CTI論壇(ctiforum)4月25日消息（記者 李文杰):2月29日，全球最知名、最權(quán)威的安全研究和測評(píng)機(jī)構(gòu)NSSLabs公布了其2015年NGFW（Next Generation Firewall，下一代防火墻）群組測試結(jié)果，在參與測試的12家廠商的13款NGFW產(chǎn)品中，華為公司的USG6650下一代防火墻通過了嚴(yán)苛的測試，以超高的威脅檢出率、極具競爭力的性價(jià)比，獲得“推薦”評(píng)價(jià)，出現(xiàn)在其公開發(fā)布的安全價(jià)值圖（SVM）的黃金右上角位置。

　　這是首次有中國品牌的下一代防火墻產(chǎn)品在NSS Labs公開測試中獲其“推薦”。值得一提的是，這也是中國公司首次亮相NSSLabsNGFW公開測試，首次亮相便突出重圍，取得驚艷的測試結(jié)果，表明中國網(wǎng)絡(luò)安全產(chǎn)品和安全能力已經(jīng)比肩世界一流廠商，意義十分重大。

　　2010年華為安全產(chǎn)品線啟動(dòng)下一代防火墻產(chǎn)品的技術(shù)預(yù)研，2011年正式立項(xiàng)，2013年初NSS Labs認(rèn)證進(jìn)入實(shí)操階段。

　　下一代防火墻包括傳統(tǒng)的防火墻特性，如轉(zhuǎn)發(fā)、路由、策略控制等，以及新興的內(nèi)容安全特性，如應(yīng)用識(shí)別、入侵防護(hù)、病毒防護(hù)等，其中傳統(tǒng)特性由防火墻產(chǎn)品開發(fā)團(tuán)隊(duì)承擔(dān)，內(nèi)容安全特性則由安全產(chǎn)品的能力中心安全平臺(tái)承擔(dān)。

　　當(dāng)時(shí)NSS Labs認(rèn)證測試對(duì)我們來說是神秘的。神秘之處在于它的難度，只有少數(shù)幾家國際頂尖的安全廠商獲得過它的推薦，甚至國內(nèi)只有一家參與過NSSLabs測試。通過多方面信息搜集了解我們僅對(duì)測試的形式、難度、工具和儀表、方法等有個(gè)大概了解。

　　華為安全產(chǎn)品線大部分研發(fā)人員還是以做軟件開發(fā)和版本交付為主，在最核心的攻防領(lǐng)域，能力積累有限，專業(yè)人才屈指可數(shù)。同時(shí)，由于組織結(jié)構(gòu)的調(diào)整，由北京部分軟件開發(fā)人員臨時(shí)成立的威脅分析團(tuán)隊(duì)，開發(fā)經(jīng)驗(yàn)豐富，但安全能力不足，好在團(tuán)隊(duì)具有清晰的工作思路，超強(qiáng)的戰(zhàn)斗能力，快速具備了支撐產(chǎn)品成功的必要能力。

　　NSS Labs測試分為兩種，一種是基于單個(gè)廠商的私有測試(Private Test)，結(jié)果只對(duì)廠商自己可見，廠商可以了解各項(xiàng)測試項(xiàng)的滿足度。它每年還會(huì)組織一次免費(fèi)的、公開的群組測試(Group Test)，僅告知廠商測試方法，不會(huì)告知測試范圍。測試結(jié)果公開發(fā)布，只有防護(hù)能力和性價(jià)比均處于平均線之上的產(chǎn)品，才會(huì)獲得其“推薦”評(píng)價(jià)。

　　很快，產(chǎn)品和平臺(tái)聯(lián)合成立了NSSLabs認(rèn)證專項(xiàng)工作組，全力支撐該測試。經(jīng)過多次與NSSLabs協(xié)商，最終將私有測試時(shí)間定在2013年的最后一個(gè)月。

　　起步尤為艱難。NSS Labs測試包括：防火墻策略、網(wǎng)管、安全有效性、防躲避能力、性能、穩(wěn)定性等。其中最大的挑戰(zhàn)在于安全有效性測試，無章可循，我們僅能得知他們將用2000個(gè)左右的威脅來測試產(chǎn)品的防護(hù)能力，而無法得知具體范圍。要知道，業(yè)界當(dāng)時(shí)具有CVE編號(hào)的漏洞數(shù)量就有近7萬個(gè)，想從這么多漏洞中準(zhǔn)確覆蓋那2000個(gè)威脅，無異于大海撈針。也許有人會(huì)說，全都覆蓋不就行了嗎？其實(shí)，想要檢測每一個(gè)威脅，需要準(zhǔn)確了解對(duì)應(yīng)漏洞的技術(shù)細(xì)節(jié)。而要想全部覆蓋這7萬個(gè)漏洞，技術(shù)上無法實(shí)現(xiàn)。樂觀估計(jì)我們能夠獲得技術(shù)細(xì)節(jié)的不足4000個(gè)，以現(xiàn)有人力短期內(nèi)不可能完成。

　　針對(duì)這個(gè)問題，安全平臺(tái)TDT經(jīng)理張進(jìn)軍和LM焦軍召集安全領(lǐng)域的專家進(jìn)行了頭腦風(fēng)暴，討論各種縮小范圍的方法，最終確定按照漏洞的嚴(yán)重程度，優(yōu)先覆蓋各友商公共的部分。

　　另一個(gè)重要的動(dòng)作，是對(duì)研發(fā)團(tuán)隊(duì)進(jìn)行“松土”。當(dāng)時(shí)很多人對(duì)這個(gè)測試的可行性存有疑慮，安全分析團(tuán)隊(duì)的PL顧子強(qiáng)、SE李世光為大家進(jìn)行了詳盡的測試方法學(xué)分析和客觀的工作量評(píng)估，逐一解答大家的疑問。很快，目標(biāo)達(dá)成一致，大家擰成一股繩。

　　之后就是緊鑼密鼓的準(zhǔn)備了，過程艱辛，無以言表，相信每一個(gè)研發(fā)人都深有體會(huì)。很快到了2013年底，朱清亞、韓旭飛往遙遠(yuǎn)的Austin（奧斯�。�，進(jìn)行現(xiàn)場測試支撐。前三天是協(xié)助NSS Labs的測試工程師進(jìn)行環(huán)境的搭建，過程有驚無險(xiǎn)，當(dāng)設(shè)備正常跑起來后，NSSLabs要求廠家工程師不得留在現(xiàn)場，以排除廠家對(duì)測試結(jié)果的影響。

　　我們唯一能做的只有等待，而等待是無比的煎熬。終于，2014年1月18日NSS Labs通知我們測試結(jié)果：防躲避99%通過，我們最關(guān)心的安全有效性測試結(jié)果為80.9%！

　　說實(shí)話，在測試之前，我們覺得如果結(jié)果能高于60%就及格了。結(jié)果高于我們預(yù)期，大家喜極而泣！這極大地增強(qiáng)了大家的信心，目標(biāo)雖然不是近在咫尺，但也不再遙不可及。

　　因準(zhǔn)備不足，我們放棄了在2014年的公開測試。但我們決定參與2015年9月初的公開測試。在這之前，為了進(jìn)行能力摸底，我們決定在2015年5月做一次私有測試。由于有了第一次的經(jīng)驗(yàn)，這次私有測試比較順利，7月公布的最關(guān)鍵的兩個(gè)測試項(xiàng)，其中防躲避用例100%通過，安全有效性得分90.3%。

　　盡管測試結(jié)果已非常接近最終目標(biāo)（安全有效性得分95%以上），但研發(fā)團(tuán)隊(duì)的壓力絲毫沒有減輕，因?yàn)樵浇咏�目�?biāo)，向上提升的難度越大了。

　　在剩下的不到兩個(gè)月的時(shí)間里，研發(fā)團(tuán)隊(duì)為了提升最終的安全有效性結(jié)果付出了大量的努力。深入分析每一個(gè)可能的漏洞，不放過任何一個(gè)可疑的地方，到8月底時(shí)，我們已經(jīng)準(zhǔn)備好了測試的版本，對(duì)結(jié)果很有信心。

　　但一件意想不到的事情發(fā)生了。NSSLabs通知我們臨時(shí)刷新了2015年的測試方法，新增了2015年威脅測試包，由于我們是第一個(gè)測試，可以提供列表給我司，但響應(yīng)時(shí)間僅有一個(gè)月。

　　怎么辦？我們只能接受挑戰(zhàn)！然而，一波未平，一波又起，意想不到的更大挑戰(zhàn)還在后面。9月中旬，NSS Labs再次通知，在2015年的公開測試中，將引入高級(jí)網(wǎng)絡(luò)預(yù)警系統(tǒng)（Cyber Advanced Warning System，CAWS），以測試各家防火墻產(chǎn)品針對(duì)網(wǎng)絡(luò)真實(shí)攻擊的攔截能力。這個(gè)系統(tǒng)從NSSLabs部署于全球的蜜網(wǎng)系統(tǒng)中實(shí)時(shí)采集真實(shí)的攻擊流量，每天多則數(shù)百個(gè)樣本，少則幾十個(gè)樣本，向各家防火墻進(jìn)行重放，根據(jù)測試結(jié)果定時(shí)生成各產(chǎn)品攔截的對(duì)比報(bào)告，用戶（需訂閱）可以查看該報(bào)告，作為產(chǎn)品選購的參考依據(jù)。同時(shí)，NSS Labs告知我們，CAWS系統(tǒng)的測試結(jié)果將至少占安全有效性得分的50%。這真的是考驗(yàn)各產(chǎn)品背后安全團(tuán)隊(duì)的分析能力和響應(yīng)速度！

　　開弓沒有回頭箭，即使前面是“刀山火海”也要硬著頭皮上了。9月底NSS Labs將華為USG6650部署到了CAWS系統(tǒng)中，并給了我們一周左右的時(shí)間預(yù)測試。設(shè)備部署進(jìn)去的第一天下午，威脅攔截率維持在80%左右，到了晚上，就掉落到50%，此后幾天一路向下，最低下探到12%左右。

　　看著CAWS攔截率不斷下降，大家都心急如焚。研發(fā)的小伙伴們?cè)谟邢薜臅r(shí)間內(nèi)對(duì)多達(dá)3萬個(gè)攻擊樣本緊急進(jìn)行人工分析，不斷總結(jié)攻擊規(guī)律，提取攻擊特征；同時(shí)持續(xù)進(jìn)行頭腦風(fēng)暴，共享分析思路，群策群力識(shí)別分析短板，在進(jìn)度壓力極大的情況下，敢于投入人力開發(fā)輔助分析工具，大幅提升了分析的效率。

　　經(jīng)過兩周左右的攻堅(jiān)戰(zhàn)，CAWS系統(tǒng)中設(shè)備的攔截率慢慢回升，并在十月中下旬回升到90%以上。由于每天都會(huì)有大量的新增樣本，安全分析團(tuán)隊(duì)絲毫不敢懈怠，在此后長達(dá)4個(gè)月的時(shí)間里，每天都有人值守，使得任何問題都能得到快速響應(yīng)。

　　我們的努力得到了回報(bào)，在2015年11月之后，截至目前，華為NGFW產(chǎn)品的現(xiàn)網(wǎng)威脅攔截率一直維持在99%+的超高水平，在所有參與測試的產(chǎn)品中名列前茅。

　　終于，2016年2月29日，NSS Labs公布了2015年NGFW群組測試結(jié)果。華為USG6650下一代防火墻通過了全部測試項(xiàng)，尤其在安全有效性方面表現(xiàn)出色，在NSS Labs選取的兩個(gè)月的測試窗口內(nèi)，USG6650 CAWS系統(tǒng)真實(shí)攻擊平均攔截率達(dá)到了99.95%；綜合安全有效性亦達(dá)到了98.1%，在13款測試產(chǎn)品中位居第四。

　　“華為下一代防火墻的表現(xiàn)令人印象深刻。”NSS實(shí)驗(yàn)室首席執(zhí)行官VikramPhatak談到，“這款產(chǎn)品的安全性、性能、穩(wěn)定性都達(dá)到業(yè)界優(yōu)秀水平。它擁有卓越的安全價(jià)值，獲得NSS實(shí)驗(yàn)室‘推薦級(jí)’當(dāng)之無愧。”