2025 AV-C企业端 下一代防火墙 出站流量C2测试

AMD_Ryzen

下一代防火墙 出站C2测试2025：评估出站网络流量预防和检测能力的有效性
详细报告 - 下一代防火墙 出站 C2 认证 – Bitdefender GravityZone 企业安全

机翻：
每年，AV-Comparatives都会提供一个重点渗透测试，厂商可以申请认证。今年我们重点关注“下一代防火墙出口C2”（命令与控制）。认证报告仅对通过认证（即成功阻止恶意流量）的厂商发布。未获认证的厂商会收到反馈以改进其产品。

定向攻击/APT的一个重要目标是在目标网络中建立对被攻击系统的控制。因此，恶意软件（恶意代码）通常被用于开启与攻击者操作的命令与控制服务器的命令与控制通道（C2）。如果攻击者已经通过可信关系或有效账户获得系统访问权限，或者通过钓鱼或U盘传递恶意软件，他们将使用C2恶意软件打开C2通道。安装的端点安全产品构成第一道防线，但即使是最佳产品也可能被APT组织绕过。这意味着下一代防火墙（NG{过}F{滤}W）的恶意流量防护和检测能力变得愈加重要。因此，我们推出NG{过}F{滤}W出口C2测试，以检验NG{过}F{滤}W产品的效果。

大多数情况下，防火墙对外到内的攻击（即试图从外部渗透网络）提供了良好保护。然而，当定向攻击尝试打开C2通道时，网络流量最初是从内向外流动的。因此，本次测试将重点关注针对知名C2产品和C2勒索软件特征的出站网络流量的防护和检测能力。

测试结束后，每个厂商都会收到一份简短报告，展示各测试阶段的结果。本测试的主要目标是衡量各产品在出站网络流量防护和检测能力上的效果，并在必要时帮助其改进。

不在范围内
作为第一道防线的杀毒软件（AV）、终端保护平台（EPP）和终端检测与响应（EDR）评估不在范围内。重点不是执行阻止；测试只关注C2流量的阻止。Windows端点上不会安装任何AV、EPP或EDR解决方案，至少不会启用任何端点保护相关模块或功能。AV、EPP和EDR产品可以参与，但仅允许其基于网络的防护和检测模块处于激活状态。基于签名和行为的恶意软件防护或检测功能不在范围内，必须保持禁用。

测试结果
为了获得AV-Comparatives的NG{过}F{滤}W出口C2保护认证，测试期间运行的所有恶意流量场景必须被阻止。我们模拟了不同类型的恶意命令与控制（C2）流量，以测试NG{过}F{滤}W/网络保护是否成功阻止相应的C2流量。

只有提交了NG{过}F{滤}W出口C2测试并通过测试的产品才会被公布。Bitdefender GravityZone Business Security Enterprise达到了认证要求，即阻止了本次测试中使用的所有恶意流量。今年没有其他产品获得认证。本测试将于2026年再次提供。

居然只有BD一家通过测试有点意外，本质上是因为这个测试难度比较高的原因（必须拦截所有恶意流量才算通过）
实际上AV-C早在2023年就进行过一次这个测试，不过当时没有一家通过测试 （2023年测试链接），BD也算是进步了

BD企业版虽然最近两年感觉进步还挺多，防篡改，内核API监控，10月份还新加了EDR自动响应（不过这个毫无存在感，从来没见触发过，估计还是半成品），但在AVC 6月份进行的EDR检测验证认证测试中，7家过了5家，没通过的2家保密，BEST估计成绩很差 保密了，没说BD有没有参加，但是多半是参加了的。这次防火墙测试上扳回一城，属实出乎意料

00006666

这怕不是很多一流的防火墙产品都没参测，比如cisco、fortinet、Palo Alto Networks这种，不然怎么会只有bd通过测试

AMD_Ryzen

00006666 发表于 2025-12-8 18:47
这怕不是很多一流的防火墙产品都没参测，比如cisco、fortinet、Palo Alto Networks这种，不然怎么会只有bd ...

我也感觉有点不可思议，bd防火墙以前也没听说过有啥过人之处。可惜avc不公布未通过认证的厂商，无从得知了

superLYT

很好奇ESET的EDR表现怎么样

AMD_Ryzen

superLYT 发表于 2025-12-8 19:33
很好奇ESET的EDR表现怎么样

可以参考神龟大大每年发的MITRE EDR测试解析https://bbs.kafan.cn/thread-2277011-1-1.html
帖子里还有往年的传送门

superLYT

AMD_Ryzen 发表于 2025-12-8 19:41
可以参考神龟大大每年发的MITRE EDR测试解析https://bbs.kafan.cn/thread-2277011-1-1.html
帖子里还有 ...

好呢

vsantidefender

bd能独占鳌头，或许真有过人之处
暂且相信AV-C的客观及公正性

Rukia

00006666 发表于 2025-12-8 18:47
这怕不是很多一流的防火墙产品都没参测，比如cisco、fortinet、Palo Alto Networks这种，不然怎么会只有bd ...

bd花钱了，赚推广(开玩笑

幻光之蝶

很好，想装BD了。。。。。。。反正sep个人快不能用了。