2014年1月，NSS實驗室有史以來第一次正式公布數(shù)據(jù)中心場景的IPS公測結果，Sourcefire以其優(yōu)異的表現(xiàn)(高威脅阻擋率，高性能以及優(yōu)異的管理界面)又一次證明了其在安全領域的領導地位。連續(xù)六年被NSS實驗室評級IPS類評測“Recommended(推薦)”評級。

此次測試的Sourcefire 8290是目前為止NSS實驗室所見過的最高性能的IPS產品(事實上Sourcefire剛推出了更高性能的Firepower 8390，吞吐性能達到120Gbps)。此次評測Sourcefire的滲透攻擊阻擋率達到99.4 %，并100%有效防范了逃逸技術。

此次數(shù)據(jù)中心場景測試與以往的網(wǎng)絡邊界IPS測試有很大的不同。數(shù)據(jù)中心的IPS測試的重點是安全效率，處理性能，穩(wěn)定性，管理可用性和TCO(保護每兆流量的花費)。

NSS實驗室測試的獨特之處在于，現(xiàn)場漏洞測試。滲透測試工具測試了超過1,700個后門。此外，數(shù)據(jù)中心常用的一些衡量指標，例如UDP最大吞吐，連接處理能力(快速建立和拆除連接的速率)以及并發(fā)連接數(shù)等。因為這些指標都會從不同方面影響數(shù)據(jù)中心IPS的實際表現(xiàn)，所以也被作為測試項目。

在四個廠商測試中，Sourcefire的實際性能遠遠超過標稱的指標。

在NSS實驗室測試中，因為測試更接近真實流量，設備實際通常都達不到供應商標稱的吞吐率。然而，這個性能最高的數(shù)據(jù)中心IPS設備卻顯著超出其標稱的性能要求。

實際測試中，NSS實驗室發(fā)現(xiàn)Sourcefire的IPS設備處理能力達到136 Gbps，比廠商的標稱最高能力80Gbps高出了約58%。

擁有強大的性能，精準的阻擋率還不夠。作為一個安全產品，為了使其最大化的能夠幫助IT人員維護網(wǎng)絡安全，擁有更好操作及容易管理的管理平臺極為重要。而此次測試Sourcefire的管理平臺FireSIGHT在所有測試企業(yè)中，獲得了NSS實驗室最高的可用性評級。

Sourcefire的TCO(每受保護Mbps花費) 仍然是行業(yè)最低。注意，報告上標注的13.55美元/受保護的Mbps, 這個值是基于80Gbps的評級 (標稱值 )- 實際上SourcefireIPS的TCO要低得多(因為實際吞吐為136Gbps)。NSS實驗室所有被測設備整體平均水平TCO為30美元/受保護的Mbps。

思科與Sourcefire在數(shù)據(jù)中心領域的強強聯(lián)合：

在數(shù)據(jù)中心安全領域，Sourcefire除了在安全性和性能上獲得高分，與思科數(shù)據(jù)中心結合，使其在數(shù)據(jù)中心安全領域獲得了無可匹敵的優(yōu)勢。

思科目前擁有整體數(shù)據(jù)中心交換機市場的70%以上份額，與Sourcefire的IPS結合，給企業(yè)極大的增加了IPS的整體價值，這個價值是任何其他競爭對手無法比擬的。因為相對于其他公司提供的獨立的產品，思科能夠將Sourcefire IPS集成進數(shù)據(jù)中心整體的解決方案，真正把IPS植入數(shù)據(jù)中心矩陣內。很快在思科新的數(shù)據(jù)中心架構ACI，將會看到Sourcefire的身影。

當前數(shù)據(jù)中心安全里，針對企業(yè)數(shù)據(jù)中心的最大安全威脅APT攻擊，Sourcefire同樣擁有非常優(yōu)秀的防御能力。其Advanced Malware Protection(高級惡意軟件防御)功能能夠回溯識別APT攻擊使用的惡意軟件，并經(jīng)由文件跟蹤功能，在其開始傳播前，就發(fā)現(xiàn)機構中的所有惡意軟件實例。

令人興奮的是，在NSS實驗最近發(fā)布的另外一個針對APT防御的測試，2014NSS實驗室BDS系統(tǒng)測試里，Sourcefire的高級惡意軟件防護(Advanced Malware Detection)獲得了NSS實驗室的“推薦評級”，被給予99.0%的整體違規(guī)檢測評分。

“高級惡意軟件防御”功能已經(jīng)與思科內容安全產品集成，為郵件安全產品ESA以以及Web安全產品WSA提供高級惡意軟件防護能力。給用戶提供了更多的選擇性。

FireSIGHT Defense Center是所有 Sourcefire安全解決方案的中央管理控制臺，它采用適合下一代解決方案的專利實時情景感知技術，可提供全面的可視性、事件關聯(lián)和安全自動化，來應對不斷變化的網(wǎng)絡狀況和新型攻擊。通過學習了解網(wǎng)絡中客戶端與服務器的內部信息，可以知道他們是否存在安全隱患，并能夠實時跟蹤并回溯各類“危險警示”，使企業(yè)能夠抵御非常復雜的安全威脅。

下一代入侵防御領域(NGIPS)以及與NGFW的大融合

過去10年，傳統(tǒng)IPS主要用來檢測并阻止,利用系統(tǒng)配置錯誤或漏洞的攻擊，深層包檢測就已經(jīng)進化到高效地檢測和阻止這些形式的攻擊。近些APT攻擊成為最大的安全隱患，因為其此類攻擊通常為商業(yè)利益驅動，攻擊者專業(yè)度高，而受害者帶來的危害極大。APT在攻擊過程中越來越多的利用社會工程學、0Day、Botnet、APT高級規(guī)避攻擊等多種技術手段。傳統(tǒng)IPS單純的基于已知漏洞簽名的深度包檢測技術已經(jīng)不能有效防護新型高級攻擊，NGIPS已經(jīng)到了一個必要的演進階段。

Gartner(國際權威信息技術研究咨詢公司)為下一代入侵防御(NGIPS)做了定義，NGIPS除了具有標準的第一代IPS功能以外，還需要具有應用可視及控制，情景感知(Context Awareness)，內容感知(Content Awareness)以及敏捷式引擎。

同時他們認為NGIPS正是為了解決在新興業(yè)務環(huán)境下出現(xiàn)的新型高級網(wǎng)絡攻擊而傳統(tǒng)IPS產品無法應對的問題。NGIPS的與傳統(tǒng)IPS核心的區(qū)別為是否具有自適應安全能力的敏捷式安全引擎，如此NGIPS才能夠實現(xiàn)周而復始不間斷的發(fā)現(xiàn)辨識網(wǎng)絡信息、學習并關聯(lián)信息、自動調整行動策略的自動防御能力。通過自動化智能的高級安全技術去抵御APT的專業(yè)攻擊者。

當前下一代防火墻(NGFW)和NGIPS的功能都越來越豐富，兩類產品非常多的功能重疊，未來甚至可能會完全融合。但現(xiàn)在，兩類產品還是側重點略有不同。

NGFW更多的是在傳統(tǒng)防火墻基礎長提高了應用可見性，方便了在Internet邊界場景下防火墻策略的設定。本質上，安全的防御級別還是在傳統(tǒng)的防火墻層面。雖然不少廠家加入了IPS功能，但是鑒于廠商的專業(yè)度以及側重點，IPS更多是一些傳統(tǒng)的IPS功能，IPS特征庫專業(yè)度不夠，最多只能做到可用狀態(tài)。

NGIPS側重點在自動高級安全防御，在防御安全威脅技術上對傳統(tǒng)IPS做了本質的提升，真正做到了自動防御。NGIPS也同時在往防火墻融合，不少NGIPS也帶有防火墻功能，術業(yè)有專攻，防火墻通常也只是做到了基本的TCP狀態(tài)機的狀態(tài)監(jiān)測，對于高級的ALG功能相對薄弱。

在思科收購Sourcefire以后，思科計劃將Sourcefire的NGIPS全部功能集成到當前全球市場占有率第一的ASA防火墻產品中。預計2014年8月推出此類產品。屆時，思科與Sourcefire強強聯(lián)合，ASA安全平臺將成為融了NGFW和NGIPS的下一代安全產品，從可視性及自動安全防御能力上都得到了本質的提升。