聽慣了Gartner、IDC的各種魔力象限、分析報告,今天我們來說點更專業的,那就是一項針對安全領域的評測分析報告,此次的主角是下一代防火墻(NGFW)。
近日,全球知名的信息安全評測機構NSS Labs發布了最新的下一代防火墻評測報告,一個欣喜的消息是,作為首次參與NGFW這一門類測試的兩家中國廠商,山石網科和華為都獲得了NSS Labs的“推薦(Recommended)”評級。
要知道,和他們同臺競技的都是網絡安全領域全球知名的廠商,例如思科、Juniper、Palo Alto、Checkpoint、Dell SonicWALL、Fortinet等,要在這些信息安全大佬中突圍實屬不易,沒想到人家的成績還不錯,并在很多指標上趕超了國外廠商。
(圖一)NSS Labs 2016下一代防火墻安全價值圖(SVM)
在正在召開的如火如荼的RSA 2016大會中,山石網科和華為均接受了NSS Labs的下一代防火墻“推薦級授牌
硬指標硬碰硬
參與此次NSS Labs下一代防火墻評測的共有12家廠商的13款產品(思科提供2款產品),詳細如下。
在解讀此次主要評測結果前,我們先簡單介紹下NSS Labs本身和其評測方法。
NSS Labs是全球最知名的獨立安全研究和評測機構NSS Labs,總部設在美國,諸多大型企業的首席執行官、信息主管、首席安全官們都信賴NSS Labs的測評報告,并且它為許多行業領先的廠商提供了深度見解,同時受到超過280家企業組織的信賴,包括強生、畢馬威、VISA等。
NSS Labs提供多種安全品類的分析評測,除了NGFW,還包括例如Web應用防火墻、終端防護、NGIPS/下一代入侵檢測等。NSS Labs測試NGFW的技術路線,受到了國內外防火墻廠商的廣泛認同。
此次,下一代防火墻報告的范圍包含了安全有效性、性能、穩定性及可靠性,和重要的總體擁有成本(TCO)。
先重點來說說前半部分,也即上圖一中的Y軸,即安全效能,這是體現產品的技術硬指標。
據介紹,NSS Labs的攻擊防護測試包含1999種真實攻擊手段,透過各種各樣的傳輸方式,不同大小的有效載荷及協議進行相關測試,涵蓋了大大小小的問題及威脅。其測試的嚴要求和高精度為其深度發現威脅提供了保障,也使得其能識別極其不易察覺的細微威脅。例如,NSS Labs會不間斷地用不規則流量來測試產品的穩定性與可靠性,以測試產品在任何極端情況下的性能。
在下圖中看得出,在綜合威脅檢查率方面,Checkpoint和Fortinet以99.6%的成績并列第一,山石網科99.0%緊跟其后,然后是華為和Dell SonicWALL以98.1%的綜合威脅檢查率并列第三。山石網科的成績可以用“驚艷”來形容,要知道排名其后的是Juniper、Palo Alto眾多國際知名廠商。忍不住再夸一句,山石網科和華為,你們真是好樣的。
(圖二)NSS Labs下一代防火墻對比測試表
當然,看到山石和華為如此高的檢測表現,有業內人士懷疑,“IPS和AV特征庫不是自己的嘛!”其實這個問題可以反過來看,以與時俱進的思路思考。當下的網絡安全形勢和產業環境,各安全生態鏈上的廠商、甚至一些安全設備廠商之間都有威脅情報共享,即保持競爭,又尋求合作共贏。在安全特征庫上,一方面拿來,引入專業特征庫,同時也要整合,結合安全設備廠商自己的特征庫研發能力、同時和安全解析引擎、掃描引擎進行整合。其實NSS Labs檢測率除考驗特征庫能力,還要考驗檢測引擎能力,NSS Labs測試中有大量的防攻擊逃逸測試,這些都必須要靠引擎的才能解決的。
況且對于山石來講,據了解,山石的整個應用安全分析及檢測引擎是自己研發的,攻擊特征庫則采取了第三方合作加自研兩種方式。
說了兩家國內廠商,再回到報告,說點令人大鐵眼睛的,其中令人不解的是下一代防火墻廠商的鼻祖Palo Alto以95.9%的成績排名倒數第三,筆者特意看了一下上一次PAN參加NSS Labs下一代防火墻的評測也是倒數排名,真不理解它是如何保持領先友商增長速度的,還能再任性下去嗎?!
當然還有最最最為不解的Cyberoam,58.1%的成績太另類,真想問,你的設備是被偷偷送來的嗎?
思科和Juniper在此項中的評測結果中規中矩,梭子魚和WatchGuard不盡如人意。
國產廠商僅是便宜?
當然,除了硬指標外,對于采購者還有一個重要的因素,那就是TCO(總體擁有成本)。說到這個,我們又看到SVM中X軸最右側兩個華麗麗的影子,山石和華為。報告中,可以看到TCO per Protected Mbps,也即防護每Mbps流量的總體擁有成本,山石網科最優,華為其次。
產品技術不差,賣的這么便宜,國產廠商簡直沒天理了。其實不能簡單的理解價格便宜,SVM X軸的計算公式:TCO/Mbps= TCO/(性能*檢測率),所以準確的說是性價比最優,不是最優TCO。
該TCO包含的CAPEX成本包括初始購置成本、每年的維護和更新成本(軟件和硬件更新),這里涉及一個重要的因素:維護時間。NSS的專家團隊評估產品的易用度并推算出產品需要的維護工作量,NSS認為易用度無法通過確定的標準來衡量,而要和其他競爭對手相比較而得出結論,就是和其他同類產品相比較看你的易用度處于一個什么樣的程度。
根據易用度可以推論出產品在其生命周期(一般為3年的時間)內的維護成本,一個經驗豐富的工程師在1年和3年的時間內需要為產品維護花多長時間,根據平均維護成本折算成產品的年均維護費用。也就是說,易用性越差的產品,用戶需要花在維護上的時間越長,其維護成本也越高。
看出了吧,用性價比最優解讀最為合適,事實上兩家中國廠商并不是價格最低的。當然,肯定不是最高,最高的無疑在這里,Juniper以的防護每Mbps流量的總體擁有成本居于SVM X軸最左側,幾乎是第二名Cisco ASA 5585-X SSP-60的兩倍,幾乎可以斷定它的價格是最傲嬌的了。
總結來看,此項測評中,山石網科表現最優。加上技術硬指標表現,山石可圈可點令人刮目相看。
小結
其實獲得NSS Labs“推薦級”評價的還有一家國內安全廠商的下一代防火墻廠商產品,它就是深信服NGAF。不過,深信服是2014年參加的NSS Labs Web應用防火墻(WAF)評測,此時筆者也沒搞明白它到底是NGFW還是WAF!
言歸正傳,此次NGFW評測,既然山石網科的表現這么優異,是否代表山石NGFW就領先了國際水平?我們當然有必要問問他們的想法。山石給的答案是肯定的。
山石網科再次強調了兩個關鍵測試結果:
“第一是威脅檢測率,獲得靜態測試檢測率99.6%、實時動態測試檢測率98.32%的成績,綜合威脅檢測率達到99%,在參與測評的NGFW中位居第三,超越了包括Juniper、PALO ALTO眾多國際知名廠商。
第二是防護每Mbps流量的總體擁有成本,這個指標山石在所有評測設備中排名第一,證明了山石NGFW最佳客戶價值。這兩個指標決定了在SVM安全價值象限上,山石網科位于最右上角的優勢位置!
說了就這么多,山石真是實在,這么好的機會,你就不能再Bai Huo兩句。說笑了,做實實在在的事最重要。再次祝賀山石網科,當然還有華為。