听惯了Gartner、IDC的各种魔力象限、分析报告,今天我们来说点更专业的,那就是一项针对安全领域的评测分析报告,此次的主角是下一代防火墙(NGFW)。
近日,全球知名的信息安全评测机构NSS Labs发布了最新的下一代防火墙评测报告,一个欣喜的消息是,作为首次参与NGFW这一门类测试的两家中国厂商,山石网科和华为都获得了NSS Labs的“推荐(Recommended)”评级。
要知道,和他们同台竞技的都是网络安全领域全球知名的厂商,例如思科、Juniper、Palo Alto、Checkpoint、Dell SonicWALL、Fortinet等,要在这些信息安全大佬中突围实属不易,没想到人家的成绩还不错,并在很多指标上赶超了国外厂商。
(图一)NSS Labs 2016下一代防火墙安全价值图(SVM)
在正在召开的如火如荼的RSA 2016大会中,山石网科和华为均接受了NSS Labs的下一代防火墙“推荐级授牌。
硬指标硬碰硬
参与此次NSS Labs下一代防火墙评测的共有12家厂商的13款产品(思科提供2款产品),详细如下。
在解读此次主要评测结果前,我们先简单介绍下NSS Labs本身和其评测方法。
NSS Labs是全球最知名的独立安全研究和评测机构NSS Labs,总部设在美国,诸多大型企业的首席执行官、信息主管、首席安全官们都信赖NSS Labs的测评报告,并且它为许多行业领先的厂商提供了深度见解,同时受到超过280家企业组织的信赖,包括强生、毕马威、VISA等。
NSS Labs提供多种安全品类的分析评测,除了NGFW,还包括例如Web应用防火墙、终端防护、NGIPS/下一代入侵检测等。NSS Labs测试NGFW的技术路线,受到了国内外防火墙厂商的广泛认同。
此次,下一代防火墙报告的范围包含了安全有效性、性能、稳定性及可靠性,和重要的总体拥有成本(TCO)。
先重点来说说前半部分,也即上图一中的Y轴,即安全效能,这是体现产品的技术硬指标。
据介绍,NSS Labs的攻击防护测试包含1999种真实攻击手段,透过各种各样的传输方式,不同大小的有效载荷及协议进行相关测试,涵盖了大大小小的问题及威胁。其测试的严要求和高精度为其深度发现威胁提供了保障,也使得其能识别极其不易察觉的细微威胁。例如,NSS Labs会不间断地用不规则流量来测试产品的稳定性与可靠性,以测试产品在任何极端情况下的性能。
在下图中看得出,在综合威胁检查率方面,Checkpoint和Fortinet以99.6%的成绩并列第一,山石网科99.0%紧跟其后,然后是华为和Dell SonicWALL以98.1%的综合威胁检查率并列第三。山石网科的成绩可以用“惊艳”来形容,要知道排名其后的是Juniper、Palo Alto众多国际知名厂商。忍不住再夸一句,山石网科和华为,你们真是好样的。
(图二)NSS Labs下一代防火墙对比测试表
当然,看到山石和华为如此高的检测表现,有业内人士怀疑,“IPS和AV特征库不是自己的嘛!”其实这个问题可以反过来看,以与时俱进的思路思考。当下的网络安全形势和产业环境,各安全生态链上的厂商、甚至一些安全设备厂商之间都有威胁情报共享,即保持竞争,又寻求合作共赢。在安全特征库上,一方面拿来,引入专业特征库,同时也要整合,结合安全设备厂商自己的特征库研发能力、同时和安全解析引擎、扫描引擎进行整合。其实NSS Labs检测率除考验特征库能力,还要考验检测引擎能力,NSS Labs测试中有大量的防攻击逃逸测试,这些都必须要靠引擎的才能解决的。
况且对于山石来讲,据了解,山石的整个应用安全分析及检测引擎是自己研发的,攻击特征库则采取了第三方合作加自研两种方式。
说了两家国内厂商,再回到报告,说点令人大铁眼睛的,其中令人不解的是下一代防火墙厂商的鼻祖Palo Alto以95.9%的成绩排名倒数第三,笔者特意看了一下上一次PAN参加NSS Labs下一代防火墙的评测也是倒数排名,真不理解它是如何保持领先友商增长速度的,还能再任性下去吗?!
当然还有最最最为不解的Cyberoam,58.1%的成绩太另类,真想问,你的设备是被偷偷送来的吗?
思科和Juniper在此项中的评测结果中规中矩,梭子鱼和WatchGuard不尽如人意。
国产厂商仅是便宜?
当然,除了硬指标外,对于采购者还有一个重要的因素,那就是TCO(总体拥有成本)。说到这个,我们又看到SVM中X轴最右侧两个华丽丽的影子,山石和华为。报告中,可以看到TCO per Protected Mbps,也即防护每Mbps流量的总体拥有成本,山石网科最优,华为其次。
产品技术不差,卖的这么便宜,国产厂商简直没天理了。其实不能简单的理解价格便宜,SVM X轴的计算公式:TCO/Mbps= TCO/(性能*检测率),所以准确的说是性价比最优,不是最优TCO。
该TCO包含的CAPEX成本包括初始购置成本、每年的维护和更新成本(软件和硬件更新),这里涉及一个重要的因素:维护时间。NSS的专家团队评估产品的易用度并推算出产品需要的维护工作量,NSS认为易用度无法通过确定的标准来衡量,而要和其他竞争对手相比较而得出结论,就是和其他同类产品相比较看你的易用度处于一个什么样的程度。
根据易用度可以推论出产品在其生命周期(一般为3年的时间)内的维护成本,一个经验丰富的工程师在1年和3年的时间内需要为产品维护花多长时间,根据平均维护成本折算成产品的年均维护费用。也就是说,易用性越差的产品,用户需要花在维护上的时间越长,其维护成本也越高。
看出了吧,用性价比最优解读最为合适,事实上两家中国厂商并不是价格最低的。当然,肯定不是最高,最高的无疑在这里,Juniper以的防护每Mbps流量的总体拥有成本居于SVM X轴最左侧,几乎是第二名Cisco ASA 5585-X SSP-60的两倍,几乎可以断定它的价格是最傲娇的了。
总结来看,此项测评中,山石网科表现最优。加上技术硬指标表现,山石可圈可点令人刮目相看。
小结
其实获得NSS Labs“推荐级”评价的还有一家国内安全厂商的下一代防火墙厂商产品,它就是深信服NGAF。不过,深信服是2014年参加的NSS Labs Web应用防火墙(WAF)评测,此时笔者也没搞明白它到底是NGFW还是WAF!
言归正传,此次NGFW评测,既然山石网科的表现这么优异,是否代表山石NGFW就领先了国际水平?我们当然有必要问问他们的想法。山石给的答案是肯定的。
山石网科再次强调了两个关键测试结果:
“第一是威胁检测率,获得静态测试检测率99.6%、实时动态测试检测率98.32%的成绩,综合威胁检测率达到99%,在参与测评的NGFW中位居第三,超越了包括Juniper、PALO ALTO众多国际知名厂商。
第二是防护每Mbps流量的总体拥有成本,这个指标山石在所有评测设备中排名第一,证明了山石NGFW最佳客户价值。这两个指标决定了在SVM安全价值象限上,山石网科位于最右上角的优势位置。”
说了就这么多,山石真是实在,这么好的机会,你就不能再Bai Huo两句。说笑了,做实实在在的事最重要。再次祝贺山石网科,当然还有华为。