比較レポートでは、全テスト対象製品のセキュリティ、パフォーマンス、総所有コスト(TCO)
を比較していますが、テスト・レポートである本書では、特定製品のテスト結果を詳細に分析しています。
NSS の調査によると、多くの NGFW デバイスは、データセンター資産ではなくユーザ環境を保護する目的で導
入されており、大部分の企業では、NGFW の侵入防御システム(IPS)モジュールを個別にチューニングしてい
ません。このため NSS では、NGFW 製品を各ベンダーの初期設定(推奨設定)でテストし、想定される使用環
境に近い構成でセキュリティ性能とパフォーマンスを検証しています。
製品
NSS エクスプロイ
ト・ライブラリの
阻止率
2
99.8%
Check Point 13800 NGFW
アプライアンス
R77.20.
NSS テスト環
境での
スループット
3 年間の TCO
(定価)
3 年間の
TCO(実勢
価格)
6,889 Mbps
$166,590
$91,895
検出回避手法
への対処
安定性と
信頼性
合格
合格
ファイアウォール・ポ アプリケーション
リシーの実施
制御
合格
合格
Figure 1 – テスト結果の概要
Check Point 13800 NGFW アプライアンスは、推奨ポリシーを使用した構成で、サーバ・アプリケーションに対
する攻撃の 100%、クライアント・アプリケーションに対する攻撃の 99.7%、攻撃全体の 99.8%を阻止しました。
また、テスト対象のすべての検出回避手法に対応したほか、安定性と信頼性に関するテストにも合格していま
す。
テストにおけるスループットは 6,889 Mbps で、ベンダー公称値のスループット 9.5 Gbps よりは下回ります。
NSS テスト環境でのスループットは、実環境を想定した各種プロトコル構成および 21 KB の HTTP レスポンス
を使用したキャパシティ・テストの結果を平均して算出しています。
1 "What
2 NSS
Do CIOs Need to Know About Next Generation Firewalls?" NSS Labs
エクスプロイト・ライブラリに登録されたエクスプロイトの阻止率。この数値は、「NSS Labs Security Value Map™」に掲載される総
合的な阻止率の算出に使用されます。
2
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
目次
概要 ................................................................................................................................. 2
セキュリティ性能 ............................................................................................................... 5
ファイアウォール・ポリシーの実施.................................................................................................................... 5
アプリケーション制御....................................................................................................................................... 6
NSS エクスプロイト・ライブラリ......................................................................................................................... 6
誤検出テスト ............................................................................................................................................... 7
攻撃経路別の阻止率 .................................................................................................................................. 7
影響別の阻止率 ......................................................................................................................................... 7
年代別の阻止率 ......................................................................................................................................... 8
ターゲット・ベンダー別の阻止率 ................................................................................................................... 8
検出回避手法への対処 .................................................................................................................................. 9
パフォーマンス ................................................................................................................ 10
実環境を想定しないパケット処理パフォーマンス(UDP スループット) ............................................................. 10
実環境を想定しないパケット処理パフォーマンス(UDP の遅延) ..................................................................... 11
最大キャパシティ .......................................................................................................................................... 11
HTTP キャパシティ(トランザクション遅延なし) ............................................................................................... 13
アプリケーションの平均応答時間 - HTTP ...................................................................................................... 13
HTTP キャパシティ(トランザクション遅延あり) ............................................................................................... 14
実環境のトラフィック構成............................................................................................................................... 14
安定性と信頼性 .............................................................................................................. 16
管理と設定 ..................................................................................................................... 17
総所有コスト(TCO) ........................................................................................................ 18
インストールの所要時間 ............................................................................................................................... 18
定価に基づく TCO ........................................................................................................................................ 19
実勢価格に基づく TCO ................................................................................................................................. 19
スコアの詳細 .................................................................................................................. 20
テスト手法 ...................................................................................................................... 25
お問い合わせ ................................................................................................................. 25
3
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
図表
Figure 1 – テスト結果の概要 ............................................................................................................... 2
Figure 2 – ファイアウォール・ポリシーの実施 ....................................................................................... 5
Figure 3 – アプリケーション制御 .......................................................................................................... 6
Figure 4 – 阻止したエクスプロイト数(%) ............................................................................................. 6
Figure 5 – 攻撃経路別の阻止率.......................................................................................................... 7
Figure 6 – 年代別の阻止率 ................................................................................................................. 8
Figure 7 – ターゲット・ベンダー別の阻止率 .......................................................................................... 8
Figure 8 – 検出回避手法への対処 ...................................................................................................... 9
Figure 9 – 実環境を想定しないパケット処理パフォーマンス(UDP トラフィック) ................................... 10
Figure 10 – UDP における遅延(単位: マイクロ秒) ........................................................................... 11
Figure 11 – 同時接続数と毎秒当たりの接続数 .................................................................................. 12
Figure 12 – HTTP キャパシティ(トランザクション遅延なし) ................................................................ 13
Figure 13 – アプリケーションの平均応答時間(単位: ミリ秒) ............................................................. 13
Figure 14 – HTTP キャパシティ(トランザクション遅延あり) ................................................................ 14
Figure 15 – 実環境のトラフィック構成 ................................................................................................ 15
Figure 16 – 安定性と信頼性 .............................................................................................................. 16
Figure 17 – インストールの所要時間 ................................................................................................. 18
Figure 18 – 定価に基づく 3 年間の TCO ........................................................................................... 19
Figure 19 – 実勢価格に基づく 3 年間の TCO .................................................................................... 19
Figure 20 – スコアの詳細 .................................................................................................................. 24
0
4
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
セキュリティ性能
このカテゴリでは、テスト対象デバイス
このカテゴリでは、テスト対象デバイス(DUT)が備えるセキュリティ・ポリシーの実施能力を検証します。
が備えるセキュリティ・ポリシーの実施能力を検証します。
ファイアウォール・ポリシーの実施
ポリシーとは、送信元、送信先、サービスの種類といった基準に基づいて、ネットワーク・リソース間のアクセスを
許可または禁止するためのファイアウォール上のルールを指します
許可または禁止するためのファイアウォール上のルールを指します。また、
。また、ポリシーが適用される分界点の一
ポリシーが適用される分界点の一
つに、「非武装地帯(
つに、「非武装地帯(DMZ)」として定義されるネットワークがよく使用されます。
)」として定義されるネットワークがよく使用されます。
)」として定義されるネットワークがよく使用されます。一般的な
一般的なポリシーは、
ポリシーは、
次のネットワーク
ネットワークからのトラフィックを許可または禁止するように記述されています。
からのトラフィックを許可または禁止するように記述されています。
●
非信頼
非信頼ネットワーク
ネットワーク - 通常は外部ネットワークを指し、未知のネット
ワーク、安全でないネットワークと見なされます
ワーク、安全でないネットワークと見なされます。非信頼ネットワーク
非信頼ネットワーク
の例としては、インターネットが挙げられます。
●
●
DMZ - ファイアウォールによって
ファイアウォールによって隔離されたネットワークです。
されたネットワークです。
されたネットワークです。DMZ
内のホストとの間で送受信されるネットワーク・トラフィックは、ファイ
アウォールによる制限を受けます。
信頼
信頼ネットワーク - 通常は内部ネットワークを指し、保護され
た安全なネットワークと見なされます。
NSS のファイアウォール・テストでは、次の
のファイアウォール・テストでは、次のネットワーク
ネットワーク間における製品
間における製品
のパフォーマンスとポリシーの実施能力を検証します。
●
●
●
信頼
信頼ネットワークから非信頼
から非信頼ネットワーク
ネットワーク
非信頼
非信頼ネットワーク
ネットワークから DMZ
信頼
信頼ネットワークから
から DMZ
注: ファイアウォールは、
ファイアウォールは、DMZ(非信頼
非信頼ネットワーク
ネットワークと信頼ネットワーク
ネットワーク
で安全度合いが遷移する地点)を構成するための
で安全度合いが遷移する地点
を構成するための DMZ インタフェース
を 1 つ以上備えている必要があります。
テスト手順
結果
ベースライン・ポリシー
シンプルなポリシー
複雑なポリシー
Static NAT
Dynamic/Hide NAT
SYN フラッド対策
IP アドレスのスプーフィング対策
TCP スプリット・ハンドシェイクによるスプーフィング
合格
合格
合格
合格
合格
合格
合格
合格
Figure 2 – ファイアウォール・ポリシーの実施
5
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
アプリケーション制御
NGFW では、ポート単位に加え、アプリケーション単位できめ細かくトラフィックを制御できる必要があります。ア
プリケーション単位での制御に対応していれば、HTTPS によるトンネリング経由で好ましくないアプリケーション
が使用されることを防止できます。ポートとアプリケーションの両方に基づいてセキュリティ・ポリシーを定義する
と、よりきめ細かなトラフィック制御を実現できます。
テスト手順
好ましくないアプリケーションの阻止
特定アクションの阻止
結果
合格
合格
Figure 3 – アプリケーション制御
Check Point 13800 NGFW アプライアンスは、複数のルール、オブジェクト、アプリケーションで構成された、ア
ウトバウンド/インバウンドの複雑なポリシーを正確に実施しました。NSS 技術者は、デバイスが正しくアプリケ
ーションを識別し、ポリシーに基づいて適切なアクションを実施できることを確認しました。
NSS エクスプロイト・ライブラリ
セキュリティ性能のテストでは、商用ツール、オープンソース・ツール、独自ツールに精通する NSS 技術者が、
その高度な専門知識を駆使してテストを実施します。必要に応じて、NSS 独自のネットワーク・ライブ・スタック・
テスト環境 3 を使用することもあります。NSS エクスプロイト・ライブラリ・テストでは、1,999 個のエクスプロイトを
使用して、業界最大規模のエクスプロイト・テストを実施します。このテストの最大の特徴は、使用するすべての
エクスプロイトおよびペイロードが次の特性を備えている点です。
●
●
●
●
●
●
リバース・シェルが返される
ターゲットでバインド・シェルが開き、攻撃者が任意のコマンドを実行可能
任意のコードを実行可能
不正なペイロードのインストールが可能
システムを応答不能にすることが可能
その他
製品
実行したエクスプロイト
の総数
阻止したエクスプ
ロイトの総数
阻止率
Check Point 13800 NGFW アプライアンス
1,999
1,996
99.8%
R77.20
Figure 4 – 阻止したエクスプロイト数(%)
3 詳細については、『NSS
Cyber Advanced Warning System™』を参照してください。
6
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
誤検知テスト
テスト
Check Point 13800 NGFW アプライアンスは、トラフィックの有害
アプライアンスは、トラフィックの有害/無害を正確に識別し、無害なコンテンツを有
無害を正確に識別し、無害なコンテンツを有
害と判断することはありませんでした。
攻撃経路別の
攻撃経路別の阻止率
攻撃の阻止
阻止に失敗すると、重要な業務システムが侵害され深刻な影響が生じるおそれがあります。このため、
に失敗すると、重要な業務システムが侵害され深刻な影響が生じるおそれがあります。このため、
NGFW が多様なエクスプロイトに対応しているかどうかをテストすることが重要となります
が多様なエクスプロイトに対応しているかどうかをテストすることが重要となります。エクスプロイトは、
エクスプロイトは、攻
つに大別できます。前者のエクスプロイトは、脆弱性の
前者のエクスプロイトは、脆弱性の
撃者が実行するタイプ
撃者が実行するタイプとターゲットが実行するタイプ
ターゲットが実行するタイプ
ターゲットが実行するタイプの 2 つに大別できます
あるアプリケーションやオペレーティング・システムに対してリモートの攻撃者から実行され、後者のエクスプロイ
トは、脆弱性のあるターゲットによって実行されます
トは、脆弱性のあるターゲットによって実行されます。エンドユーザが受ける攻撃の多くは、ターゲットによって実
エンドユーザが受ける攻撃の多くは、ターゲットによって実
行されるエクスプロイトです。このタイプのエクスプロイトがいつ実行されるかは基本的にターゲット次第であり、
攻撃者は実行のタイミングにほとんど関与
攻撃者は実行のタイミングにほとんど関与しません。
ません。
Figure 5 – 攻撃経路別の
攻撃経路別の阻止率
影響別の
影響別の阻止率
エクスプロイトの中でも特に危険性が高いのは、リモート・システムを侵害し、
エクスプロイトの中でも特に危険性が高いのは、リモート・システムを侵害し、任意のシステム・レベルのコマンド
システム・レベルのコマンド
を実行を可能にするタイプです
実行を可能にするタイプです
実行を可能にするタイプです。通常、この種のエクスプロイトは、ターゲットのクライアント・マシンやサーバ・マ
通常、この種のエクスプロイトは、ターゲットのクライアント・マシンやサーバ・マ
シンで対話型のリモート・シェルを実行可能にする能力を備えています。
次に危険なのは、システム・レベルの任意のコマンド実行はできないものの、個々のサービスの侵害を可能に
するタイプです そしてもう 1 つ、システム・レベル、サービス・レベルの障害を引き起こし、サービスやアプリケ
するタイプです。そしてもう
ーションをクラッシュさせるタイプのエクスプロイトがあります。このような攻撃を受けた場合、管理者によるサー
ビスやシステムの再起動が必要となる場合があります
ビスやシステムの再起動が必要となる場合があります。このテストの詳細については、
このテストの詳細については、
このテストの詳細については、NSS
NSS までお問い合わせ
ください。
7
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
年代別の
年代別の阻止率
年代別の
年代別の阻止率は、ベンダーが製品のパフォーマンス水準を維持するために、古いシグネチャを極端に排除し
率は、ベンダーが製品のパフォーマンス水準を維持するために、古いシグネチャを極端に排除し
ていないかどうかを検証するためのテストです。
ていないかどうかを検証するためのテストです。Figure
Figure 6 は、Check
Check Point 13800 NGFW アプライアンスのテ
スト結果を示しています
スト結果を示しています。このテストでは、製品が最新の脆弱性に対応しているかどうかも把握できます
このテストでは、製品が最新の脆弱性に対応しているかどうかも把握できます
このテストでは、製品が最新の脆弱性に対応しているかどうかも把握できます。NSS
では、過去 10 年間のエクスプロイトの
年間のエクスプロイトの阻止率を 1 年単位でテストしており
年単位でテストしており、
、11 年以上前のエクスプロイトは 1
つのグループにまとめられています。
Figure 6 – 年代別の阻止率
年代別の
ターゲット・ベンダー別の
ターゲット・ベンダー別の阻止率
NSS エクスプロイト・ライブラリ
のエクスプロイトは、多様なプロトコルおよびアプリケーションを攻撃対象として
エクスプロイト・ライブラリのエクスプロイトは、多様なプロトコルおよびアプリケーションを攻撃対象として
います。ターゲット・ベンダー別の
ターゲット・ベンダー別の
ターゲット・ベンダー別の阻止
阻止率は、各ベンダーの脆弱性に対する攻撃の
率は、各ベンダーの脆弱性に対する攻撃の
率は、各ベンダーの脆弱性に対する攻撃の阻止率を検証するテストで、
率を検証するテストで、
Figure 7 は、特に狙われやすいベンダー上位 5 社の脆弱性に対する Check Point 13800 NGFW アプライア
ンスのテスト結果を示しています
ンスのテスト結果を示しています。本テストでは、
本テストでは、
本テストでは、70 社以上のベンダーの脆弱性を攻撃対象としています
社以上のベンダーの脆弱性を攻撃対象としています。この
テストの詳細については、
テストの詳細については、NSS までお問い合わせください。
Figure 7 – ターゲット・ベンダー別の
ターゲット・ベンダー別の阻止率
率
8
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
検出回避手法への対処
検出回避手法は、攻撃パケットに手を加えるなどして偽装し、セキュリティ製品による検出および防御を免れる
ための手法です。セキュリティ製品がこのような検出回避手法を見抜けなかった場合、本来防げたはずの不正
活動を攻撃者に許すおそれがあります。すなわち、検出回避手法に対応していないセキュリティ製品は、実質
的に無力であるということです。このテストで使用している手法の多くは、以前から広く知られているテクニック
であり、NGFW 製品では、最低限、これらの手法に対処できる必要があります。
エクスプロイト対策のテスト結果を評価する際には、検出回避手法への対応能力にも目を向けることが必要で
す。IP パケットのフラグメント化やストリームの分割、RPC のフラグメント化、URL の難読化、HTML の難読化、
ペイロードのエンコーディング、FTP による回避など、見逃す検出回避手法の種類が多ければ多いほど、デバ
イスのセキュリティ性能は低いということになります。例えば、FTP による回避など特定カテゴリのすべての手
法を見逃すのと、各カテゴリの手法を 1 つずつ見逃すのとでは、後者の方が広範囲にわたって攻撃を受けや
すいということになります。
また検出回避は、ネットワーク・スタックの下位レイヤで行われるタイプ(IP パケットのフラグメント化やストリーム
の分割)の方が、上位レイヤで行われるタイプ(HTTP の難読化や FTP の難読化)よりも、デバイスのセキュリ
ティ性能に大きな影響を与えます。つまり、下位レイヤでの検出回避に対応できない場合、より多くのエクスプロ
イトを見逃すことになるのです。例えば、TCP のセグメント化を検出できないことは、FTP の難読化を検出でき
ないことよりもはるかに大きな問題となります。
Check Point 13800 NGFW アプライアンスに対する検出回避テストの結果を Figure 8 に示します。
結果
テスト手順
IP パケットのフラグメント化
ストリームの分割
RPC のフラグメント化
URL の難読化
HTML の難読化
ペイロードのエンコーディング
FTP による回避
IP パケットのフラグメント化 + TCP の分割
合格
合格
合格
合格
合格
合格
合格
合格
Figure 8 – 検出回避手法への対処
9
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
パフォーマンス
通常、セキュリティ性能とパフォーマンスはトレードオフの関係にあります
通常、セキュリティ性能とパフォーマンスはトレードオフの関係にあります。そのため、製品のパフォーマンスを
そのため、製品のパフォーマンスを
評価する際にはセキュリティ性能を考慮に入れることが重要となります
評価する際にはセキュリティ性能を考慮に入れることが重要となります。これにより
これにより、保護機能の追加によって
、保護機能の追加によって
パフォーマンスが低下したり、パフォーマンスを維持・強化するための設定によってセキュリティ性能が低下した
りすることを回避できます。
UDP スループット)
実環境を想定しないパケット処理パフォーマンス
実環境を想定しないパケット処理パフォーマンス(UDP
スループット
このテストでは、テスト機器によって生成される各種サイズの UDP パケットを使用して、テスト対象デバイス
(DUT)のパフォーマンスを測定しています
のパフォーマンスを測定しています
のパフォーマンスを測定しています。送信元
送信元/送信先 IP アドレスは可変、送信元
アドレスは可変、送信元/送信先ポートは固定と
送信先ポートは固定と
いう条件で、各サイズのパケットのストリームを DUT の各ポート・ペアから双方向で送信しました。
各パケットにはダミー・データが含まれており、送信先は、ターゲットのサブネットに属する有効な IP アドレスの
有効なポートとなっています
有効なポートとなっています。個々のテストを開始する前に、各インライン・ポート・ペアの負荷の割合と毎秒当た
個々のテストを開始する前に、各インライン・ポート・ペアの負荷の割合と毎秒当た
りのフレーム数
りのフレーム数(fps)をネットワーク監視ツールで確認しています
をネットワーク監視ツールで確認しています
をネットワーク監視ツールで確認しています。必要な場合には、テストを複数回実施し、そ
必要な場合には、テストを複数回実施し、そ
の平均をテスト結果としています。
ここで生成しているトラフィックは、実際のネットワーク環境の再現を目的としたものではありません
ここで生成しているトラフィックは、実際のネットワーク環境の再現を目的としたものではありません。テストでは
テストでは
TCP セッションを確立していないため、ステート・エンジン側でもセッションを確立する必要性はほとんど発生し
ていません このテストの目的は、DUT
ていません。このテストの目的は、
DUT の各インライン・ポート・ペアにおける、実環境を想定しないパケット処
理パフォーマンスと、DUT のおおよそのパケット転送能力を評価して、
理パフォーマンスと、DUT
のおおよそのパケット転送能力を評価して、遅延
遅延が最小である場合のネットワーク・
が最小である場合のネットワーク・
25,000
79
20,000
52
Mbps
15,000
38
43
43
1,891
3,594
44
10,000
5,000
894
0
64 バイト
パケット
128 バイト
パケット
256 バイト
パケット
6,901
13,830
20,000
512 バイト 1024 バイト 1514 バイト
パケット
パケット
パケット
Mbps
894
1,891
3,594
6,901
13,830
20,000
遅延
38
43
43
44
79
52
Figure 9 – 実環境を想定しないパケット処理パフォーマンス(
実環境を想定しないパケット処理パフォーマンス(UDP トラフィック)
10
90
80
70
60
50
40
30
20
10
-
遅延(μs)
パフォーマンスの概要を把握することにあります。
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
実環境を想定しないパケット処理パフォーマンス(UDP の遅延)
遅延の大きい NGFW では、ユーザ側から見た応答時間が許容できないほど長くなります。これは特に、データ・
パス上に複数のセキュリティ・デバイスを導入している場合に顕著となります。最大負荷 90%の UDP スループッ
ト・テストで確認された、UDP における遅延(単位: マイクロ秒)を Figure 10 に示します。
遅延- UDP
マイクロ秒
64 バイトのパケット
38
128 バイトのパケット
256 バイトのパケット
512 バイトのパケット
1024 バイトのパケット
1514 バイトのパケット
43
43
44
79
52
Figure 10 – UDP における遅延(単位: マイクロ秒)
最大キャパシティ
テストでは、トラフィック生成アプライアンスを使用して、NSS 技術者は実環境におけるバックグラウンド負荷を想
定したマルチギガビットのトラフィックを発生させています。このカテゴリのテストでは、デバイスの検査エンジンに
負荷をかけて、エンジンが対応できる毎秒当たりの TCP 接続数、毎秒当たりのアプリケーション層トランザクショ
ン数、および同時オープン接続数を測定します。すべてのパケットは有効なペイロードとアドレス・データで構成さ
れており、接続数やトランザクション数の異なる実際のネットワークが忠実に再現されています。
すべてのテストにおいて、次の「限界点」に達した時点で測定が終了します。
●
●
●
同時 TCP 接続数の超過 - NGFW の遅延が原因でオープン接続数が許容範囲を超えている状態
同時 HTTP 接続数の超過 - NGFW の遅延が原因で極端な遅延が発生し、応答時間が長くなっている状態
HTTP トランザクションの失敗 - 通常は失敗しないトランザクションが失敗している状態 (NGFW の遅
延が大きすぎて接続のタイムアウトが発生している)
11
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
Figure 11 – 同時接続数と毎秒当たりの接続数
12
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
HTTP キャパシティ
キャパシティ(トランザクション遅延なし
トランザクション遅延なし
トランザクション遅延なし)
このカテゴリのテストでは、
このカテゴリのテストでは、HTTP 検出エンジンに負荷をかけて、平均パケット・サイズや毎秒当たりの接続数が
変化するネットワーク負荷に対する DUT の処理性能を測定します
の処理性能を測定します。異なるセッションの長さ
セッションの長さ 、現実に即したセッ
セッションの長さで、現実に即したセッ
ション・ベースのトラフィックを作り出すことにより、
ション・ベースのトラフィックを作り出すことにより、DUT が有効な TCP セッションを追跡せざるを得ない状況を再
現し、シンプルなパケット・ベースのバックグラウンド・トラフィックよりも大きい作業負荷を発生させています
現し、シンプルなパケット・ベースのバックグラウンド・トラフィックよりも大きい作業負荷を発生させています。これ
により、完全な正確性と再現性を維持しつつ、可能な限り実環境に近いテスト環境を実現しています。
各トランザクションは 1 つの HTTP GET リクエストで構成され、トランザクションの遅延は発生しません
リクエストで構成され、トランザクションの遅延は発生しません(Web サ
ーバがすべてのリクエストに即座に応答します
ーバがすべてのリクエストに即座に応答します)。
。すべてのパケットは有効なペイロード
すべてのパケットは有効なペイロード バイナリ・オブジェクトと
すべてのパケットは有効なペイロード(バイナリ・オブジェクトと
ASCII オブジェクトの混成
オブジェクトの混成)とアドレス・データで構成されます
とアドレス・データで構成されます
とアドレス・データで構成されます。このテストでは、
このテストでは、
このテストでは、HTTP トラフィックに特化している
という点を除き、ネットワーク負荷の異なる実際のネットワークが忠実に再現されています。
Figure 12 – HTTP キャパシティ(トランザクション遅延なし)
アプリケーションの平均応答時間 - HTTP
アプリケーションの平均応答時間 - HTTP(最大負荷は
(最大負荷は 90%))
毎秒当たりの接続数 2,500 – 44 KB のレスポンス
毎秒当たり
当たりの接続数
の接続数 5,000 – 21 KB のレスポンス
毎秒当たり
当たりの接続数
の接続数 10,000 – 10 KB のレスポンス
毎秒当たり
当たりの接続数
の接続数 20,000 – 4.5 KB のレスポンス
毎秒当たりの接続数 40,000 – 1.7 KB のレスポンス
Figure 13 – アプリケーションの平均応答時間(単位: ミリ秒)
13
ミリ秒
0.50
0.97
1.02
0.70
0.78
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
HTTP キャパシティ(トランザクション遅延あり)
例えばユーザが Web ページを読み込んでから、次にどのリンクをクリックするか決める場合のように、一般的な
ユーザの動作ではリクエストとレスポンスの間に遅延が生じます
ユーザの動作ではリクエストとレスポンスの間に遅延が生じます。このカテゴリのテストは基本的には前
このカテゴリのテストは基本的には前
このカテゴリのテストは基本的には前のカテゴ
リのテストと同じですが、各トランザクションでサーバのレスポンスに 5 秒の遅延が生じます
秒の遅延が生じます。このため、テスト中
このため、テスト中
は多数の接続がオープンされたままとなり、
は多数の接続がオープンされたままとなり、DUT
DUT はこれらの接続を追跡するために多くのリソースを消費するこ
とになります。
Figure 14 – HTTP キャパシティ(トランザクション遅延あり)
実環境のトラフィック構成
このテストでは、実環境
このテストでは、実環境を想定したデバイスのパフォーマンスを測定します。そのために、正確に再現可能で一貫
デバイスのパフォーマンスを測定します。そのために、正確に再現可能で一貫
性のあるバックグラウンド・トラフィック負荷を維持したまま、各種のプロトコルや実際のコンテンツをトラフィックに
追加しています また、実際の使用環境をできるだけ正確に再現するため、
追加しています。また、実際の使用環境をできるだけ正確に再現するため、
また、実際の使用環境をできるだけ正確に再現するため、DUT の配置場所(ネットワークのコ
アまたは境界)に応じて、適切な組み合わせのプロトコルを選択しています
アまたは境界)に応じて、適切な組み合わせのプロトコルを選択しています。
。実環境を想定したトラフィックに含ま
実環境を想定したトラフィックに含ま
れるプロトコルの種類や構成比については、
れるプロトコルの種類や構成比については、www.nsslabs.com
www.nsslabs.com で公開されている「NSS
で公開されている「NSS Labs Next Generation
Firewall Test Methodology
Methodology」を参照してください。
」を参照してください。
14
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
Figure 15 – 実環境のトラフィック構成
実環境を想定したトラフィック構成に対する Check Point 13800 NGFW アプライアンスのスループットは、いず
れもベンダーの公称値
れもベンダーの公称値よりは下回っていました。
下回っていました。
15
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
安定性と信頼性
デバイスの障害がネットワーク全体の障害につながりかねないインライン・デバイスでは、長期的な安定性が特に
重要な要件となります。このカテゴリのテストでは、DUT の安定性と、通常の負荷状況下および不正なトラフィック
の通過時にセキュリティ性能を維持する DUT の能力を検証しています。攻撃発生時に正規のトラフィックを維持で
きなくなる、またはクラッシュする DUT は、不合格と見なされます。
このテストに合格するためには、テスト中に安定して動作しながら、以前に阻止したトラフィックを 100%阻止し、
そのすべてについてアラートを発する必要があります。膨大なトラフィック、または何らかの理由によるフェイル・
オープンが原因で、阻止すべきトラフィックの通過を許可してしまった場合、その DUT は不合格となります。
安定性と信頼性
膨大な攻撃トラフィック発生時の阻止
膨大な攻撃トラフィック発生時の正規トラフィックの通過
負荷をかけた状態でのステート・エンジンの動作
• 攻撃の検出/阻止 - 通常の負荷
• ステート保持 - 通常の負荷
• 正規トラフィックの通過 - 通常の負荷
• ステート保持 - 上限を超過した負荷
• トラフィックのドロップ - 上限を超過した負荷
プロトコルのファジングおよびミューテーション
電源の障害
データの永続性
結果
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
Figure 16 – 安定性と信頼性
このカテゴリのテストでは、負荷をかけた状態でのステート・エンジンの動作も検証しています。すべての NGFW
デバイスでは、リソース不足に陥った場合に、正規のトラフィックを遮断するか不正なトラフィックを許可するかの
二者択一を迫られます。NGFW デバイスは、リソース(ステート・テーブルのメモリなど)が不足した場合、または
トラフィック負荷が上限を超えた場合に、新規接続をドロップします。このため理論上は、正規のトラフィックが遮
断されることになりますが、既存の接続のステートは維持され、攻撃の検出漏れは発生しません。
16
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
管理と設定
セキュリティ・デバイスの導入は簡単な作業ではありません。集中管理コンソールやログ集約システム、イベント相
関分析/管理システムなどの導入も必要となるため、製品の選定 1 つをとっても一筋縄ではいきません。
しかし、重要となる比較ポイントをあらかじめ理解できていれば、ネットワークのサービス・レベルに及ぶ影響を
モデル化し、システムの運用管理に必要となるリソース要件を見積もり、確保すべきスキルや人材を正確に判
断できます。
セキュリティ・デバイスの選定時には、管理と設定に関して、少なくとも次の点を考慮する必要があります。
●
一般的な管理と設定 - デバイスの導入と設定は容易に行えるか。大規模ネットワークに複数のデバイスを容
易に導入できるか。
●
●
ポリシー管理 - 複雑なセキュリティ・ポリシーの作成と編集、ネットワーク全体への展開は容易に行えるか。
アラート管理 - アラートの内容やタイミングは適切か。アラートをドリルダウンして、問題の解決に必要な
情報を素早く入手できるか。
●
レポーティング - 効果的なレポート機能が用意されているか。カスタマイズは容易に行えるか。
17
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
総所有コスト(TCO)
環境にもよりますが、セキュリティ・ソリューションの実装は一大プロジェクトであり、導入や保守、維持の総コスト
にはさまざまな要素が影響します。ソリューションのライフサイクルを通じて発生する、次のようなコストに配慮する
必要があります。
●
●
製品の購入 - 製品の調達に要するコストです。
製品の保守 - ソフトウェアやハードウェアのサポート、保守、各種更新のためにベンダーに支払う料金です。
●
インストールの所要時間 – デバイスの梱包を解くところから、設定、ネットワークへの接続、更新やパッチの
適用、必要なログやレポートの設定までに要する時間です。
●
維持作業の所要時間 – ベンダーから定期的に提供される更新やパッチの適用に要する時間です。
ハードウェア用やソフトウェア用、その他の更新が含まれます。
●
管理 - デバイス設定やポリシーの更新と展開、アラート対応など、日常的な運用管理作業に要する
コストです。
本レポートでは、その目的に照らして、設備投資額(調達とインストールに要するコスト)はデバイス 1 台分として
計算します。
インストールの所要時間
次の表に示したのは、ローカルのデバイス管理機能のみを使用してデバイス 1 台をインストールするのに要した
時間です。この時間は、NSS の技術者がベンダーの技術者の力を借りて、DUT のインストールおよび設定を完
了するまでに要した時間を示しています。インストールおよび設定が完了した状態とは、テスト環境で正常に動作
し、正規のトラフィックを通過させ、禁止されたトラフィックや不正なトラフィックを検出および阻止できる状態、つま
り、組織においてデバイス 1 台の導入時に行う一般的な作業がすべて完了した状態を指します。
インストール・コストは、熟練のセキュリティ技術者が上記作業の実施に要する時間を元に計算されています。こ
のような方法を採用しているのは、人件費を固定にし、所要時間の違いだけを測定すれば済むようにするためで
す。組織固有の TCO を算出する際には、該当する人件費に置き換えてください。
インストールの所要時間
製品
Check Point 13800 NGFW アプライアンス
8
R77.20
Figure 17 – インストールの所要時間
18
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
定価に基づく TCO
ここに示すのは、ベンダーの定価に基づく TCO です。可能な場合には、多くの組織が契約する 24 時間体制の
保守およびサポート・オプションと 24 時間の製品交換サービスを計算に含めています。管理および保守のコスト
は、デバイスが 1 台の場合です。複数のデバイスを管理する場合は、集中管理ソリューション(CMS)が別途必
要になることがあります。
製品
Check Point 13800
NGFW アプライアンス
R77.20
購入費用
$99,000
保守費用/年
$25,080
1 年目の
コスト
$116,430
2 年目の
コスト
$25,080
3 年目の
コスト
$25,080
3 年間の TCO
$166,590
Figure 18 – 定価に基づく 3 年間の TCO
●
1 年目のコスト: インストール・コスト(諸手当込みの時給 75 ドル x インストールの所要時間) + 購入費用
+ 1 年目の保守/サポート料金
Check Point 13800 NGFW アプライアンスの場合、初年度の更新費用は購入費用に含まれているため、単独の
費用として 1 年目のコストには計上されていません。
●
●
2 年目のコスト: 保守/サポート料金のみ
3 年目のコスト: 保守/サポート料金のみ
実勢価格に基づく TCO
ここに示すのは、実勢価格に基づく TCO です。可能な場合には、多くの組織が契約する 24 時間体制の
保守およびサポート・オプションと 24 時間の製品交換サービスを計算に含めています。管理および保守の
コストは、デバイスが 1 台の場合です。複数のデバイスを管理する場合は、CMS が別途必要になることが
あります。
製品
Check Point 13800
NGFW アプライアンス
R77.20
購入費用
$54,450
保守費用/年
$13,794
1 年目の
コスト
$64,307
2 年目の
コスト
$13,794
3 年目の
コスト
$13,794
3 年間の TCO
$91,895
Figure 19 – 実勢価格に基づく 3 年間の TCO
●
1 年目のコスト: インストール・コスト(諸手当込みの時給 75 ドル x インストールの所要時間) + 購入費用
+ 1 年目の保守/サポート料金
Check Point 13800 NGFW アプライアンスの場合、初年度の更新費用は購入費用に含まれているため、単独の
費用として 1 年目のコストには計上されていません。
●
2 年目のコスト: 保守/サポート料金のみ
●
3 年目のコスト: 保守/サポート料金のみ
CMS を使用する場合のコストを含めた、詳細な TCO 分析については、TCO 比較レポートを参照してください。
19
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
スコアの詳細
個々のテスト結果を次の表に示します。項目によっては、結果を数値で示しています。
説明
セキュリティ性能
結果
ファイアウォール・ポリシーの実施
ベースライン・ポリシー
シンプルなポリシー
複雑なポリシー
Static NAT
Dynamic/Hide NAT
SYN フラッド対策
アドレスのスプーフィング対策
TCP スプリット・ハンドシェイク
アプリケーション制御
合格
合格
合格
合格
合格
合格
合格
合格
好ましくないアプリケーションの阻止
特定アクションの阻止
侵入防御
合格
合格
エクスプロイト・ライブラリ
NSS エクスプロイト・ライブラリの阻止率
誤検出テスト
攻撃経路別の阻止率
99.8%
合格
攻撃者が実行
ターゲットが実行
合計
検出回避
100%
99.7%
99.8%
検出回避手法への対処
IP パケットのフラグメント化
順序通りの 8 バイト・フラグメント
順序通りの 16 バイト・フラグメント
順序通りの 24 バイト・フラグメント
順序通りの 32 バイト・フラグメント
順序の異なる 8 バイト・フラグメント
順序通りの 8 バイト・フラグメント、重複最終パケット
順序の異なる 8 バイト・フラグメント、重複最終パケット
順序通りの 8 バイト・フラグメント、フラグメントの逆順の並べ替え
順序通りの 16 バイト・フラグメント、フラグメントのオーバーラップ(後優先)
順序通りの 16 バイト・フラグメント、フラグメントのオーバーラップ(先優先)
順序の異なる 8 バイト・フラグメント、インターリーブ重複パケット(スケジュールで後から配信)
順序通りの 8 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む
順序通りの 16 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケット
はランダムなペイロードを含む
順序通りの 24 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケット
はランダムなペイロードを含む
順序通りの 32 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケット
はランダムなペイロードを含む
TCP ストリームの分割
順序通りの 1 バイト・セグメント、インターリーブ重複セグメント(TCP チェックサム不正)
順序通りの 1 バイト・セグメント、インターリーブ重複セグメント(TCP 制御フラグ NULL)
順序通りの 1 バイト・セグメント、インターリーブ重複セグメント(途中でシーケンス番号を再同期化するリ
クエスト)
順序通りの 1 バイト・セグメント、重複最終パケット
順序通りの 2 バイト・セグメント、セグメントのオーバーラップ(後優先)
順序通りの 1 バイト・セグメント、インターリーブ重複セグメント(ウィンドウ外のシーケンス番号)
20
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
順序の異なる 1 バイト・セグメント
順序の異なる 1 バイト・セグメント、インターリーブ重複セグメント(偽の再送信)
順序通りの 1 バイト・セグメント、セグメントのオーバーラップ(後優先)
順序の異なる 1 バイト・セグメント、PAWS 削除(インターリーブ重複セグメント、TCP タイムスタンプ・オプ
ションが古い)
順序通りの 16 バイト・セグメント、セグメントのオーバーラップ(後優先、Unix)
順序通りの 32 バイト・セグメント
順序通りの 64 バイト・セグメント
順序通りの 128 バイト・セグメント
順序通りの 256 バイト・セグメント
順序通りの 512 バイト・セグメント
順序通りの 1024 バイト・セグメント
順序通りの 2048 バイト・セグメント(エクスプロイトを含む MSRPC リクエストを送信)
逆順の 256 バイト・セグメント、セグメントのオーバーラップ(後優先)、ランダムなデータを使用
逆順の 512 バイト・セグメント、セグメントのオーバーラップ(後優先)、ランダムなデータを使用
逆順の 1024 バイト・セグメント、セグメントのオーバーラップ(後優先)、ランダムなデータを使用
逆順の 2048 バイト・セグメント、セグメントのオーバーラップ(後優先)、ランダムなデータを使用
順序の異なる 1024 バイト・セグメント、セグメントのオーバーラップ(後優先)、ランダムなデータを使用、最初
の TCP シーケンス番号を 0xffffffff(4294967295)に設定
順序の異なる 2048 バイト・セグメント、セグメントのオーバーラップ(後優先)、ランダムなデータを使用、最初
の TCP シーケンス番号を 0xffffffff(4294967295)に設定
RPC のフラグメント化
1 バイトのフラグメント化(ONC)
2 バイトのフラグメント化(ONC)
最後のフラグメント(LF)を含むすべてのフラグメントを 1 つの TCP セグメントで送信(ONC)
最後のフラグメント(LF)を除くすべてのフラグメントを 1 つの TCP セグメントで送信(ONC)。LF は別の TCP
セグメントで送信(ONC)
1 つの TCP セグメントにつき 1 つの RPC フラグメントを送信(ONC)
1 つの LF を複数の TCP セグメントに分割。この場合は RPC のフラグメント化を行わない(ONC)
Canvas リファレンス実装レベル 1(MS)
Canvas リファレンス実装レベル 2(MS)
Canvas リファレンス実装レベル 3(MS)
Canvas リファレンス実装レベル 4(MS)
Canvas リファレンス実装レベル 5(MS)
Canvas リファレンス実装レベル 6(MS)
Canvas リファレンス実装レベル 7(MS)
Canvas リファレンス実装レベル 8(MS)
Canvas リファレンス実装レベル 9(MS)
Canvas リファレンス実装レベル 10(MS)
URL の難読化
URL のエンコーディング - レベル 1(最低)
URL のエンコーディング - レベル 2
URL のエンコーディング - レベル 3
URL のエンコーディング - レベル 4
URL のエンコーディング - レベル 5
URL のエンコーディング - レベル 6
URL のエンコーディング - レベル 7
URL のエンコーディング - レベル 8(最高)
ディレクトリの挿入
途切れた URL
長い URL
偽のパラメータ
タブ分割
大文字/小文字の区別
Windows の区切り文字「\」
セッション・スプライシング
HTML の難読化
UTF-16 文字セットのエンコーディング(ビッグ・エンディアン)
21
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
UTF-16 文字セットのエンコーディング(リトル・エンディアン)
UTF-32 文字セットのエンコーディング(ビッグ・エンディアン)
UTF-32 文字セットのエンコーディング(リトル・エンディアン)
UTF-7 文字セットのエンコーディング
チャンク・エンコーディング(ランダム・チャンク・サイズ)
チャンク・エンコーディング(固定チャンク・サイズ)
チャンク・エンコーディング(チャフィング)
圧縮(Deflate)
圧縮(Gzip)
Base-64 エンコーディング
Base-64 エンコーディング(1 ビット・シフト)
Base-64 エンコーディング(2 ビット・シフト)
Base-64 エンコーディング(チャフィング)
UTF-7 と Gzip の組み合わせ
ペイロードのエンコーディング
x86/call4_dword_xor
x86/fnstenv_mov
x86/jmp_call_additive
x86/shikata_ga_nai
FTP による回避
FTP コマンドラインにスペース挿入
非テキストの Telnet オペコード挿入 - レベル 1(最低)
非テキストの Telnet オペコード挿入 - レベル 2
非テキストの Telnet オペコード挿入 - レベル 3
非テキストの Telnet オペコード挿入 - レベル 4
非テキストの Telnet オペコード挿入 - レベル 5
非テキストの Telnet オペコード挿入 - レベル 6
非テキストの Telnet オペコード挿入 - レベル 7
非テキストの Telnet オペコード挿入 - レベル 8(最高)
多段階の検出回避
IP のフラグメント化 + TCP の分割
順序通りの 8 バイト・フラグメント + 順序通りの TCP セグメント(ただし、最後のセグメントは先頭)
順序通りの 24 バイト・フラグメント + 順序通りの TCP セグメント(ただし、最後のセグメントは先頭)
順序通りの 32 バイト・フラグメント + 順序通りの TCP セグメント(ただし、最後のセグメントは先頭)
順序通りの 8 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 逆順の TCP セグメント、セグメントのオーバーラップ(後優先)、オーバーラ
ップしたデータは 0 バイトに設定
順序通りの 16 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータは 0 バイトに設定
順序通りの 24 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータは 0 バイトに設定
順序通りの 32 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータは 0 バイトに設定
順序通りの 8 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットはラ
ンダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバー
ラップしたデータはランダムな英数字に設定
順序通りの 16 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータはランダムな英数字に設定
順序通りの 32 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータはランダムな英数字に設定
順序通りの 8 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットはラ
ンダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバー
ラップしたデータはランダムなバイトに設定
22
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
合格
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
順序通りの 16 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータはランダムなバイトに設定
順序通りの 24 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータはランダムなバイトに設定
順序通りの 32 バイト・フラグメント、options フィールドの DWORD が増分する重複パケット。重複パケットは
ランダムなペイロードを含む + 順序の異なる TCP セグメント、セグメントのオーバーラップ(後優先)、オーバ
ーラップしたデータはランダムなバイトに設定
パフォーマンス
実環境を想定しないパケット処理パフォーマンス(UDP トラフィック)
64 バイトのパケット
128 バイトのパケット
256 バイトのパケット
512 バイトのパケット
1024 バイトのパケット
1514 バイトのパケット
遅延 - UDP
64 バイトのパケット
128 バイトのパケット
256 バイトのパケット
512 バイトのパケット
1024 バイトのパケット
1514 バイトのパケット
最大キャパシティ
理論的な同時 TCP 接続数(最大)
理論的な同時 TCP 接続数(最大、データあり)
毎秒当たりの TCP 接続数(最大)
毎秒当たりの HTTP 接続数(最大)
毎秒当たりの HTTP トランザクション数(最大)
HTTP キャパシティ(トランザクション遅延なし)
合格
合格
合格
Mbps
894
1,891
3,594
6,901
13,830
20,000
マイクロ秒
38
43
43
44
79
52
2,200,000
2,200,000
52,500
94,000
85,000
毎秒当たりの接続数 2,500 - 44 KB のレスポンス
毎秒当たりの接続数 5,000 - 21 KB のレスポンス
毎秒当たりの接続数 10,000 - 10 KB のレスポンス
毎秒当たりの接続数 20,000 - 4.5 KB のレスポンス
毎秒当たりの接続数 40,000 - 1.7 KB のレスポンス
アプリケーションの平均応答時間 - HTTP(最大負荷は 90%)
毎秒当たりの接続数 2.500 - 44 KB のレスポンス
毎秒当たりの接続数 5,000 - 21 KB のレスポンス
毎秒当たりの接続数 10,000 - 10 KB のレスポンス
毎秒当たりの接続数 20,000 - 4.5 KB のレスポンス
毎秒当たりの接続数 40,000 - 1.7 KB のレスポンス
HTTP の CPS とキャパシティ(トランザクション遅延あり)
25,000
47,400
76,800
94,590
102,000
ミリ秒
0.50
0.97
1.02
0.70
0.78
21 KB のレスポンス(遅延あり)
10 KB のレスポンス(遅延あり)
「実環境」のトラフィック
実環境のプロトコル構成(境界)
実環境のプロトコル構成(金融)
実環境のプロトコル構成(データセンター)
実環境のプロトコル構成(米国のモバイル通信事業者)
実環境のプロトコル構成(EU のモバイル通信事業者)
安定性と信頼性
47,400
76,800
Mbps
8,871
3,480
7,041
8,432
4,032
膨大な攻撃トラフィック発生時の阻止
膨大な攻撃トラフィック発生時の正規トラフィックの通過
負荷をかけた状態でのステート・エンジンの動作
合格
合格
攻撃の検出/阻止 - 通常の負荷
ステート保持 - 通常の負荷
合格
合格
23
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
正規トラフィックの通過 - 通常の負荷
ステート保持 - 上限を超過した負荷
トラフィックのドロップ - 上限を超過した負荷
プロトコルのファジングおよびミューテーション
電源の障害
冗長性
データの永続性
総所有コスト(定価)
合格
合格
合格
合格
合格
あり
合格
使い勝手の良さ
初期セットアップ(時間)
維持作業の所要時間(時間/年)
8
TCO 比較レポート
を参照
TCO 比較レポート
を参照
チューニング作業の所要時間(時間/年)
期待コスト
初期購入費用(テスト対象ハードウェア)
インストールの人件費(75 ドル/時間の場合)
保守およびサポートの年間コスト(ハードウェア/ソフトウェア)
更新の年間コスト(IPS/アンチウイルスなど)
初期購入費用(エンタープライズ管理システム)
保守およびサポートの年間コスト(エンタープライズ管理システム)
$99,000
$600
$16,830
$8,250
TCO 比較レポート
を参照
TCO 比較レポート
を参照
総所有コスト(TCO)
1 年目
2 年目
3 年目
3 年間の総所有コスト
総所有コスト(実勢価格)
$116,430
$25,080
$25,080
$166,590
使い勝手の良さ
初期セットアップ(時間)
維持作業の所要時間(時間/年)
8
TCO 比較レポート
を参照
TCO 比較レポート
を参照
チューニング作業の所要時間(時間/年)
期待コスト
初期購入費用(テスト対象ハードウェア)
インストールの人件費(75 ドル/時間の場合)
保守およびサポートの年間コスト(ハードウェア/ソフトウェア)
更新の年間コスト(IPS/アンチウイルスなど)
初期購入費用(エンタープライズ管理システム)
保守およびサポートの年間コスト(エンタープライズ管理システム)
$54,450
$600
$9,257
$4,538
TCO 比較レポート
を参照
TCO 比較レポート
を参照
総所有コスト(TCO)
1 年目
2 年目
3 年目
3 年間の総所有コスト
$64,307
$13,794
$13,794
$91,895
Figure 20 – スコアの詳細
24
NSS Labs
次世代ファイアウォール・テスト・レポート - Check Point 13800 NGFW アプライアンス R77.20
テスト手法
Next Generation Firewall Test Methodology v6.0
テスト手法は、NSS Labs の Web サイト(www.nsslabs.com)で公開されています。
お問い合わせ
NSS Labs, Inc.
206 Wild Basin Road
Building A, Suite 200
Austin, TX 78746 USA
info@nsslabs.com
www.nsslabs.com
本書および関連文書は、www.nsslabs.com で公開されています。使用許諾の申請や不適切な使用のご報告は、
NSS Labs までお願いいたします。
© 2016 NSS Labs, Inc. All rights reserved. 本刊行物は、書面による NSS Labs, Inc.(以下「弊社」)の明示的な同意がな
い限り、その一部またはすべてを、複製、複写/スキャン、検索システムへの格納、電子メールによる送信などの手段によって、
流布または転送することはできません。
この免責事項には、本レポートの利用者を拘束する重要な情報が記載されています。ここに挙げる条件に同意できない場合、
本レポートを利用することはできません。その場合は、速やかに本レポートを弊社までご返却ください。ここでいう「利用者」とは、
本レポートにアクセスする人物、および本レポートを入手した人物が代表する組織を指します。
1. 本レポートの内容は、弊社により告知なしに変更されることがあります。また弊社は、本レポートの内容を更新する義務を負わ
ないものとします。
2. 本レポートの内容は、刊行の時点で弊社により正確で信頼できる情報と判断されていますが、正確性や信頼性を保証する
ものではありません。掲載情報に対する信頼性は利用者自身で判断し、自己責任でご利用ください。内容の誤りや漏れにより
損害、損失および費用が発生した場合でも、その性質を問わず、弊社では一切の責任を負いません。
3. 弊社では、明示または黙示を問わずいかなる保証も行いません。商品性、特定目的への適合性、および非侵害の黙示的
保証を含め、弊社ではいかなる黙示的保証も、ここに否認、排除します。間接的、結果的、偶発的、懲罰的、間接的な損害や、
利益、収益、データ、コンピュータ・プログラムなどの資産の損失に関して、弊社ではいかなる場合も一切の責任を負わないも
のとします。かかる損害や損失の可能性が事前に告知されていた場合も同様です。
4. 本レポートでは、テスト対象とした製品(ハードウェアまたはソフトウェア)や製品テストで利用したハードウェアおよびソフト
ウェアに関して、いかなる承認、推薦、または保証も行っていません。テストの結果は、製品の誤りや欠陥の有無、製品が利用
者の期待、要件、ニーズや利用者の求める仕様に適合していること、あるいは中断なく動作することを保証するものではあり
ません。
5. 本レポートは、本文中に記載のあるどの組織とのいかなる関係、提携、後援、承認も暗示していません。
6. 本レポートで使用しているすべての商標、サービスマーク、および商号は、それぞれ該当する組織の所有物です。
25