您当前的位置是:  首页 > 新闻 > 国内 >
 首页 > 新闻 > 国内 >

背后的故事|华为下一代防火墙力压群雄获得殊荣

2016-04-25 09:20:21   作者:   来源:《华为人》   评论:0  点击cti:


  CTI论坛(ctiforum)4月25日消息(记者 李文杰):2月29日,全球最知名、最权威的安全研究和测评机构NSSLabs公布了其2015年NGFW(Next Generation Firewall,下一代防火墙)群组测试结果,在参与测试的12家厂商的13款NGFW产品中,华为公司的USG6650下一代防火墙通过了严苛的测试,以超高的威胁检出率、极具竞争力的性价比,获得“推荐”评价,出现在其公开发布的安全价值图(SVM)的黄金右上角位置。
  这是首次有中国品牌的下一代防火墙产品在NSS Labs公开测试中获其“推荐”。值得一提的是,这也是中国公司首次亮相NSSLabsNGFW公开测试,首次亮相便突出重围,取得惊艳的测试结果,表明中国网络安全产品和安全能力已经比肩世界一流厂商,意义十分重大。
  艰难上路
  2010年华为安全产品线启动下一代防火墙产品的技术预研,2011年正式立项,2013年初NSS Labs认证进入实操阶段。
  下一代防火墙包括传统的防火墙特性,如转发、路由、策略控制等,以及新兴的内容安全特性,如应用识别、入侵防护、病毒防护等,其中传统特性由防火墙产品开发团队承担,内容安全特性则由安全产品的能力中心安全平台承担。
  当时NSS Labs认证测试对我们来说是神秘的。神秘之处在于它的难度,只有少数几家国际顶尖的安全厂商获得过它的推荐,甚至国内只有一家参与过NSSLabs测试。通过多方面信息搜集了解我们仅对测试的形式、难度、工具和仪表、方法等有个大概了解。
  华为安全产品线大部分研发人员还是以做软件开发和版本交付为主,在最核心的攻防领域,能力积累有限,专业人才屈指可数。同时,由于组织结构的调整,由北京部分软件开发人员临时成立的威胁分析团队,开发经验丰富,但安全能力不足,好在团队具有清晰的工作思路,超强的战斗能力,快速具备了支撑产品成功的必要能力。
  艰辛初试
  NSS Labs测试分为两种,一种是基于单个厂商的私有测试(Private Test),结果只对厂商自己可见,厂商可以了解各项测试项的满足度。它每年还会组织一次免费的、公开的群组测试(Group Test),仅告知厂商测试方法,不会告知测试范围。测试结果公开发布,只有防护能力和性价比均处于平均线之上的产品,才会获得其“推荐”评价。
  很快,产品和平台联合成立了NSSLabs认证专项工作组,全力支撑该测试。经过多次与NSSLabs协商,最终将私有测试时间定在2013年的最后一个月。
  起步尤为艰难。NSS Labs测试包括:防火墙策略、网管、安全有效性、防躲避能力、性能、稳定性等。其中最大的挑战在于安全有效性测试,无章可循,我们仅能得知他们将用2000个左右的威胁来测试产品的防护能力,而无法得知具体范围。要知道,业界当时具有CVE编号的漏洞数量就有近7万个,想从这么多漏洞中准确覆盖那2000个威胁,无异于大海捞针。也许有人会说,全都覆盖不就行了吗?其实,想要检测每一个威胁,需要准确了解对应漏洞的技术细节。而要想全部覆盖这7万个漏洞,技术上无法实现。乐观估计我们能够获得技术细节的不足4000个,以现有人力短期内不可能完成。
  针对这个问题,安全平台TDT经理张进军和LM焦军召集安全领域的专家进行了头脑风暴,讨论各种缩小范围的方法,最终确定按照漏洞的严重程度,优先覆盖各友商公共的部分。
  另一个重要的动作,是对研发团队进行“松土”。当时很多人对这个测试的可行性存有疑虑,安全分析团队的PL顾子强、SE李世光为大家进行了详尽的测试方法学分析和客观的工作量评估,逐一解答大家的疑问。很快,目标达成一致,大家拧成一股绳。
  之后就是紧锣密鼓的准备了,过程艰辛,无以言表,相信每一个研发人都深有体会。很快到了2013年底,朱清亚、韩旭飞往遥远的Austin(奥斯汀),进行现场测试支撑。前三天是协助NSS Labs的测试工程师进行环境的搭建,过程有惊无险,当设备正常跑起来后,NSSLabs要求厂家工程师不得留在现场,以排除厂家对测试结果的影响。
  我们唯一能做的只有等待,而等待是无比的煎熬。终于,2014年1月18日NSS Labs通知我们测试结果:防躲避99%通过,我们最关心的安全有效性测试结果为80.9%!
  说实话,在测试之前,我们觉得如果结果能高于60%就及格了。结果高于我们预期,大家喜极而泣!这极大地增强了大家的信心,目标虽然不是近在咫尺,但也不再遥不可及。
  险象环生
  因准备不足,我们放弃了在2014年的公开测试。但我们决定参与2015年9月初的公开测试。在这之前,为了进行能力摸底,我们决定在2015年5月做一次私有测试。由于有了第一次的经验,这次私有测试比较顺利,7月公布的最关键的两个测试项,其中防躲避用例100%通过,安全有效性得分90.3%。
  尽管测试结果已非常接近最终目标(安全有效性得分95%以上),但研发团队的压力丝毫没有减轻,因为越接近目标,向上提升的难度越大了。
  在剩下的不到两个月的时间里,研发团队为了提升最终的安全有效性结果付出了大量的努力。深入分析每一个可能的漏洞,不放过任何一个可疑的地方,到8月底时,我们已经准备好了测试的版本,对结果很有信心。
  但一件意想不到的事情发生了。NSSLabs通知我们临时刷新了2015年的测试方法,新增了2015年威胁测试包,由于我们是第一个测试,可以提供列表给我司,但响应时间仅有一个月。
  怎么办?我们只能接受挑战!然而,一波未平,一波又起,意想不到的更大挑战还在后面。9月中旬,NSS Labs再次通知,在2015年的公开测试中,将引入高级网络预警系统(Cyber Advanced Warning System,CAWS),以测试各家防火墙产品针对网络真实攻击的拦截能力。这个系统从NSSLabs部署于全球的蜜网系统中实时采集真实的攻击流量,每天多则数百个样本,少则几十个样本,向各家防火墙进行重放,根据测试结果定时生成各产品拦截的对比报告,用户(需订阅)可以查看该报告,作为产品选购的参考依据。同时,NSS Labs告知我们,CAWS系统的测试结果将至少占安全有效性得分的50%。这真的是考验各产品背后安全团队的分析能力和响应速度!
  开弓没有回头箭,即使前面是“刀山火海”也要硬着头皮上了。9月底NSS Labs将华为USG6650部署到了CAWS系统中,并给了我们一周左右的时间预测试。设备部署进去的第一天下午,威胁拦截率维持在80%左右,到了晚上,就掉落到50%,此后几天一路向下,最低下探到12%左右。
  看着CAWS拦截率不断下降,大家都心急如焚。研发的小伙伴们在有限的时间内对多达3万个攻击样本紧急进行人工分析,不断总结攻击规律,提取攻击特征;同时持续进行头脑风暴,共享分析思路,群策群力识别分析短板,在进度压力极大的情况下,敢于投入人力开发辅助分析工具,大幅提升了分析的效率。
  经过两周左右的攻坚战,CAWS系统中设备的拦截率慢慢回升,并在十月中下旬回升到90%以上。由于每天都会有大量的新增样本,安全分析团队丝毫不敢懈怠,在此后长达4个月的时间里,每天都有人值守,使得任何问题都能得到快速响应。
  我们的努力得到了回报,在2015年11月之后,截至目前,华为NGFW产品的现网威胁拦截率一直维持在99%+的超高水平,在所有参与测试的产品中名列前茅。
  修成正果
  终于,2016年2月29日,NSS Labs公布了2015年NGFW群组测试结果。华为USG6650下一代防火墙通过了全部测试项,尤其在安全有效性方面表现出色,在NSS Labs选取的两个月的测试窗口内,USG6650 CAWS系统真实攻击平均拦截率达到了99.95%;综合安全有效性亦达到了98.1%,在13款测试产品中位居第四。
  “华为下一代防火墙的表现令人印象深刻。”NSS实验室首席执行官VikramPhatak谈到,“这款产品的安全性、性能、稳定性都达到业界优秀水平。它拥有卓越的安全价值,获得NSS实验室‘推荐级’当之无愧。”

专题