谁家的NGFW最牛?且看NSS Labs测试结果如何说

相比传统防火墙来说，抛开传统的IP、端口，并基于应用层进行重构安全的下一代防火墙，可以为用户提供更加先进的防护能力，帮助用户有效的抵御新型网络攻击。因此，部署下一代防火墙成为企业提升安全防护能力的新选择。

近年来，越来越多的安全厂商也看到了这个机遇，纷纷推出下一代防火墙产品。下一代防火墙市场呈现出百花齐放的局面，竞争愈演愈烈。他们各自说着自家产品是如何的牛，可是，你如何证明你就是真的牛呢?

真金不怕火炼!12家安全厂商争霸NGFW市场

有这样12家生产下一代防火墙的安全厂商，带着自信与实力，向全球知名独立安全研究和评测机构NSS Labs提供了自己最满意的产品。他们是：思科、Palo Alto、Juniper、Dell、山石网科、Check Point、Fortinet、Huawei、Barracuda、WatchGuard、Forcepoint、Cyberoam。

不管最终的结果是喜是忧，我们该为他们的自信鼓掌点赞。

NSS Labs致力于信息安全产品测试，为信息安全公司提供专业深度的产品测评报告、研究及分析服务。基于此，NSS Labs创立了CAWS高级网络预警系统，一个能将风险细节可视化的创新云安全及风险管理平台。而且，NSS Labs的测试具有行业权威性及广泛的媒体影响力，因而对于网络安全行业厂商及客户都意义重大。

2011年，NSS Labs开始提供下一代防火墙测试。2015年，才有中国安全厂商山石网科和华为参加。此次公开测试是完全独立的测试，有严格的测试过程。测试紧扣下一代防火墙特点，侧重于测试入侵防御(IPS)与防火墙的联动，应用控制以及基于用户对策略管理。测试用例由NSS Labs测试人员完成，厂商使用缺省配置。整个测试分为静态测试及动态测试，前者一周，后者一个月。其中动态测试是每天把最新发现的恶意IP和URL放入系统，测试安全设备是否可以实时防范最新发生的攻击。对于下一代防火墙的威胁响应速度、稳定性等都有着非常大的挑战，有 “史上最苛刻的测试”之称。

在测试过程中，没有任何厂商的人在现场，厂商可以在网上实时监控各自设备的动态测试情况，可以每天更新特征库。

NSS Labs测试结果图形分析

2016年2月29日，在这个四年才出现一次的日子里，NSS Labs发布了2015年NGFW测试结果。谈到测试结果，最引人注目的非SVM(Security Value Map,安全价值表)莫属。

首先，为大家上图，看看这个安全价值表长个啥样子。

SVM(Security Value Map,安全价值表)

下面，我们一起来细细品味一下这张图吧。

横轴、纵轴啥意思?占据上面哪个位置是最好滴?

我们先看横轴，TCO per Protected Mbps——保护每兆带宽所付出的TCO成本，通俗点说就是性能价格比。越靠右价格越低，图上有很清晰的标明。

提到TCO，它是如何计算的呢?具体如下：

TCO：产品硬件列表价+8小时安装费+3年服务费
TCO per Protected Mbps=价格/性能($/Mbps)
TCO per Protected Mbps=性价比;客户价值!

接着，再看纵轴，Security Effectiveness——安全效能，可理解为安全防护效果，一般指威胁检出率。越靠上说明检测出的威胁越少。从图中我们可以看出，共有12家厂商的13款产品参与测评，其中思科提供了两款产品。

然后，我们看到图中有两条相交的红色线，这是两条平均值线。两者交叉之后的区域(如图中所示A区域)，即右上角，就是性价比比较高的产品区域，也是获得此次测试推荐级的产品区域。

仔细观察A区域，我们会发现，占据最右上角的是中国的安全厂商，山石网科和华为，他们也是唯一参评的国内安全公司。对比这两家公司，山石网科具有价格优势，而安全防护能力也更胜一筹。

另外，在接近最顶端边缘处，是Check Point、Fortinet，这说明在威胁检出率方面表现最优。比较而言，Fortinet产品的价格相对便宜些。A区域中来自思科、戴尔以及ForcePoint的产品也表现不俗。

看完图，小编忍不住吐槽一句：Juniper的产品真是贵啊!还是咱国产好!

机遇与竞争中，国内安全厂商持续发力

回顾NSS Labs历年评测报告，鲜有中国企业上榜。此次山石网科和华为竟双双上榜。如此优异的表现，离不开厂商自身的努力，以及外力的推动。

首先，随着企业网络安全重要性的凸显，面对层出不穷的网络威胁，下一代防火墙已成为很多企业加强安全防护的新选择，市场需求日益增多。

其次，抛开思科、Check Point、Fortinet等强势的国际安全厂商不说，近几年国内几乎所有的传统防火墙、统一威胁管理厂商纷纷将主打产品转向下一代防火墙，市场竞争加剧，产品也日益成熟。厂商唯有推陈出新，提升产品性能，才能不断前进。

第三，便是国家对信息安全的整体发展重视所带来的机遇。国家鼓励和扶持运用具有自主知识产权的产品和技术，来保障国家基础网络的重要信息系统的安全。机遇面前，国内安全厂商不遗余力的提升自身能力，自主创新，提高产品质量，提供优质的安全服务。

在这样的大势所趋之下，中国的网络安全厂商怎能不出众?产品性能又怎会不高?

山石网科E5960为何获此殊荣?

NSS Labs测试结果显示，山石网科和华为以优异的成绩占据了安全价值表最右角。山石网科的E5960下一代防火墙和华为的USG6650下一代防火墙在综合威胁检查率方面，分别为99%和98.1%，显示了出色的防护能力、稳定性和可靠性。尤其是山石网科的E5960下一代防火墙以高达99%的综合威胁检查率，以及排名第一的总体拥有成本而表现突出，荣获NSS Labs “推荐级”是实至名归。

对山石网科E5960在测试中的表现，NSS Labs CEO Vikram Phatak给予了很高评价。他说：“山石网科的下一代防火墙产品整体表现非常有竞争力，在安全检测力、性能以及可靠性上均表现出色，NSS Lab的‘推荐级’当之无愧。”