相比傳統(tǒng)防火墻來(lái)說，拋開傳統(tǒng)的IP、端口，并基于應(yīng)用層進(jìn)行重構(gòu)安全的下一代防火墻，可以為用戶提供更加先進(jìn)的防護(hù)能力，幫助用戶有效的抵御新型網(wǎng)絡(luò)攻擊。因此，部署下一代防火墻成為企業(yè)提升安全防護(hù)能力的新選擇。

近年來(lái)，越來(lái)越多的安全廠商也看到了這個(gè)機(jī)遇，紛紛推出下一代防火墻產(chǎn)品。下一代防火墻市場(chǎng)呈現(xiàn)出百花齊放的局面，競(jìng)爭(zhēng)愈演愈烈。他們各自說著自家產(chǎn)品是如何的牛，可是，你如何證明你就是真的牛呢?

真金不怕火煉!12家安全廠商爭(zhēng)霸NGFW市場(chǎng)

有這樣12家生產(chǎn)下一代防火墻的安全廠商，帶著自信與實(shí)力，向全球知名獨(dú)立安全研究和評(píng)測(cè)機(jī)構(gòu)NSS Labs提供了自己最滿意的產(chǎn)品。他們是：思科、Palo Alto、Juniper、Dell、山石網(wǎng)科、Check Point、Fortinet、Huawei、Barracuda、WatchGuard、Forcepoint、Cyberoam。

不管最終的結(jié)果是喜是憂，我們?cè)摓樗麄兊淖孕殴恼泣c(diǎn)贊。

NSS Labs致力于信息安全產(chǎn)品測(cè)試，為信息安全公司提供專業(yè)深度的產(chǎn)品測(cè)評(píng)報(bào)告、研究及分析服務(wù)?；诖耍琋SS Labs創(chuàng)立了CAWS高級(jí)網(wǎng)絡(luò)預(yù)警系統(tǒng)，一個(gè)能將風(fēng)險(xiǎn)細(xì)節(jié)可視化的創(chuàng)新云安全及風(fēng)險(xiǎn)管理平臺(tái)。而且，NSS Labs的測(cè)試具有行業(yè)權(quán)威性及廣泛的媒體影響力，因而對(duì)于網(wǎng)絡(luò)安全行業(yè)廠商及客戶都意義重大。

2011年，NSS Labs開始提供下一代防火墻測(cè)試。2015年，才有中國(guó)安全廠商山石網(wǎng)科和華為參加。此次公開測(cè)試是完全獨(dú)立的測(cè)試，有嚴(yán)格的測(cè)試過程。測(cè)試緊扣下一代防火墻特點(diǎn)，側(cè)重于測(cè)試入侵防御(IPS)與防火墻的聯(lián)動(dòng)，應(yīng)用控制以及基于用戶對(duì)策略管理。測(cè)試用例由NSS Labs測(cè)試人員完成，廠商使用缺省配置。整個(gè)測(cè)試分為靜態(tài)測(cè)試及動(dòng)態(tài)測(cè)試，前者一周，后者一個(gè)月。其中動(dòng)態(tài)測(cè)試是每天把最新發(fā)現(xiàn)的惡意IP和URL放入系統(tǒng)，測(cè)試安全設(shè)備是否可以實(shí)時(shí)防范最新發(fā)生的攻擊。對(duì)于下一代防火墻的威脅響應(yīng)速度、穩(wěn)定性等都有著非常大的挑戰(zhàn)，有 “史上最苛刻的測(cè)試”之稱。

在測(cè)試過程中，沒有任何廠商的人在現(xiàn)場(chǎng)，廠商可以在網(wǎng)上實(shí)時(shí)監(jiān)控各自設(shè)備的動(dòng)態(tài)測(cè)試情況，可以每天更新特征庫(kù)。

NSS Labs測(cè)試結(jié)果圖形分析

2016年2月29日，在這個(gè)四年才出現(xiàn)一次的日子里，NSS Labs發(fā)布了2015年NGFW測(cè)試結(jié)果。談到測(cè)試結(jié)果，最引人注目的非SVM(Security Value Map,安全價(jià)值表)莫屬。

首先，為大家上圖，看看這個(gè)安全價(jià)值表長(zhǎng)個(gè)啥樣子。  

2016年NSS Labs下一代防火墻Security Value Map(SVM,安全價(jià)值表) 

下面，我們一起來(lái)細(xì)細(xì)品味一下這張圖吧。橫軸、縱軸啥意思?占據(jù)上面哪個(gè)位置是最好滴?

我們先看橫軸，TCO per Protected Mbps——保護(hù)每兆帶寬所付出的TCO成本，通俗點(diǎn)說就是性價(jià)比。越靠右價(jià)格越低，圖上有很清晰的標(biāo)明（$0-$100）。

提到TCO，它是如何計(jì)算的呢?具體如下：

TCO：產(chǎn)品硬件列表價(jià)+8小時(shí)安裝費(fèi)+3年服務(wù)費(fèi)
TCO per Protected Mbps=價(jià)格/性能($/Mbps)
TCO per Protected Mbps=性價(jià)比;客戶價(jià)值!

接著，再看縱軸，Security Effectiveness——安全效能，可理解為安全防護(hù)效果，一般指威脅檢出率。越靠上說明檢測(cè)出的威脅越少。從圖中我們可以看出，共有13款產(chǎn)品參與測(cè)評(píng)，其中思科提供了兩款產(chǎn)品。

然后，我們看到圖中有兩條相交的紅色線，這是兩條平均值線。兩者交叉之后的區(qū)域(我們暫稱A區(qū)域)，即右上角，就是性價(jià)比比較高的產(chǎn)品區(qū)域，也是獲得此次測(cè)試推薦級(jí)的產(chǎn)品區(qū)域。

我們放大細(xì)看A區(qū)域

仔細(xì)觀察A區(qū)域，我們會(huì)發(fā)現(xiàn)，占據(jù)最右上角的是中國(guó)的安全廠商，山石網(wǎng)科和華為，他們也是唯一參評(píng)的國(guó)內(nèi)安全公司。對(duì)比這兩家公司，山石網(wǎng)科具有價(jià)格優(yōu)勢(shì)，而安全防護(hù)能力也更勝一籌。另外，在接近最頂端邊緣處，是Check Point、Fortinet，這說明在威脅檢出率方面表現(xiàn)最優(yōu)。比較而言，F(xiàn)ortinet產(chǎn)品的價(jià)格相對(duì)便宜些。A區(qū)域中來(lái)自思科、戴爾以及ForcePoint的產(chǎn)品也表現(xiàn)不俗。

看完圖，小編忍不住吐槽一句：Juniper的產(chǎn)品真是貴啊!還是咱國(guó)產(chǎn)好!

機(jī)遇與競(jìng)爭(zhēng)中，國(guó)內(nèi)安全廠商持續(xù)發(fā)力

回顧NSS Labs歷年評(píng)測(cè)報(bào)告，鮮有中國(guó)企業(yè)上榜。此次山石網(wǎng)科和華為竟雙雙上榜。如此優(yōu)異的表現(xiàn)，離不開廠商自身的努力，以及外力的推動(dòng)。

首先，隨著企業(yè)網(wǎng)絡(luò)安全重要性的凸顯，面對(duì)層出不窮的網(wǎng)絡(luò)威脅，下一代防火墻已成為很多企業(yè)加強(qiáng)安全防護(hù)的新選擇，市場(chǎng)需求日益增多。

其次，拋開思科、Check Point、Fortinet等強(qiáng)勢(shì)的國(guó)際安全廠商不說，近幾年國(guó)內(nèi)幾乎所有的傳統(tǒng)防火墻、統(tǒng)一威脅管理廠商紛紛將主打產(chǎn)品轉(zhuǎn)向下一代防火墻，市場(chǎng)競(jìng)爭(zhēng)加劇，產(chǎn)品也日益成熟。廠商唯有推陳出新，提升產(chǎn)品性能，才能不斷前進(jìn)。

第三，便是國(guó)家對(duì)信息安全的整體發(fā)展重視所帶來(lái)的機(jī)遇。國(guó)家鼓勵(lì)和扶持運(yùn)用具有自主知識(shí)產(chǎn)權(quán)的產(chǎn)品和技術(shù)，來(lái)保障國(guó)家基礎(chǔ)網(wǎng)絡(luò)的重要信息系統(tǒng)的安全。機(jī)遇面前，國(guó)內(nèi)安全廠商不遺余力的提升自身能力，自主創(chuàng)新，提高產(chǎn)品質(zhì)量，提供優(yōu)質(zhì)的安全服務(wù)。

在這樣的大勢(shì)所趨之下，中國(guó)的網(wǎng)絡(luò)安全廠商怎能不出眾?產(chǎn)品性能又怎會(huì)不高?

山石網(wǎng)科E5960為何獲此殊榮?

NSS Labs測(cè)試結(jié)果顯示，山石網(wǎng)科和華為以優(yōu)異的成績(jī)占據(jù)了安全價(jià)值表最右角。山石網(wǎng)科的E5960下一代防火墻和華為的USG6650下一代防火墻在綜合威脅檢查率方面，分別為99%和98.1%，顯示了出色的防護(hù)能力、穩(wěn)定性和可靠性。尤其是山石網(wǎng)科的E5960下一代防火墻以高達(dá)99%的綜合威脅檢查率，以及排名第一的總體擁有成本而表現(xiàn)突出，榮獲NSS Labs “推薦級(jí)”是實(shí)至名歸。

對(duì)山石網(wǎng)科E5960在測(cè)試中的表現(xiàn)，NSS Labs CEO Vikram Phatak給予了很高評(píng)價(jià)。他說：“山石網(wǎng)科的下一代防火墻產(chǎn)品整體表現(xiàn)非常有競(jìng)爭(zhēng)力，在安全檢測(cè)力、性能以及可靠性上均表現(xiàn)出色，NSS Lab的‘推薦級(jí)’當(dāng)之無(wú)愧。”

山石網(wǎng)科下一代防火墻E5960

那么，能夠獲此殊榮的山石網(wǎng)科E5960的表現(xiàn)究竟如何?讓我們一起來(lái)看看NSS Labs的測(cè)試結(jié)果：

◆NSS漏洞庫(kù)測(cè)試：服務(wù)器端攻擊威脅檢測(cè)率99.5%，客戶端攻擊威脅檢測(cè)率為99.7%，防范全部攻擊威脅的檢測(cè)率達(dá)到99.6%。

◆CAWS動(dòng)態(tài)測(cè)試：威脅檢測(cè)率達(dá)到98.32%。

◆8大項(xiàng)逃逸測(cè)試：該設(shè)備可有效應(yīng)對(duì)所有逃避技術(shù)測(cè)試。

◆穩(wěn)定可靠性：該設(shè)備通過所有穩(wěn)定性和可靠性測(cè)試。

◆防火墻策略：該設(shè)備可有效地執(zhí)行所有防火墻策略。

◆應(yīng)用程序控制：經(jīng)NSS工程師測(cè)試，該設(shè)備可以成功地確定正確的應(yīng)用程序，并基于策略采取適當(dāng)行動(dòng)。

◆用戶/團(tuán)體身份驗(yàn)證：對(duì)于用戶/團(tuán)體身份(ID)感知策略，經(jīng)NSS工程師證實(shí)，該設(shè)備成功識(shí)別的用戶和團(tuán)體的身份，并基于防火墻策略采取了相應(yīng)的操作。

山石網(wǎng)科產(chǎn)品市場(chǎng)副總裁張凌齡表示，山石網(wǎng)科E5960通過測(cè)試獲得了全球范圍質(zhì)量認(rèn)可。這次測(cè)試表明，中國(guó)廠商的下一代防火墻已經(jīng)達(dá)到國(guó)際最高水準(zhǔn)。

寫在最后

據(jù)業(yè)界預(yù)測(cè)，未來(lái)幾年，中國(guó)的下一代防火墻市場(chǎng)增長(zhǎng)速度將超過傳統(tǒng)防火墻市場(chǎng)。我們相信，未來(lái)山石網(wǎng)科、華為等國(guó)內(nèi)安全廠商將會(huì)有更加優(yōu)異的表現(xiàn)，而不止于這次殊榮。在安全市場(chǎng)，將會(huì)有更多的國(guó)內(nèi)廠商崛起，生產(chǎn)出全球一流的安全產(chǎn)品，提供世界一流的安全技術(shù)。