Sourcefire入侵防禦解決方案包含Sensor（IPS）及Defense Center（管理主控台），Sensor除了部署在網路邊界，還能防護內部網段、DMZ區、資料中心…等位置，提供完整的縱深防護；一般傳統的入侵防禦系統都部署在閘道端，無法防禦內部攻擊，造成很大的資安漏洞。

以下我們簡單說明Sourcefire跨世代的防禦技術：

即時網路警知

RNA是透過Sourcefire獨家的被動探索技術，分析通過Sourcefire IPS的封包，以獲得最即時的內容，包含網路設備、作業系統、應用程式、行動裝置及網路流量等資訊。由於採用被動式探索技術，因此不會造成任何負擔，主機上也不會產生任何安全警示（主動探索可能會造成網路斷線，引起防火牆或防毒軟體的警示，並且有空窗期的問題）。舉例來說，當一台新的電腦插上網路線，封包流經Sourcefire IPS後，系統就開始分析相關的內容，包含NetBIOS名稱、MAC位址、作業系統、開啟的服務、使用者及可能的弱點，也就是說，它能讓管理者隨時掌握企業網路的一舉一動。

自動調校規則

一般而言，為了效能與防護效率的考量，入侵防禦系統並不會開啟全部的防護規則，而且要隨著特徵資料庫的更新，定期調校規則，這也是入侵防護系統耗費最多人力之處。而透過上述RNA的資訊，Sourcefire就能夠知道網路上有哪些裝置，並依此來制定防護規則。Sourcefire可以採全自動方式，自動套用要啟用的規則，或是透過「半自動」的方式，由管理者過濾要啟用哪些規則，彈性調整設定以符合環境需要。

即時使用者警知

人是電腦犯罪事件的肇事者/受害者，當發生資安事件時，要找的不是電腦或IP，而是使用者，特別是在DHCP或多人共用電腦的環境，需要花費許多功夫才能找出當時的使用者。Sourcefire支援AD、LDAP、IMAP及Oracle…等使用者資訊，方便管理者在事件日誌中，即時查看使用者的資訊。

整合Snort防護規則

很多企業擁有自行開發的系統，或是已經停止支援的作業系統、應用程式，而成為資安防護的孤兒，因為入侵防禦系統廠商不會為了這些系統而去開發攻擊特徵。Sourcefire 採用 Snort 防護引擎，可自行撰寫防護規則，也可以直接匯入網路上發布的規則，更是業界唯一能夠完整匯入Snort規則的入侵防禦系統。

Sourcefire Vulnerability Research Team（VRT）是一群技術卓越的安全專家所組成，負責維護Snort的防護規則，並且建立Sourcefire IPS解決方案所使用的正式規則。

安全政策一致性

透過上述的資訊，Sourcefire還能做到安全政策控管功能，確保員工及電腦符合企業的安全政策。舉例來說，公司不允許使用即時通訊軟體，當員工的電腦上安裝Skype並進行連線時，就會被Sourcefire偵測到，並立即通知管理人員；另外，如果員工私自使用個人的電腦連線內部網路，一樣會被Sourcefire偵測，並發出警示。

內外部完整防護

新世代的入侵防禦系統，除了部署在閘道端之外，更可部署在資料中心、內部網段、DMZ區，防禦來自內部的攻擊行為。因此，Sourcefire的產品效能從5Mbps至40Gbps，能夠充份滿足企業的各種需求，部署在各種節點上，協同防禦每個角落。

入侵事件優先等級

透過Sourcefire的入侵事件優先等級，能夠篩選掉95%無威脅風險的事件，只保留5%需要關注的事件，降低管理負擔，對攻擊有漏洞的應用程式，可設定立即提示管理者。某個採用Sourcefire的客戶，其事件數就由2000萬筆減少為2000筆有效事件警示，大幅降低誤判率與減少管理負擔。

關連式分析報表

透過RNA、RUA及入侵事件優先等級等技術，Sourcefire的關連式分析報表，能夠最即時的協助管理者找到問題點。在每一筆日誌，管理者除了能夠查看到攻擊事件、來源/目的IP、使用者、日期…等資訊外，還能知道該主機的作業系統版本、應用程式版本及對應弱點等資訊，讓管理者不需東查西找，在一份報表中就能查到全部所需的資訊。

與第三方協同防禦

由於Sourcefire具備開放原始碼的彈性，因此能夠快速輕鬆的與各種協力廠商整合，包含弱點管理系統、安全資訊與事件管理系統（SIEM）、網路存取控制（NAC）及網路鑑識等，簡化資安產品部署與規畫程序，讓企業的投資成本獲得最大的效益。