1.中高端用户需求的变化出于业务系统本身的重要性考虑，中高端用户对于系统本身的高性能、高可靠性和功能的专业性等更为关心。一方面，用户不希望安全产品成为其中的性能瓶颈，而企业本身的大流量数据客观上对于性能提出了更高的要求，出现万兆甚至数十万兆的服务需求。另一方面，业务系统或者数据中心成为防护的重点，典型如企业的办公自动化系统，生产订单管理系统，供应链和财务体系等部门的业务服务器等，其系统遭受到攻击导致的系统瘫痪将对企业生产运营有非常严重的危害。

　　对于以上的安全防护，除了基础的安全域隔离之外，针对业务系统的安全漏洞产生的攻击防护变得尤其重要，此时FW和IPS入侵防御往往成为企业安全防护的主要技术手段。这也是下一代防火墙（NGFW）的概念中FW和IPS的功能往往被重点提及的原因。应该说这种FW和IPS特性的集成，在一定程度上可以简化企业的安全部署和实现一体化的管理，这自然是符合用户的期望。

　　2.“FW+IPS”的现实难题业界厂商及第三方的咨询机构去研究或是试图去定义新的安全产品形态，并形成了一些对于下一代防火墙产品的初步定义，其中就包括在防火墙产品中集成IPS特性的这个技术点。这一定义积极的一方面是它在理论规划上满足了用户的期望，但是在实现方式和效果上，仍然存在明显的技术缺陷需要解决。

　　·专业性不足，漏报率高高性能、高可靠以及专业的功能是用户对安全最关键的技术要求，尤其是针对诸如IPS这种需要进行深度报文过滤的系统，其本身的技术实现方式并没有成型的技术标准，不同厂商在实现方式上的差异很可能导致相差悬殊的检测效率和性能表现。与独立的IPS设备相比，大多数厂商宣称的通过软件集成方式将FW和IPS进行集成的实现方式，在专业性上存在不足。

　　众所周知，IPS产品核心的能力体现在多层次化的检测引擎、高效的匹配算法、丰富的特征库数目、以及对未知特征的快速分析和响应。专业的IPS设备，在层次化引擎处理方面，包含基础的基于正则表达式的固定字符串特征匹配、异常协议的分析检测、基于自学习流量模型的异常流量检测、针对未知特征的虚拟机模拟检测、以及借助IP信誉技术对访问内容的安全威胁预警等技术手段。这些技术手段的实施，在有效保证检测准确率的同时，对处理器资源也有非常严重的消耗，导致设备的性能无法轻易达到万兆以上。而通过软件集成到FW中的IPS特性，出于对性能的考虑，无论是在威胁检测的方式或是有效的特征库数目方面，和专业的IPS设备相比差距很大。部分厂商在实现过程中，为了获得相对较高的吞吐性能，对于大部分的流量，只是采取简单的基于固定字符串的模式匹配，甚至只是开启少部分的攻击特征库，以便大流量快速的通过，由此可能产生威胁检测漏报。

　　·综合性能不理想，实际部署不乐观现阶段在防火墙中集成的IPS特性，由于本身的业务处理流程的差异，其防火墙和IPS等特性的性能之间相互存在很大的影响，导致设备的综合性能不理想。一般情况下，设备标称的往往是理想情况下单特性开启情况下的最佳性能，而在实际的部署环境中，当FW/IPS等功能全部开启后，因为处理流程的整合，其综合的性能指标会有明显的下降；尤其是对于IPS特性，其性能测试涉及到多个方面的因素影响，如其测试使用的攻击流量协议类型、攻击流量特征是否被分片、攻击特征库的激活数目，测试的背景流量设置和引入到IPS检测引擎的攻击类型等。不同的环境设置所产生的结果会有很大的差异。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。