CTI論壇(ctiforum)4月25日消息（記者 李文杰):2月29日，全球最知名、最權(quán)威的安全研究和測評機構(gòu)NSSLabs公布了其2015年NGFW（Next Generation Firewall，下一代防火墻）群組測試結(jié)果，在參與測試的12家廠商的13款NGFW產(chǎn)品中，華為公司的USG6650下一代防火墻通過了嚴(yán)苛的測試，以超高的威脅檢出率、極具競爭力的性價比，獲得“推薦”評價，出現(xiàn)在其公開發(fā)布的安全價值圖（SVM）的黃金右上角位置。

　　這是首次有中國品牌的下一代防火墻產(chǎn)品在NSS Labs公開測試中獲其“推薦”。值得一提的是，這也是中國公司首次亮相NSSLabsNGFW公開測試，首次亮相便突出重圍，取得驚艷的測試結(jié)果，表明中國網(wǎng)絡(luò)安全產(chǎn)品和安全能力已經(jīng)比肩世界一流廠商，意義十分重大。

　　2010年華為安全產(chǎn)品線啟動下一代防火墻產(chǎn)品的技術(shù)預(yù)研，2011年正式立項，2013年初NSS Labs認(rèn)證進入實操階段。

　　下一代防火墻包括傳統(tǒng)的防火墻特性，如轉(zhuǎn)發(fā)、路由、策略控制等，以及新興的內(nèi)容安全特性，如應(yīng)用識別、入侵防護、病毒防護等，其中傳統(tǒng)特性由防火墻產(chǎn)品開發(fā)團隊承擔(dān)，內(nèi)容安全特性則由安全產(chǎn)品的能力中心安全平臺承擔(dān)。

　　當(dāng)時NSS Labs認(rèn)證測試對我們來說是神秘的。神秘之處在于它的難度，只有少數(shù)幾家國際頂尖的安全廠商獲得過它的推薦，甚至國內(nèi)只有一家參與過NSSLabs測試。通過多方面信息搜集了解我們僅對測試的形式、難度、工具和儀表、方法等有個大概了解。

　　華為安全產(chǎn)品線大部分研發(fā)人員還是以做軟件開發(fā)和版本交付為主，在最核心的攻防領(lǐng)域，能力積累有限，專業(yè)人才屈指可數(shù)。同時，由于組織結(jié)構(gòu)的調(diào)整，由北京部分軟件開發(fā)人員臨時成立的威脅分析團隊，開發(fā)經(jīng)驗豐富，但安全能力不足，好在團隊具有清晰的工作思路，超強的戰(zhàn)斗能力，快速具備了支撐產(chǎn)品成功的必要能力。

　　NSS Labs測試分為兩種，一種是基于單個廠商的私有測試(Private Test)，結(jié)果只對廠商自己可見，廠商可以了解各項測試項的滿足度。它每年還會組織一次免費的、公開的群組測試(Group Test)，僅告知廠商測試方法，不會告知測試范圍。測試結(jié)果公開發(fā)布，只有防護能力和性價比均處于平均線之上的產(chǎn)品，才會獲得其“推薦”評價。

　　很快，產(chǎn)品和平臺聯(lián)合成立了NSSLabs認(rèn)證專項工作組，全力支撐該測試。經(jīng)過多次與NSSLabs協(xié)商，最終將私有測試時間定在2013年的最后一個月。

　　起步尤為艱難。NSS Labs測試包括：防火墻策略、網(wǎng)管、安全有效性、防躲避能力、性能、穩(wěn)定性等。其中最大的挑戰(zhàn)在于安全有效性測試，無章可循，我們僅能得知他們將用2000個左右的威脅來測試產(chǎn)品的防護能力，而無法得知具體范圍。要知道，業(yè)界當(dāng)時具有CVE編號的漏洞數(shù)量就有近7萬個，想從這么多漏洞中準(zhǔn)確覆蓋那2000個威脅，無異于大海撈針。也許有人會說，全都覆蓋不就行了嗎？其實，想要檢測每一個威脅，需要準(zhǔn)確了解對應(yīng)漏洞的技術(shù)細(xì)節(jié)。而要想全部覆蓋這7萬個漏洞，技術(shù)上無法實現(xiàn)。樂觀估計我們能夠獲得技術(shù)細(xì)節(jié)的不足4000個，以現(xiàn)有人力短期內(nèi)不可能完成。

　　針對這個問題，安全平臺TDT經(jīng)理張進軍和LM焦軍召集安全領(lǐng)域的專家進行了頭腦風(fēng)暴，討論各種縮小范圍的方法，最終確定按照漏洞的嚴(yán)重程度，優(yōu)先覆蓋各友商公共的部分。

　　另一個重要的動作，是對研發(fā)團隊進行“松土”。當(dāng)時很多人對這個測試的可行性存有疑慮，安全分析團隊的PL顧子強、SE李世光為大家進行了詳盡的測試方法學(xué)分析和客觀的工作量評估，逐一解答大家的疑問。很快，目標(biāo)達(dá)成一致，大家擰成一股繩。

　　之后就是緊鑼密鼓的準(zhǔn)備了，過程艱辛，無以言表，相信每一個研發(fā)人都深有體會。很快到了2013年底，朱清亞、韓旭飛往遙遠(yuǎn)的Austin（奧斯汀），進行現(xiàn)場測試支撐。前三天是協(xié)助NSS Labs的測試工程師進行環(huán)境的搭建，過程有驚無險，當(dāng)設(shè)備正常跑起來后，NSSLabs要求廠家工程師不得留在現(xiàn)場，以排除廠家對測試結(jié)果的影響。

　　我們唯一能做的只有等待，而等待是無比的煎熬。終于，2014年1月18日NSS Labs通知我們測試結(jié)果：防躲避99%通過，我們最關(guān)心的安全有效性測試結(jié)果為80.9%！

　　說實話，在測試之前，我們覺得如果結(jié)果能高于60%就及格了。結(jié)果高于我們預(yù)期，大家喜極而泣！這極大地增強了大家的信心，目標(biāo)雖然不是近在咫尺，但也不再遙不可及。

　　因準(zhǔn)備不足，我們放棄了在2014年的公開測試。但我們決定參與2015年9月初的公開測試。在這之前，為了進行能力摸底，我們決定在2015年5月做一次私有測試。由于有了第一次的經(jīng)驗，這次私有測試比較順利，7月公布的最關(guān)鍵的兩個測試項，其中防躲避用例100%通過，安全有效性得分90.3%。

　　盡管測試結(jié)果已非常接近最終目標(biāo)（安全有效性得分95%以上），但研發(fā)團隊的壓力絲毫沒有減輕，因為越接近目標(biāo)，向上提升的難度越大了。

　　在剩下的不到兩個月的時間里，研發(fā)團隊為了提升最終的安全有效性結(jié)果付出了大量的努力。深入分析每一個可能的漏洞，不放過任何一個可疑的地方，到8月底時，我們已經(jīng)準(zhǔn)備好了測試的版本，對結(jié)果很有信心。

　　但一件意想不到的事情發(fā)生了。NSSLabs通知我們臨時刷新了2015年的測試方法，新增了2015年威脅測試包，由于我們是第一個測試，可以提供列表給我司，但響應(yīng)時間僅有一個月。

　　怎么辦？我們只能接受挑戰(zhàn)！然而，一波未平，一波又起，意想不到的更大挑戰(zhàn)還在后面。9月中旬，NSS Labs再次通知，在2015年的公開測試中，將引入高級網(wǎng)絡(luò)預(yù)警系統(tǒng)（Cyber Advanced Warning System，CAWS），以測試各家防火墻產(chǎn)品針對網(wǎng)絡(luò)真實攻擊的攔截能力。這個系統(tǒng)從NSSLabs部署于全球的蜜網(wǎng)系統(tǒng)中實時采集真實的攻擊流量，每天多則數(shù)百個樣本，少則幾十個樣本，向各家防火墻進行重放，根據(jù)測試結(jié)果定時生成各產(chǎn)品攔截的對比報告，用戶（需訂閱）可以查看該報告，作為產(chǎn)品選購的參考依據(jù)。同時，NSS Labs告知我們，CAWS系統(tǒng)的測試結(jié)果將至少占安全有效性得分的50%。這真的是考驗各產(chǎn)品背后安全團隊的分析能力和響應(yīng)速度！

　　開弓沒有回頭箭，即使前面是“刀山火海”也要硬著頭皮上了。9月底NSS Labs將華為USG6650部署到了CAWS系統(tǒng)中，并給了我們一周左右的時間預(yù)測試。設(shè)備部署進去的第一天下午，威脅攔截率維持在80%左右，到了晚上，就掉落到50%，此后幾天一路向下，最低下探到12%左右。

　　看著CAWS攔截率不斷下降，大家都心急如焚。研發(fā)的小伙伴們在有限的時間內(nèi)對多達(dá)3萬個攻擊樣本緊急進行人工分析，不斷總結(jié)攻擊規(guī)律，提取攻擊特征；同時持續(xù)進行頭腦風(fēng)暴，共享分析思路，群策群力識別分析短板，在進度壓力極大的情況下，敢于投入人力開發(fā)輔助分析工具，大幅提升了分析的效率。

　　經(jīng)過兩周左右的攻堅戰(zhàn)，CAWS系統(tǒng)中設(shè)備的攔截率慢慢回升，并在十月中下旬回升到90%以上。由于每天都會有大量的新增樣本，安全分析團隊絲毫不敢懈怠，在此后長達(dá)4個月的時間里，每天都有人值守，使得任何問題都能得到快速響應(yīng)。

　　我們的努力得到了回報，在2015年11月之后，截至目前，華為NGFW產(chǎn)品的現(xiàn)網(wǎng)威脅攔截率一直維持在99%+的超高水平，在所有參與測試的產(chǎn)品中名列前茅。

　　終于，2016年2月29日，NSS Labs公布了2015年NGFW群組測試結(jié)果。華為USG6650下一代防火墻通過了全部測試項，尤其在安全有效性方面表現(xiàn)出色，在NSS Labs選取的兩個月的測試窗口內(nèi)，USG6650 CAWS系統(tǒng)真實攻擊平均攔截率達(dá)到了99.95%；綜合安全有效性亦達(dá)到了98.1%，在13款測試產(chǎn)品中位居第四。

　　“華為下一代防火墻的表現(xiàn)令人印象深刻。”NSS實驗室首席執(zhí)行官VikramPhatak談到，“這款產(chǎn)品的安全性、性能、穩(wěn)定性都達(dá)到業(yè)界優(yōu)秀水平。它擁有卓越的安全價值，獲得NSS實驗室‘推薦級’當(dāng)之無愧。”