任何IPS產(chǎn)品的性能指標(biāo)測試必須要考慮到三種因素的影響：網(wǎng)絡(luò)性能、安全精確度和安全效率。
2003年1月25日絕非一個特別的日子，但是這一天應(yīng)該讓那些設(shè)計和管理企業(yè)級網(wǎng)絡(luò)的人士終生銘記。
這一天，MS-SQL Slammer病毒在格林威治時間5:30大肆發(fā)作，使得互聯(lián)網(wǎng)的等待時間增加了20%（幾乎是平常情況下的20倍）。到那一周的周末，Slammer病毒已經(jīng)感染了大約50萬臺服務(wù)器，對企業(yè)的內(nèi)部網(wǎng)產(chǎn)生了極大的破壞力量，使得眾多的電子商務(wù)交易不得不停滯下來，并嚴(yán)重影響了全球互聯(lián)網(wǎng)的服務(wù)。
在這次嚴(yán)重事件過后不到兩個月的時間內(nèi)，網(wǎng)絡(luò)構(gòu)建者被迫要面對許多類似Slammer病毒的惡意攻擊。目前流行的入侵檢測系統(tǒng)只能看作為企業(yè)防護(hù)的前沿，它雖然可以在受到攻擊時發(fā)出警報，但是企業(yè)的網(wǎng)管人員還必須依賴手工操作訪問各種控制列表，以便控制攻擊的擴(kuò)散和影響范圍。現(xiàn)在，網(wǎng)絡(luò)構(gòu)建者盼望已久的入侵防御系統(tǒng)（Intrusion-Prevention System,IPS）已經(jīng)出現(xiàn)。這類系統(tǒng)將會迅速成熟起來，它們能夠識別攻擊者簽名，并且能夠在攻擊入侵企業(yè)網(wǎng)絡(luò)之前將之檔在門外。雖然目前有一些可以衡量IPS性能的工具，但是沒有任何一種測試軟件可以真正描繪出IPS全部的性能藍(lán)圖。筆者認(rèn)為，任何IPS產(chǎn)品的性能指標(biāo)測試必須要考慮到三種因素的影響：
網(wǎng)絡(luò)性能、安全精確度和安全效率。
網(wǎng)絡(luò)性能指標(biāo)不能單獨(dú)成立，它必須包含多個指標(biāo)。在考慮IPS性能的時候，需要考慮總的通過量，即將IPS引入和通過系統(tǒng)的響應(yīng)時間計算在內(nèi)。我們也可以將IPS系統(tǒng)的會話設(shè)置速率作為衡量指標(biāo)之一，該速率應(yīng)該與LAN交換機(jī)建立和結(jié)束會話的速率相同。最后，需要IPS設(shè)備的用戶顯然還需要IPS系統(tǒng)能夠證明它可以實時地處理數(shù)據(jù)，提供與2層或者3層交換機(jī)同樣的性能。
除了網(wǎng)絡(luò)性能之外，還有安全性能需要考慮。我們還需要檢測IPS可以過濾的惡意攻擊的數(shù)量。很明顯，該系統(tǒng)可以屏蔽掉的攻擊數(shù)量越多，其性能就越好；當(dāng)然，我們還要考慮安全效率問題。也就是說，IPS不能創(chuàng)建虛假否定或虛假肯定的攻擊檢測機(jī)制，導(dǎo)致真的攻擊通過而合法的內(nèi)容卻被擋在門外。
我們需要重點研究IPS的性能，組織多家廠商探討這一課題，并在今后的文章中對IPS的性能測試結(jié)果加以介紹。(責(zé)任編輯：zhaohb)