McAfee IntruShield入侵防护系统测试

　　为了考验NP/ASIC架构的性能，我们创建了一个稳定的背景流，然后模拟攻击。通过观察在处于标称吞吐量边缘的IntruShield 2600对攻击的报告情况来确定这款产品的实际吞吐性能。

　　我们采用思博伦通信的Avalanche和Reflector，制造了一个约等于600Mbps的HTTP流量，然后依然沿用功能验证中的攻击检测方法对IntruShield 2600进行了测试。在标称的600Mbps吞吐量下，IntruShield 2600居然能一个不漏地检测到攻击，这一测试结果一方面肯定了这种基于NP和ASIC混合平台的优势，另一方面，也说明了这款产品在标称的吞吐量下，还保留了一部分处理能力，用于应付突发的流量对系统正常运作带来的影响。

　　测试总结

　　由于采用了NP/ASIC架构，在进行大数据量的协议分析时，这款产品表现出了非常强的吞吐性能，使得阻断攻击这一独特的功能没有受到任何影响。因为这款产品主要聚焦在4到7层的攻击类型，在测试中，我们并没有看到太多基于一些3层以下的入侵检测和阻断手段。不过，在后来我们采用Nessus端口扫描工具进行变形逃逸测试时，发现这款产品对于SynScan等扫描入侵手段能够进行检测，但是需要配合防火墙来更彻底地杜绝这类攻击。由此证实了我们的推断，单一的SynScan或者Flood攻击对于系统是没有攻击性的，并且由于这类攻击非常简单，不需要IPS进行复杂的协议分析，只需要在侦测出攻击后，通过和防火墙联动，由防火墙就能进行处理。

　　通过对IntruShield 2600进行测试，我们发现:IPS是对IDS的增强和延伸，能够弥补和防火墙之间的空白，而不是简单地对防火墙和IDS进行融合的结果。

　　IntruShield 2600

　　产品亮点

　　● 在1U厚度实现2个千兆光口，6个铜缆百兆端口的入侵阻断系统，所有端口可以灵活配置，完全逻辑隔离。

　　● 能够快速进行安装部署，支持分布式部署管理。

　　● 完善的检测引擎，没有漏报一个测试样例中的攻击。

　　● 高性能的吞吐能力，能够在高达600Mbps的HTTP背景流下正常工作。