IPS:互联网安全的盾牌

　　任何IPS产品的性能指标测试必须要考虑到三种因素的影响：网络性能、安全精确度和安全效率。

　　2003年1月25日绝非一个特别的日子，但是这一天应该让那些设计和管理企业级网络的人士终生铭记。

　　这一天，MS-SQL Slammer病毒在格林威治时间5:30大肆发作，使得互联网的等待时间增加了20%（几乎是平常情况下的20倍）。到那一周的周末，Slammer病毒已经感染了大约50万台服务器，对企业的内部网产生了极大的破坏力量，使得众多的电子商务交易不得不停滞下来，并严重影响了全球互联网的服务。

　　在这次严重事件过后不到两个月的时间内，网络构建者被迫要面对许多类似Slammer病毒的恶意攻击。目前流行的入侵检测系统只能看作为企业防护的前沿，它虽然可以在受到攻击时发出警报，但是企业的网管人员还必须依赖手工操作访问各种控制列表，以便控制攻击的扩散和影响范围。现在，网络构建者盼望已久的入侵防御系统（Intrusion-Prevention System,IPS）已经出现。这类系统将会迅速成熟起来，它们能够识别攻击者签名，并且能够在攻击入侵企业网络之前将之档在门外。虽然目前有一些可以衡量IPS性能的工具，但是没有任何一种测试软件可以真正描绘出IPS全部的性能蓝图。笔者认为，任何IPS产品的性能指标测试必须要考虑到三种因素的影响：

　　网络性能、安全精确度和安全效率。

　　网络性能指标不能单独成立，它必须包含多个指标。在考虑IPS性能的时候，需要考虑总的通过量，即将IPS引入和通过系统的响应时间计算在内。我们也可以将IPS系统的会话设置速率作为衡量指标之一，该速率应该与LAN交换机建立和结束会话的速率相同。最后，需要IPS设备的用户显然还需要IPS系统能够证明它可以实时地处理数据，提供与2层或者3层交换机同样的性能。

　　除了网络性能之外，还有安全性能需要考虑。我们还需要检测IPS可以过滤的恶意攻击的数量。很明显，该系统可以屏蔽掉的攻击数量越多，其性能就越好；当然，我们还要考虑安全效率问题。也就是说，IPS不能创建虚假否定或虚假肯定的攻击检测机制，导致真的攻击通过而合法的内容却被挡在门外。

　　我们需要重点研究IPS的性能，组织多家厂商探讨这一课题，并在今后的文章中对IPS的性能测试结果加以介绍。(责任编辑：zhaohb)