NSS Labs攻击防护测试面面观 —— RSA2016大会首日 NSS Labs为山石网科颁发下一代防火墙推荐级奖项

3月1日，在开幕首日的美国RSA大会现场，NSS Labs高管Garret Jones在现场来宾的见证下为山石网科颁发了下一代防火墙推荐级水晶授牌，山石网科凭借着下一代防火墙的卓越表现，成为了较早成功通过NSS Labs该项测试的中国企业。这一里程碑式的成就对于山石网科而言，无疑是极大的鼓舞，也开创了国内网络安全企业的先河。

class="fancybox_content" href="/uploads/images/2016/13/lifleOUGJRH9g.jpg?rand=181"

山石网科的下一代防火墙在NSS Labs推出的价值象限中占据了近乎右上顶点的优异位置，能以较低的总体拥有成本及较高的安全防护级别为全球超过12000名用户提供全面保护。

  class="fancybox_content" href="/uploads/images/2016/45/lisp9zHmiHg.jpg?rand=115"

NSS Labs下一代防火墙对比测试报告（SVM）免费下载地址：http://www.hillstonenet.com.cn/pub/NSS-Labs2016/

报告中包含参加测评的全球12家主流厂商产品所有测试结果和NSS Labs的评价

究竟NSS Labs是什么？它的攻击防护测试是怎样的？山石网科此次以出色的表现获得NSS Labs测试的推荐级别意义何在？这对于山石网科的合作伙伴及客户有着怎样的深远影响？

何为NSS Labs

作为世界的信息安全评测机构，NSS Labs致力于信息安全产品测试，为信息安全公司提供专业深度的产品测评报告、研究及分析服务。基于此，NSS Labs更创立了CAWS高级网络预警系统，一个能将风险细节可视化的创新云安全及风险管理平台。全球的企业首席执行官、信息主管、首席安全官们都信赖NSS Labs的测评报告，以获得较大的投资回报率。

除此以外，NSS Labs还为企业带来全面的网络风险管理导向。NSS Labs对包含戴尔、思科、IBM、微软等行业的厂商提供了深度见解，并受到超过280家企业组织的信赖，包括强生、毕马威、雅诗兰黛、VISA等。

NSS Labs测试方法

下一代防火墙（NGFW）的性能要求包括，在所有端口、所有协议上执行对所有数据包的深度包检测，以确定哪些应用程序在其上的端口运行，进而有效地保护它们。

NSS Labs测试报告旨在指出IT专业人员在挑选和管理安全产品时所面临的挑战。其下一代防火墙（NGFW）报告的范围包含：

• 安全有效性
• 性能
• 稳定性及可靠性
• 总体拥有成本 （TCO）

下一代防火墙（NGFW）在网络中被部署于关键的扼流点，故其稳定性和可靠性是至关重要的。因此，当新的深度检测功能出现，防火墙发生替代，对任何下一代防火墙的主要要求必须为稳定、可靠、快速和灵活。

以下功能被认为是任何下一代防火墙（NGFW）的必要功能：

传统的较早代防火墙特征，包含：

• 基本的数据包过滤
• 状态多层检查
• NAT
• VPN
• 高稳定性

下一代防火墙特征，包含：

• 应用程序识别/控制
• 用户/用户组控制
• 集成入侵防御系统 （IPS）
• 网络层（L3）运行能力 （“传统”）
• 优化拦截决定的外部情报（即 “信誉安全解决方案”）

一般而言，安全工程师会微调IPS以确保防护范围符合使用环境的需求。尽管此策略对数据中心和非军事区（DMZs）是适用的，但防护桌面安全却是不同的事。在对企业进行调查的过程中，NSS Labs的研究人员发现许多企业并未严格控制桌面安全，而在较大型的企业中，通常在末端会有大范围的应用程序在运行。因此，企业期待IPS和下一代防火墙（NGFW）供应商能够通过它们独具匠心的推荐和默认设置，为桌面客户应用程序提供较大化的安全保障。此外，研究指出企业尚未准备好在数据中心用下一代防火墙替换专业的IPS解决方案。

这使得NSS Labs能够总结称，下一代防火墙的入侵防护功能性通常会被用于保护桌面客户，并通过厂商提供的预先定义的“推荐/默认设置”得到较优化的保护。这也是对安全设备进行测试的方法。

山石网科通过NSS Labs测试的价值所在

NSS Labs的测试具有行业权威性及广泛的媒体影响力，因而对于网络安全行业厂商及客户都意义重大。

首先，NSS Labs的测试范围广，标准严。NSS Labs的攻击防护测试包含1999种真实攻击手段，透过各种各样的传输方式，不同大小的有效载荷及协议进行相关测试，全面涵盖了大大小小的问题及威胁。其测试的严要求和高精度为其深度发现威胁提供了保障，也使得其能识别极其不易察觉的细微威胁。例如，NSS Labs会不间断地用不规则流量来测试产品的稳定性与可靠性，以测试产品在任何极端情况下的性能。因而，通过NSS Labs攻击防护测试的产品都经得起严厉环境的考验，能为客户提供全天候的安全稳定防护。

其次，NSS Labs测试的通过率低。数据显示，有一半的防火墙都没能通过稳定性测试。并且，NSS Labs曾经针对6个知名品牌的防火墙产品进行测试，结果发现有5种防火墙都无法抵挡TCP Split Handshake spoof攻击（又称Sneak ACK attack）。由此可见NSS Labs在测试标准上的标准之严格及通过率之低。

再次，NSS Labs的测试报告为国内网络安全行业提供了行业标准。目前国内没有针对网络安全产品的第三方测试，因而客户只能通过厂商发布的数据来判断产品质量。NSS Labs作为绝对公平公正的第三方声音，为客户提供了专业的测评标准，让客户得以一眼了解产品的优势及劣势。这看似残酷的标准为客户及合作伙伴带来了无限价值。

此次山石网科的下一代防火墙在攻击防护测试取得了优异的成绩，这不仅体现了山石网科产品的高品质保障，更向客户及合作伙伴表明了山石网科勇攀高峰，不断进取的决心。这一里程碑式的成就将成为山石网科的发展基石，今后为更多客户提供全方位、全天候的安全保障。

参考资料：

https://www.nsslabs.com/company/about-nss/

https://library.nsslabs.com/reports/next-generation-firewall-test-methodology-v60