NSSlabs測評報告：下一代防火墻未來一定是主角

　　聽慣了Gartner、IDC的各種魔力象限、分析報告，今天我們來說點更專業(yè)的，那就是一項針對安全領(lǐng)域的評測分析報告，此次的主角是下一代防火墻（NGFW）。

　　近日，全球知名的信息安全評測機構(gòu)NSSLabs發(fā)布了最新的下一代防火墻評測報告，一個欣喜的消息是，作為首次參與NGFW這一門類測試的兩家中國廠商，山石網(wǎng)科和華為都獲得了NSSLabs的“推薦（Recommended）”評級。

　　要知道，和他們同臺競技的都是網(wǎng)絡(luò)安全領(lǐng)域全球知名的廠商，例如思科、Juniper、PaloAlto、Checkpoint、DellSonicWALL、Fortinet等，要在這些信息安全大佬中突圍實屬不易，沒想到人家的成績還不錯，并在很多指標上趕超了國外廠商。

　�。▓D一）NSSLabs2016下一代防火墻安全價值圖(SVM)

　　在正在召開的如火如荼的RSA2016大會中，山石網(wǎng)科和華為均接受了NSSLabs的下一代防火墻“推薦級授牌

　　參與此次NSSLabs下一代防火墻評測的共有12家廠商的13款產(chǎn)品（思科提供2款產(chǎn)品），詳細如下。

　　在解讀此次主要評測結(jié)果前，我們先簡單介紹下NSSLabs本身和其評測方法。

　　NSSLabs是全球最知名的獨立安全研究和評測機構(gòu)NSSLabs，總部設(shè)在美國，諸多大型企業(yè)的首席執(zhí)行官、信息主管、首席安全官們都信賴NSSLabs的測評報告，并且它為許多行業(yè)領(lǐng)先的廠商提供了深度見解，同時受到超過280家企業(yè)組織的信賴，包括強生、畢馬威、VISA等。

　　NSSLabs提供多種安全品類的分析評測，除了NGFW，還包括例如Web應(yīng)用防火墻、終端防護、NGIPS/下一代入侵檢測等。NSSLabs測試NGFW的技術(shù)路線，受到了國內(nèi)外防火墻廠商的廣泛認同。

　　此次，下一代防火墻報告的范圍包含了安全有效性、性能、穩(wěn)定性及可靠性，和重要的總體擁有成本（TCO）。

　　先重點來說說前半部分，也即上圖一中的Y軸，即安全效能，這是體現(xiàn)產(chǎn)品的技術(shù)硬指標。

　　據(jù)介紹，NSSLabs的攻擊防護測試包含1999種真實攻擊手段，透過各種各樣的傳輸方式，不同大小的有效載荷及協(xié)議進行相關(guān)測試，涵蓋了大大小小的問題及威脅。其測試的嚴要求和高精度為其深度發(fā)現(xiàn)威脅提供了保障，也使得其能識別極其不易察覺的細微威脅。例如，NSSLabs會不間斷地用不規(guī)則流量來測試產(chǎn)品的穩(wěn)定性與可靠性，以測試產(chǎn)品在任何極端情況下的性能。

　　在下圖中看得出，在綜合威脅檢查率方面，Checkpoint和Fortinet以99.6%的成績并列第一，山石網(wǎng)科99.0%緊跟其后，然后是華為和Dell Sonic WALL以98.1%的綜合威脅檢查率并列第三。山石網(wǎng)科的成績可以用“驚艷”來形容，要知道排名其后的是Juniper、PaloAlto眾多國際知名廠商。忍不住再夸一句，山石網(wǎng)科和華為，你們真是好樣的。

　�。▓D二）NSSLabs下一代防火墻對比測試表

　　當然，看到山石和華為如此高的檢測表現(xiàn)，有業(yè)內(nèi)人士懷疑，“IPS和AV特征庫不是自己的嘛！”其實這個問題可以反過來看，以與時俱進的思路思考。當下的網(wǎng)絡(luò)安全形勢和產(chǎn)業(yè)環(huán)境，各安全生態(tài)鏈上的廠商、甚至一些安全設(shè)備廠商之間都有威脅情報共享，即保持競爭，又尋求合作共贏。在安全特征庫上，一方面拿來，引入專業(yè)特征庫，同時也要整合，結(jié)合安全設(shè)備廠商自己的特征庫研發(fā)能力、同時和安全解析引擎、掃描引擎進行整合。其實NSSLabs檢測率除考驗特征庫能力，還要考驗檢測引擎能力，NSSLabs測試中有大量的防攻擊逃逸測試，這些都必須要靠引擎的才能解決的。

　　況且對于山石來講，據(jù)了解，山石的整個應(yīng)用安全分析及檢測引擎是自己研發(fā)的，攻擊特征庫則采取了第三方合作加自研兩種方式。

　　說了兩家國內(nèi)廠商，再回到報告，說點令人大鐵眼睛的，其中令人不解的是下一代防火墻廠商的鼻祖Palo Alto以95.9%的成績排名倒數(shù)第三，筆者特意看了一下上一次PAN參加NSSLabs下一代防火墻的評測也是倒數(shù)排名，真不理解它是如何保持領(lǐng)先友商增長速度的，還能再任性下去嗎？！

　　當然還有最最最為不解的Cyberoam，58.1%的成績太另類，真想問，你的設(shè)備是被偷偷送來的嗎？

　　思科和Juniper在此項中的評測結(jié)果中規(guī)中矩，梭子魚和WatchGuard不盡如人意。

　　當然，除了硬指標外，對于采購者還有一個重要的因素，那就是TCO（總體擁有成本）。說到這個，我們又看到SVM中X軸最右側(cè)兩個華麗麗的影子，山石和華為。報告中，可以看到TCOper Protected Mbps，也即防護每Mbps流量的總體擁有成本，山石網(wǎng)科最優(yōu)，華為其次。

　　產(chǎn)品技術(shù)不差，賣的這么便宜，國產(chǎn)廠商簡直沒天理了。其實不能簡單的理解價格便宜，SVMX軸的計算公式：TCO/Mbps=TCO/(性能*檢測率），所以準確的說是性價比最優(yōu)，不是最優(yōu)TCO。

　　該TCO包含的CAPEX成本包括初始購置成本、每年的維護和更新成本（軟件和硬件更新），這里涉及一個重要的因素：維護時間。NSS的專家團隊評估產(chǎn)品的易用度并推算出產(chǎn)品需要的維護工作量，NSS認為易用度無法通過確定的標準來衡量，而要和其他競爭對手相比較而得出結(jié)論，就是和其他同類產(chǎn)品相比較看你的易用度處于一個什么樣的程度。

　　根據(jù)易用度可以推論出產(chǎn)品在其生命周期(一般為3年的時間)內(nèi)的維護成本，一個經(jīng)驗豐富的工程師在1年和3年的時間內(nèi)需要為產(chǎn)品維護花多長時間，根據(jù)平均維護成本折算成產(chǎn)品的年均維護費用。也就是說，易用性越差的產(chǎn)品，用戶需要花在維護上的時間越長，其維護成本也越高。

　　看出了吧，用性價比最優(yōu)解讀最為合適，事實上兩家中國廠商并不是價格最低的。當然，肯定不是最高，最高的無疑在這里，Juniper以的防護每Mbps流量的總體擁有成本居于SVMX軸最左側(cè)，幾乎是第二名Cisco ASA5585-XSSP-60的兩倍，幾乎可以斷定它的價格是最傲嬌的了。

　　總結(jié)來看，此項測評中，山石網(wǎng)科表現(xiàn)最優(yōu)。加上技術(shù)硬指標表現(xiàn)，山石可圈可點令人刮目相看。

　　其實獲得NSSLabs“推薦級”評價的還有一家國內(nèi)安全廠商的下一代防火墻廠商產(chǎn)品，它就是深信服NGAF。不過，深信服是2014年參加的NSSLabs Web應(yīng)用防火墻（WAF）評測，此時筆者也沒搞明白它到底是NGFW還是WAF！

　　言歸正傳，此次NGFW評測，既然山石網(wǎng)科的表現(xiàn)這么優(yōu)異，是否代表山石NGFW就領(lǐng)先了國際水平？我們當然有必要問問他們的想法。山石給的答案是肯定的。

　　說了就這么多，山石真是實在，這么好的機會，你就不能再BaiHuo兩句。說笑了，做實實在在的事最重要。再次祝賀山石網(wǎng)科，當然還有華為。