一位来自客户公司自以为无所不知的员工宣称,他们的外围防御措施——包括防火墙在内——中存在着令人不齿的缺陷。因此,公司需要尽快部署下一代防火墙(NGFW)。
在倾听客户讲述这件事情的时间,我几乎就要当场作出回答了。但这一次,我终于做到了仅仅只是在认真倾听。除此之外,所面临的实际问题依然是如果这位员工所说的内容是正确的该怎么办?由于对该问题没有足够了解,我决定开始对下一代防火墙(NGFW)进行深入的了解。为此,我甚至专门撰写了一篇文章来对从中学到的东西进行介绍。
在撰写这篇文章之前,有一个问题出现在了我的面前:下一代防火墙都属于结构非常复杂的多功能设备,这导致进行测试的难度变得非常大。人们不能仅仅将设备安装起来,就呆在那里旁观事情的发生。除此之外,我也恰巧认识一位可以提供帮助的专业人士。
我需要一些帮助
他就是软件与数字设备研究与测试公司NSS实验室的创始人兼首席执行官里克·莫伊。几年前,我将NSS实验室加入到自己的关注列表中。而选择这么做的理由就是NSS实验室属于完全自主的中立机构。里克在这方面的态度非常坚决:
最重要的就是,这意味着NSS实验室的使命就是向信息技术公司提供他们花费数百万美元购买产品基于测试结果的无偏见评价。我们的职责不是简单地“证明”这些产品可以做什么,而是找出它们不能完成什么工作,或者其中的极限在哪里——这经常会导致供应商非常恼火。
基本上,我们的职责是为所服务的客户——信息技术公司提供支持。不象其它分析师和测试实验室,我们在进行研究或制作公共测试报告的时间不接受赞助或资助。
读者如果希望了解有关NSS实验室更多信息的话,可以看看YouTube上的这段视频。
基于现实环境的全面测试
在看完这段视频后,大家可能就会发现让我着迷于NSS实验室的某些原因。里克和他的团队采用了独特的方式来对设备以及软件进行测试。一有可能,他们就会针对现实环境进行取样。对此,里克是这么解释的:
在基于现实环境的全面测试中,最关键的部分就是采用目前网络犯罪分子正在使用的实时攻击技术。而NSS实验室分布在全球的威胁情报网络正在对40个不同国家里的威胁态势保持着持续监视。
现实环境中发生的问题可以直接反馈到我们的现场测试工具上。这样的话,我们就可以让产品同时运行在各种配置上,并针对连接到互联网上出现的实时威胁攻击进行测试。这种模式让我们可以实现防范来自任何特定时刻中现实威胁的目标,并针对用户保护情况作出最准确的评估。
据我所知,没有其它测试机构可以做到这一点。为了确保没有记错,我特地询问里克以便确定:
是的,我们确实属于独一无二的选择。首先,其它测试机构(实验室和企业技术团队)没有建立起这么高级别的可见性或访问技术来应对全球性威胁。他们通常采用的是功能和方式有限的免费或现成产品。
而我们所使用的现场测试工具则属于完全自主设计和内部开发的。建立并运行这种类型的基础设施就意味着大量复杂工作以及高昂成本。对于供应商赞助的测试实验室来说,技术和财务方面的限制都会让这种高效自动化的处理流程无法得以实现。
大家现在明白了,为什么在涉及到防火墙问题的时间,我会毫不犹豫地直接联系里克的原因么。
下一代防火墙面对的测试环境
对下一代防火墙进行实际测试确实超出了我个人的能力范围,但对于NSS实验室来说,答案显然就是否定的——这里就是下一代防火墙测试方法的书面文档。对于正在认真考虑购买下一代防火墙的读者来说,我个人强烈建议仔细阅读一下这些资料。
从文件的一个章节中,我发现NSS实验室建立的测试网络非常有趣。
