IPS技術和產品已經闊步登臺，得到人們的認可，從2005年開始，一大批優秀的IPS廠家開始發展壯大，那么，如何選擇最適合的IPS設備成為用戶們新一輪思考的焦點。

截止到今年底，國際上的統計數字表明，超過66%的企業用戶認為，“系統滲透”將會成為了威脅企業IT安全的首要元兇。

在這樣的背景下，IPS設備開始走入用戶的安全采購菜單。憑借自身on line模式的實時檢測，IPS開始對企業的各種應用進行深度防御，特別是在面對大量攻擊的時候，可以做到對傳輸層以上攻擊處理的游刃有余。那么，如何選購或者考量IPS的性能。筆者總結三點:性能、誤報率、動態更新。

性能:IPS設備的基石

根據統計，目前國內外主流高端IPS產品大都采用ASIC/FPGA/NP的設計方案，這樣做的好處是可以提供較高的處理速度，同時具備可編程、易升級的優勢。因此目前主流的高端IPS產品大多實現了千兆線速處理。

為了確保這類高端IPS的帶寬落到實處，這類產品一般要提供基于動態的流量控制。因為傳統上說，增加更多的帶寬可能只會提高對非關鍵應用的響應速度，而不能為最需要帶寬的應用提供保證，特別是對于開展大量VoIP應用的企業，更加需要在安全的前提下對動態流量進行分配。

誤報率:IPS應用的核心

之所以把誤報率作為IPS應用的核心，主要是因為IPS采用on line模式，一旦出現誤報，采取行動后必然會有較大影響。為此，目前主流的IPS廠商大都把精力放在降低誤報率上。目前降低誤報率的最好辦法就是在提升性能的基礎上，進行更加深入的包檢測，開展更加精確的模式匹配。

像Radware提供的StringMatch Engine安全加速器，就是由8個用來搜索字符串的 ASIC組成，可見，其設計出發點還是為了實現高性能的數據包深入檢查，以便支持256000個并行模式的搜索。

動態:IPS部署的本錢

對于動態更新，如果說早幾年還不是非常重要的話，那么這兩年來就是不可或缺的了。騰蒙公司的工程師指出，對于主流的IPS設備，由于集成了龐大的攻擊特征庫，因此一個長期的更新支持勢在必行。對于國內的IPS用戶來說，選擇一家負責任的廠商，代表了用戶可以在任何時間定制現有IPS設備的過濾器，特別是可以通過廠商的熱線，及時反饋攻擊信息，保護自身的系統。