现场实录：绿盟科技细述NSS Labs认证之路

　　在当前的企业网络中，IPS已经成为不可或缺的组成部分，如何评价一款IPS产品的优劣好坏，从参数、价格、功能列表这些方面我们可以窥见一斑，但如何能够更加真实的了解IPS的各方面性能呢?相信对于IPS有着一定了解的网友都会想到NSS Labs。没错，NSS Labs正是全球权威的独立IPS测试认证机构，其严格的认证过程让很多国内外厂商望而却步，国内厂商也一直没有通过NSS Labs认证的IPS产品。

　　今年3月，这一状况得以改变，绿盟科技的NSFOCUS IPS通过了NSS Labs的严格认证，并且获得了最高等级的“推荐”评价，这也是目前国内唯一一款通过NSS Labs认证的安全产品。

　　对于NSS Labs的认证体系，中国的网友都非常的陌生，而绿盟科技的NSFOCUS IPS在NSS Labs认证的各个子项中的具体表现又是如何呢?为此，ZDNet安全频道邀请到了绿盟科技产品管理中心产品市场经理陈星霖与绿盟科技开发中心产品经理韩鹏来到我们的演播室，畅谈NSS Labs的认证体系与绿盟科技的NSFOCUS IPS产品。

　　以下就是陈星霖与韩鹏作客ZDNet时的现场文字实录：

　　揭秘NSS Labs的严格认证

　　绿盟科技通过NSS Labs的认证让陈星霖与韩鹏都倍感激动，现场我们也能感受到他们作为一个绿盟人的自豪感。NSS Labs认证的严谨与专业我们早有耳闻，绿盟科技亲临评测现场的工作人员们也为我们带来了NSS Labs认证的更多内幕。

　　ZDNet：首先恭喜绿盟科技的IPS通过NSS Labs高级别认证，很多网友都会关心NSS Labs高级别认证对于绿盟科技，有什么样的意义呢?

　　陈星霖(以下简称为陈)：谢谢!感谢各位媒体朋友对绿盟科技的关注。虽然绿盟NIPS通过NSS Labs认证已经稍有时日，但现在提起来还是让我们倍感兴奋。在入侵检测和防护领域，绿盟科技有近十年的研究和沉淀，NSS认证只是这个历程中的一件新鲜事儿，是个大事件，但也是必然的。早在2005年我们推出国内第一款NIPS的时候，就已经瞄准了NSS Approved这个业界最佳评价标准。

　　作为国际上最知名的IPS评测机构，NSS Labs认证一直以严格、公正和权威，被人称颂。能够获得该机构的认证，并达到“推荐”级别，无疑是对绿盟NIPS一种最好的认可，同时也给多年来一直使用绿盟NIPS的用户吃了一颗定心丸，毕竟IPS的可用性和可靠性仍是目前争执最多的几个话题。

　　在绿盟NIPS获得NSS Labs鼎力推荐之前，业界仅有少数几家国际顶级安全厂商的NIPS获此殊荣，由此，绿盟科技自主研发的NIPS产品成为国内安全厂商中唯一获得该权威机构认证的产品，也将成为绿盟科技全力拓展国际市场的一把利刃。

　　ZDNet：刚才提到NSS Labs“推荐”级别，请介绍一下NSS Labs认证的基本情况，都包含哪些级别，这些级别又有什么不同?

　　陈：绿盟科技本次获得Recommended级别认证，也就是“推荐”级别。在2009年之前的NSS Labs的测试方案中，产品认证分为golden、approved和tested三个级别，从2009年起，NSS Labs升级测试方案到了6.0版本，在这个版本中，重新定义了产品的级别，分为"推荐"，“中立”，“谨慎”，这三个级别的不同之处在于：

　　推荐，是指产品在测试过程中表现良好，NSS Labs认为这类产品在实际应用中，不会影响用户网络的正常运转，而且性价比较高，非常值得推荐，只有业界技术顶尖的产品才可以获得推荐级别。

　　中立，是指产品在测试中表现不错，如果已经部署，那么可以继续用，在采购时也值得考虑。

　　谨慎，是指产品表现不佳，已经部署这类产品的组织需要重新审视其安全态势，包括可能的替代产品。

　　看得出，NSS Labs在为用户推荐IPS产品时，还是非常谨慎的，一般被评价为“推荐”级别的产品，更容易让人放心。

　　ZDNet：NSS Labs与国际、国内众多测试机构有什么不同，它的主要特点是什么?为什么说NSS Labs是国际上最权威的IPS测试机构?

　　陈： NSS Labs是一家专注于安全的独立测试机构，它在IDS/IPS的测试领域有多年的经验和积累，是这个领域公认的最权威测试机构。

　　NSS Labs的测试最终目标是为用户选择产品提供专家意见，以用户为中心，整个测试方案的设计都基于这个核心理念，然后再从安全专家的角度来对产品进行全面评估，这是和很多国内的测评不同的。

　　NSS Labs测试项目的第二个独特之处，整个测试方案及环境是在很多协作公司的共同配合下来完成的，使用业界最先进的测试设备及工具，再结合NSS Labs在安全领域内的多年经验，形成目前这个业界公认最权威的测试方案。

　　第三点的独特之处是测试结果的评定隐含着一个字---"比"，对产品的评定不是有一个类似及格线的符合性测试，而是要和全球范围的厂商来进行对比，评估你的产品落在哪个区间内，才授予你哪种级别的评定。这也是在帮用户挑选相对更好的产品。

　　最后一点是NSS Labs测试方案非常严格，甚至有些残酷。每个环节都非常细致，和国内很多测试相比感觉非常明显，这一点我们的现场测试人员感触颇深，一会儿可以让韩鹏谈谈。

　　ZDNet：针对IPS，NSS Labs的主要测试项目都包括什么?这些测试项目是否覆盖一款优秀IPS的评判标准?

　　陈：测试项目包括安全有效性测试，规避检测测试，性能测试，稳定性测试和TCO等测试项，这些项目直指IPS产品的最核心功能。通过测试并获得推荐的IPS产品，确保能够为用户提供最大限度的防护能力，且不会影响用户网络和业务的正常运转。这些测试项目非常到位，本质上就测两个东西，是不是有用(安全有效性，规避)和能否部署到企业的网络中去(性能，稳定性，TCO)，用户选择IPS，其实也是在这两个东西上做选择。

　　当然，除了NSS Labs涉及的一些关键性测试项目，评判一款优秀的IPS，还需要综合考虑其它一些因素。例如HA、BYPASS等可靠性测试，网络适应性测试，例如路由、NAT的部署模式，对于802.1Q、RIP等协议的支持能力。安全厂商对于IPS的支持和维护力度也是要评估的，就像防病毒产品一样，IPS需要定期更新检测规则，针对最新的安全威胁，要及时发布解药，这样才能确保产品具有较高的安全有效性。

　　不逊国际一流产品的NSFOCUS IPS

　　NSS Labs的测试过程子项繁多，极为细化，并且与实际应用环境高度吻合，这就能过评测中一款产品在理论和实际环境下的真实表现。在这种标准下，我们非常高兴的看到了，绿盟科技的产品还是表现的非常优越，完全不逊色于任何国际知名大厂的产品。

　　ZDNet：绿盟NIPS在安全有效性、处理性能，以及可靠性等测试项目上，表现如何?

　　韩鹏(以下简称为韩)：绿盟NIPS在安全有效性，规避测试，性能及可靠性上表现非常好，安全有效性跟NSS Labs的其他参测厂商相比表现非常突出，反规避测试方面我们是全球仅有的几个通过厂商之一,性能和可靠性的表现也非常好。NSS最后对我们产品的评价是“NSFOCUS IPS的管理非常简单，直观得让人惊讶，加载有效的预定义防护策略后，它能够被快速部署到企业网络之中，”、“基于NSFOCUS IPS行业领先的应用安全防护能力，卓越的千兆处理性能，以及杰出的总体拥有成本(Total Cost of Ownership)，这款产品非常值得用户考虑”。

　　ZDNet：针对“规避逃逸检测”的安全有效性测试，以前国内很少出现，绿盟NIPS第一次面临这项测试，有什么挑战?和我们网友们谈谈测试结果和心得。

　　陈：其实，TCP/IP协议的规避技术，早在1998年发表的论文《Insertion, Evasion, and Denial of Service : Eluding Network Intrusion Detection》中就已经被详细的描述。然而，目前大多数的IPS产品仍未具备完善的数据重组能力，这给入侵成功创造了很大空间，这点我也存有疑问，还是请韩鹏介绍一下NSS“反规避测试项目”的基本情况吧。

　　韩：目前，针对IDS/IPS的逃逸攻击愈发复杂，传统的IDS/IPS产品已经难于防范。NSS“反规避测试项目”是我们见过的业界最全面的IPS产品反规避测试，包括五大类几十个小项，哪怕你一个小项没有通过也会被认为是反规避测试失败，而且里面很多项像rpc分片和ftp逃避都是国内测试罕见的，这对我们整个技术团队来说是非常大的挑战。

　　例如ms-rpc和sun/onc rpc都允许应用程序以分片方式发送请求，这些分片在服务器内部被重组为完整请求形式，攻击者通过不同程度的rpc碎片和不同的tcp传输机制进行组合后，可以构造出很复杂的规避方式。例如在单tcp数据包中发送所有分片，在不同tcp数据报内发送不同范围的分片等等，这种将特征信息打散的技术将使传统的基于包特征匹配的方式很难处理，要求IPS不但要有底层协议进行精确解析，还需要有非常细粒度的应用层协议处理能力。

　　绿盟科技在设计IPS产品的时候，全面地考虑了这种规避攻击的对抗思路。我们设计了完整的细粒度协议解码引擎和完备的协议异常控制结构，第一时间对非法协议数据进行处理。

　　绿盟NIPS还拥有高效的多层数据包重组策略，可以同时处理多种模式的分片数据包。在性能最优化设计方面，有效地降低了规避处理过程对引擎性能的影响。而基于强大而完善的协议解析引擎和多年来在入侵检测/防御的深厚技术沉淀，我们完美地通过了NSS Labs的规避测试。

　　ZDNet：除了检测率，性能是NSS Labs非常关注的，能否谈谈其独创的real world测试方法?

　　韩：在real world测试方法之前主流的对IPS的性能测试是通过rfc2544来进行的，rfc2544是防火墙的测试标准，测试的是转发能力，时延等二三层性能指标，这其实并不是测试IPS设备的真正实际处理能力，而是测试快慢路径里面快路径的转发速度，测试的是设备什么都不做时的性能指标。

　　随着入侵检测及防御功能的复杂化，rfc2544已经不能衡量设备在真实网络环境下的性能表现了，因此NSS Labs推出了“Real World”测试方法，这种测试方法采集真实网络环境流量来构建测试用例，测试设备在安全功能全开启情况下的真实性能表现。

　　Real World根据IPS设备在网络拓扑中的部署位置：边界网关和核心网关来分别构建两种情况下的网络典型流量分布，把各种网络协议按照一定对比来进行混合，仿真出真实网络环境下的网络流量，然后测试在这个流量下设备的表现。

　　NSS Labs的流量选取也是经过一番调研才确定的，边界流量中以HTTP流量为主，又细化为HTTP静态页面、小图片、大图片和视频音频流等细化流量，DNS流量也较多，非常符合企业边界流量的协议分布。再看核心流量，明显增加了smb文件传输的流量，这也很符合目前企业内部网流量分布的现状，会比较多地用smb共享的方式来拷贝文件。

　　ZDNet：NSS Labs对于绿盟科技IPS的管理方便性给予了很高的评价，能介绍一下，在管理上，我们的产品都有哪些特色，尤其重要的是是否能够提升管理的效率?

　　陈：IPS和IDS的使用问题在国内一直困扰着用户，作为一类非常专业的产品，想要用好它不是一件容易的事儿。很多时候，光是要读懂《用户使用手册》，都需要凭借读者极佳的理解力和想象力，更别提上线、配置和运维了。看不懂、用不好，最后变成不好用，这也是很多人纠结于要不要买IPS的一个主要原因。NSS Labs非常关注用户感知，他们在评价IPS的时候，在产品的管理能力方面，也提出了诸多要求，请韩鹏再介绍一下。

　　韩：可管理性的测试是通过和其他产品的对比来进行的，NSS Labs从用户角度出发来评判产品的易用性，具体的量化是根据TCO的估算来完成的，就是一个熟练的工程师在部署，维护阶段所花费的时间估算来计算用户的总体拥有成本，NSS Labs有足够丰富的经验来确定产品在IPS领域内的易用性的程度，这也是和国内对于可管理性的测试方法的最大的不同。

　　通过NSS Labs认证让绿盟更上一层楼

　　通过认证意味着对与绿盟科技产品的肯定，正如陈星霖在采访开始时谈到的，这也为已有的绿盟科技的客户吃下一颗定心丸。之后，会有更多的人对与绿盟科技的产品给予肯定，绿盟科技在国际市场也会拥有进一步的发展空间。

　　ZDNet：绿盟科技能够通过NSS LabS的认证，也是对绿盟技术研发团队的认可。那么这样的成绩对于绿盟科技的研发团队意味着什么?背后还有哪些故事可以分享?

　　韩：在长期坚持不懈的努力后，绿盟科技在网络安全产品的技术领域已经向全球顶级厂商又近了一步，不仅对我们绿盟科技的研发团队，对整个中国网络安全领域的研发人员都是一个非常大的激励，我们中国人也能做出技术一流的网络安全产品。

　　绿盟科技的研发团队是一个即年轻又成熟的团队，之所以说年轻，因为我们参与IPS产品开发的核心人员虽然年纪不大，但都很成熟，因为我们是中国第一款IPS产品的创造者，我们在安全领域有超过10年的沉淀和积累，我们很自信。

　　在NSS测试之前，绿盟科技的整套产品研发流程已经可以确保NIPS产品的自动化质量评估，包括攻击测试，规避测试，性能测试，稳定性测试都可以全自动流程化进行，每天早上开发人员和测试人员会收到前一天夜里自动生成的质量评估报告，这样一来，整个研发团队处于一个高效率的工作状态，这也是我们通过NSS Labs测试的一个杀手锏。

　　ZDNet：作为一个国际性的高标准认证，绿盟科技通过NSS Labs的认证对于绿盟科技进一步开拓海外市场会带来什么样的帮助呢?

　　陈：国际化是绿盟科技一个坚定不移的长期目标，早在2006，绿盟科技已经将“在全球范围内提供基于自身核心竞争力的企业级安全解决方案”纳入了公司战略。2007年，公司正式成立国际拓展部，开始参加一系列国际顶级的安全峰会，如英国InfoSec2007安全展会，2008年至今年，连续三年参加美国RSA安全盛会，日本IST展会，新加坡的亚洲电信展。

　　在绿盟NIPS获得NSS Labs认证之前，其实公司的另外一款明星产品——“安全漏洞远程评估系统”就已经获得过另外一项国际认证 —— 西海岸实验室WCL认证。国内安全产品获得国际权威认证，一方面有助于提高产品的品牌影响力和竞争力，促进海外销售，另外一方面也证明了一点，国际顶级安全厂商能做的事情，我们中国人也能做得很好。

　　除了技术方面的权威认证，绿盟NIPS还获得了一系列市场方面的国际奖项，例如Frost & Sullivan授予我们的“国内IDS/IPS市场领导者奖项”。

　　随着我们的NIPS获得NSS labs的高级别认证后，用户对于我们产品的认可与信赖进一步增强，目前我们在国内市场的销售形势不错，估计不长时间，一些中立的咨询机构会发布相关市场占有的客观数据，我想我们一定会在前列吧。

　　ZDNet：你觉得会是第一吗?

　　陈：这要看第三方研究机构的数据研究，我想名次一定不会差，等我们拿了头名后，我会请你吃饭。(笑)当然，这一切只是让我们朝着国际市场更迈进了一步。近期，绿盟科技美国分公司和日本分公司将分别成立，吹响了全面进军海外市场的号角。

　　ZDNet：在获得NSS Labs高级别认证之前，绿盟科技实际上已经获得了很多的国内安全行业的专业认证，如果国内有类似Gartner的魔力象限，我们是否可以认为，至少在国内，绿盟已经是安全领域内处于领导者象限的厂商了?

　　陈：呵呵，我们也希望国内有一家权威的市场调研、评测机构跳出来做“产品魔力象限”。要想进入Gartner IPS魔力象限，必须具备以下几个条件：

　　作为在线网关产品，必须具备线速处理能力;

　　产品具备数据包重组、还原以及检测能力;

　　产品采用多种检测技术和防护手段，包括且不限於：协议异常检测、特征匹配，以及行为关联分析;

　　阻断攻击不能只是简单的重置会话，丢弃会话不能因为混杂攻击，而丢弃后续所有正常数据;

　　过去一年，面向Gartner可见的行业客户，IPS销售额超过400万美元。

　　单从准入门槛和标准来看，绿盟NIPS进入Gartner魔力象限应该指日可待，我们需要时间和市场的检验。在中国市场，我们的安全产品有着较强的市场和技术影响力，我们希望更多的中国安全厂商能够走出国门，参与未来的全球化竞争!

　　全行业通用的解决方案

　　绿盟科技认为，国内的IPS行业在未来将会进入一个黄金十年阶段，新形态、新架构、新应用模式都会给这块市场带来新的生机。

　　ZDNet：从行业划分上来说，绿盟科技的IPS是否会比较适合于某类行业呢?我们的产品都能为企业带来哪些实在的好处?

　　陈：IPS作为一款通用类的安全产品，在国内的多个行业已经得到广泛应用。从2005年至今，绿盟NIPS的用户数已经超过数千家，覆盖运营商、金融、能源、政府、企业、教育，以及互联网等多个领域，为保障这些用户的网络安全做出了积极的贡献。

　　作为一款在线防护的网关型产品，绿盟NIPS首先能够为用户提供持续的应用安全防护能力，确保用户关键业务不中断地正常运转;其次，产品能够第一时间协助用户抵御最全面的安全威胁，实现安全效果最大化，基于用户上网行为的合规流量管理，还能够帮助企业更有效地实现法规遵从;最后，产品能够确保用户获得最佳IT安全投资收益，降低威胁管理的成本和复杂度。

　　一句话简而言之来说，就是安全、可靠、合规、省心和省钱。

　　ZDNet：作为推出国内首款IPS的厂商，在绿盟科技眼中，未来IPS的发展方向是怎样的?

　　陈：目前，安全威胁形势已经改变，全球性的安全疫情很难复现，区域性和定向攻击，在数量与精密度上势必持续升高;强制性感染已经成为常态，用户只要浏览到恶意网站就可能被感染;僵尸网络将永远存在;未来可能还会出现针对虚拟化与云计算环境的攻击方式;当互联网上的所有信息，包括企业网络和社区网络(Facebook、Twitter等)都承载着对我们有用的信息时，当利益已成为一切罪恶的诱因，网络犯罪不可能消失，未来十年将是信息安全的黄金十年。

　　作为国内IT安全市场中增长速度最快的一个子市场，IPS市场的未来十年生机无限。我认为，不断革新的产品技术，以及随需而变的产品策略，将推动IPS进入下一个黄金十年，IPS必然在产品形态、产品架构，以及应用模式等方面发生重大变革。

　　传统的安全网关在应对不断变化的混合型安全威胁，处理丰富的互联网应用时，已经显得力不从心，基于Botnet传播的安全威胁，新的Web 2.0应用，利用隧道技术的业务程序，都能够轻易绕开防火墙的封锁。

　　未来将出现趋于融合的下一代安全网关——NGSG(Next Generation Security Gateway)，面向安全威胁新趋势，专注于应用层防护的高性能安全网关，NGSG具有一系列特点，以适应未来3～5年的安全威胁防护趋势：

　　标准的防火墙特性：具备包过滤、网络地址转换(NAT)、状态协议检查和VPN等基本功能;

　　拥有较强的应用识别能力，不局限于端口和协议的识别，对于某些限制应用，如SSL加密会话，也能准确识别;

　　深度融合入侵防御(intrusion prevention)、内容控制(content control)和URL过滤(URL filtering)等多种功能;

　　基于用户身份(users by name)的会话识别和监控，而不仅仅通过IP地址进行判断;

　　具备10Gbps以上的在线处理能力，不会影响业务系统的正常应用。

　　在上述特性之中，应用安全防护是NGSG需要重点解决的问题。针对WEB、DNS、电子邮件、电子商务、VoIP和视频会议等各类应用的攻击监控，将成为未来应用安全防护的重点。

　　未来的IPS将在技术上继续发展，面向客户端防护，面向应用安全，从底层架构看，将和企业基础架构相融合，作为网络的一部分深度融入企业网络。当然，IPS、UTM，亦或是防火墙，都将只是NGSG发展史上的阶段性里程碑，尽管它们在限定的细分市场内，仍将保持一定规模的增长，但最终必将殊途同归，在不久的将来成为融为一体的下一代安全网关。