网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


谁家的NGFW最牛?且看NSS Labs测试结果如何说

2016-03-06 10:07 推荐: 浏览: 434 views 字号:

摘要: 相比传统防火墙来说,抛开传统的IP、端口,并基于应用层进行重构安全的下一代防火墙,可以为用户提供更加先进的防护能力,帮助用户有效的抵御新型网络攻击。因此,部署下一代防火墙成为企业提升安全防护能力的新选择。 近年来,越来越多的安全厂商也看到了这个机遇,纷纷推出下...

相比传统防火墙来说,抛开传统的IP、端口,并基于应用层进行重构安全的下一代防火墙,可以为用户提供更加先进的防护能力,帮助用户有效的抵御新型网络攻击。因此,部署下一代防火墙成为企业提升安全防护能力的新选择。

近年来,越来越多的安全厂商也看到了这个机遇,纷纷推出下一代防火墙产品。下一代防火墙市场呈现出百花齐放的局面,竞争愈演愈烈。他们各自说着自家产品是如何的牛,可是,你如何证明你就是真的牛呢?

真金不怕火炼!12家安全厂商争霸NGFW市场

有这样12家生产下一代防火墙的安全厂商,带着自信与实力,向全球知名独立安全研究和评测机构NSS Labs提供了自己最满意的产品。他们是:思科、Palo Alto、Juniper、Dell、山石网科、Check Point、Fortinet、Huawei、Barracuda、WatchGuard、Forcepoint、Cyberoam。

不管最终的结果是喜是忧,我们该为他们的自信鼓掌点赞。

NSS Labs致力于信息安全产品测试,为信息安全公司提供专业深度的产品测评报告、研究及分析服务。基于此,NSS Labs创立了CAWS高级网络预警系统,一个能将风险细节可视化的创新云安全及风险管理平台。而且,NSS Labs的测试具有行业权威性及广泛的媒体影响力,因而对于网络安全行业厂商及客户都意义重大。

2011年,NSS Labs开始提供下一代防火墙测试。2015年,才有中国安全厂商山石网科和华为参加。此次公开测试是完全独立的测试,有严格的测试过程。测试紧扣下一代防火墙特点,侧重于测试入侵防御(IPS)与防火墙的联动,应用控制以及基于用户对策略管理。测试用例由NSS Labs测试人员完成,厂商使用缺省配置。整个测试分为静态测试及动态测试,前者一周,后者一个月。其中动态测试是每天把最新发现的恶意IP和URL放入系统,测试安全设备是否可以实时防范最新发生的攻击。对于下一代防火墙的威胁响应速度、稳定性等都有着非常大的挑战,有 “史上最苛刻的测试”之称。

在测试过程中,没有任何厂商的人在现场,厂商可以在网上实时监控各自设备的动态测试情况,可以每天更新特征库。

NSS Labs测试结果图形分析

2016年2月29日,在这个四年才出现一次的日子里,NSS Labs发布了2015年NGFW测试结果。谈到测试结果,最引人注目的非SVM(Security Value Map,安全价值表)莫属。

首先,为大家上图,看看这个安全价值表长个啥样子。

谁家的NGFW最牛?且看NSS Labs测试结果如何说

SVM(Security Value Map,安全价值表)

下面,我们一起来细细品味一下这张图吧。

横轴、纵轴啥意思?占据上面哪个位置是最好滴?

我们先看横轴,TCO per Protected Mbps——保护每兆带宽所付出的TCO成本,通俗点说就是性能价格比。越靠右价格越低,图上有很清晰的标明。

提到TCO,它是如何计算的呢?具体如下:

TCO:产品硬件列表价+8小时安装费+3年服务费
TCO per Protected Mbps=价格/性能($/Mbps)
TCO per Protected Mbps=性价比;客户价值!

接着,再看纵轴,Security Effectiveness——安全效能,可理解为安全防护效果,一般指威胁检出率。越靠上说明检测出的威胁越少。从图中我们可以看出,共有12家厂商的13款产品参与测评,其中思科提供了两款产品。

然后,我们看到图中有两条相交的红色线,这是两条平均值线。两者交叉之后的区域(如图中所示A区域),即右上角,就是性价比比较高的产品区域,也是获得此次测试推荐级的产品区域。

仔细观察A区域,我们会发现,占据最右上角的是中国的安全厂商,山石网科和华为,他们也是唯一参评的国内安全公司。对比这两家公司,山石网科具有价格优势,而安全防护能力也更胜一筹。

另外,在接近最顶端边缘处,是Check Point、Fortinet,这说明在威胁检出率方面表现最优。比较而言,Fortinet产品的价格相对便宜些。A区域中来自思科、戴尔以及ForcePoint的产品也表现不俗。

看完图,小编忍不住吐槽一句:Juniper的产品真是贵啊!还是咱国产好!

机遇与竞争中,国内安全厂商持续发力

回顾NSS Labs历年评测报告,鲜有中国企业上榜。此次山石网科和华为竟双双上榜。如此优异的表现,离不开厂商自身的努力,以及外力的推动。

首先,随着企业网络安全重要性的凸显,面对层出不穷的网络威胁,下一代防火墙已成为很多企业加强安全防护的新选择,市场需求日益增多。

其次,抛开思科、Check Point、Fortinet等强势的国际安全厂商不说,近几年国内几乎所有的传统防火墙、统一威胁管理厂商纷纷将主打产品转向下一代防火墙,市场竞争加剧,产品也日益成熟。厂商唯有推陈出新,提升产品性能,才能不断前进。

第三,便是国家对信息安全的整体发展重视所带来的机遇。国家鼓励和扶持运用具有自主知识产权的产品和技术,来保障国家基础网络的重要信息系统的安全。机遇面前,国内安全厂商不遗余力的提升自身能力,自主创新,提高产品质量,提供优质的安全服务。

在这样的大势所趋之下,中国的网络安全厂商怎能不出众?产品性能又怎会不高?

山石网科E5960为何获此殊荣?

NSS Labs测试结果显示,山石网科和华为以优异的成绩占据了安全价值表最右角。山石网科的E5960下一代防火墙和华为的USG6650下一代防火墙在综合威胁检查率方面,分别为99%和98.1%,显示了出色的防护能力、稳定性和可靠性。尤其是山石网科的E5960下一代防火墙以高达99%的综合威胁检查率,以及排名第一的总体拥有成本而表现突出,荣获NSS Labs “推荐级”是实至名归。

对山石网科E5960在测试中的表现,NSS Labs CEO Vikram Phatak给予了很高评价。他说:“山石网科的下一代防火墙产品整体表现非常有竞争力,在安全检测力、性能以及可靠性上均表现出色,NSS Lab的‘推荐级’当之无愧。”

谁家的NGFW最牛?且看NSS Labs测试结果如何说

山石网科下一代防火墙E5960

那么,能够获此殊荣的山石网科E5960的表现究竟如何?让我们一起来看看NSS Labs的测试结果:

◆NSS漏洞库测试:服务器端攻击威胁检测率99.5%,客户端攻击威胁检测率为99.7%,防范全部攻击威胁的检测率达到99.6%。

◆CAWS动态测试:威胁检测率达到98.32%。

◆8大项逃逸测试:该设备可有效应对所有逃避技术测试。

◆稳定可靠性:该设备通过所有稳定性和可靠性测试。

◆防火墙策略:该设备可有效地执行所有防火墙策略。

◆应用程序控制:经NSS工程师测试,该设备可以成功地确定正确的应用程序,并基于策略采取适当行动。

◆用户/团体身份验证:对于用户/团体身份(ID)感知策略,经NSS工程师证实,该设备成功识别的用户和团体的身份,并基于防火墙策略采取了相应的操作。

山石网科产品市场副总裁张凌龄表示,山石网科E5960通过测试获得了全球范围质量认可。这次测试表明,中国厂商的下一代防火墙已经达到国际最高水准。

写在最后

据业界预测,未来几年,中国的下一代防火墙市场增长速度将超过传统防火墙市场。我们相信,未来山石网科、华为等国内安全厂商将会有更加优异的表现,而不止于这次殊荣。在安全市场,将会有更多的国内厂商崛起,生产出全球一流的安全产品,提供世界一流的安全技术。

稿源:杜美洁 51CTO.com

联系站长租广告位!

中国首席信息安全官


关闭


关闭