终于，对PA下一代防火墙祛魅了

“不是，还真能检出Palo Alto漏掉的攻击啊？还有一个0day？”

某大型企业，这个串在PA后不到一个月的网关，连续检出了不少PA漏掉的攻击。

在大家刻板印象里，纯安全能力比拼，其他国内网关设备没有啥能打的，检测到PA漏掉的攻击，压根不可能。

但这一次，很多不如PA的刻板印象，被打破了。

PA最让人放心的，还是入侵检测精准度非常高。公司用了这么多年，也没几次误拦截。然而之前测的十来款防护类设备，误报低于20%的都没几个。

为了验证真实误报率，安全团队重新将设备串在PA前方又测试了两个月，避免大量攻击被PA前置拦截。

结果，2个月累计检出各类型攻击近100万次，经过人工验证，没有发现误报，精准度和PA旗鼓相当。

整体来看，PA漏报的攻击不算太多，主要集中在少数0day攻击上，不像其他网关设备漏成筛子，稍微上点强度的攻击就检测不到。

当串在PA后方时，不仅检出了一些国内外通用攻击手法，还有包括一次0day在内的多起国产软件漏洞攻击。这证明在国产漏洞攻击的防护上，该设备优于PA。

而串在PA前方进行测试时，PA的告警量猛降了95%左右，绝大多数攻击都到不了PA这里。综合来看，检出水平也和PA打成平手。

PA的许多型号，最大支持添加15万条黑名单，这个容量远比大多国内网关高出数倍甚至更多，而且不会因为添加黑名单过多影响设备性能。

适逢攻防演练，安全团队特地添加了近20万条黑IP/域名进行压力测试，设备性能和网络延迟也没有任何波动。

而且，20万条并不是封禁上限，更激烈的攻防场景也足够应对。

论情报能力，PA绝对是最能打的之一。虽然订阅价格不菲，但帮助公司阻断了无数次失陷反连和钓鱼网站访问。

只有少数银狐事件，需要联动威胁情报平台进行封禁。

这次测试，不仅拦截了80+起PA漏掉的银狐反连，还在攻防演练期间，同步更新了数百个红队IP，完美弥补PA在国内特有情报覆盖上的缺失。

而且，由于新设备国内情报覆盖非常全，准确度也高，这部分反连就不再需要联动封禁，可以实时生效，让恶意请求不出网。

↓↓↓

经过串在PA后和PA前两个阶段的测试，安全团队在汇报材料中，给出了一个关键结论：在安全防护上，这款设备和PA旗鼓相当，其中封禁性能、国内特有攻击的覆盖等，实战效果优于PA。

对了，这款设备，就是微步威胁防御系统OneSIG。作为一款检测、拦截一体化安全网关，这次测试的OneSIG，搭载了海光CPU、银河麒麟操作系统等全栈国产化软硬件。

之所以能和PA旗鼓相当，是因为OneSIG具备四大核心能力。

低误报：整体误报率＜0.003%，可和PA一样放心开启自动拦截。

内网降噪：可在网络边界过滤90%以上攻击，包括350+0day漏洞，0day检出率＞81%，尤其针对国产系统入侵手法、漏洞情报覆盖比PA全面。

高性能封禁：最大支持千万级IP/域名封禁容量，大幅领先PA及同类设备。

百万级情报：内置实时更新的百万级高精准IOC情报，尤其是银狐等国内流行的钓鱼、远控域名，针对失陷反连可完全不依赖联动封禁，最大限度确保恶意请求不出网。

有这四点，即便不用PA，OneSIG也照样能打。