Check Point IPS-1 Sensor 200C zainstalowano w sieci produkcyjnej. Urządzenie ma cztery interfejsy IPS, które są połączone w dwóch zestawach portów Gigabit Ethernet. Chociaż IPS-1 Sensor 200C ma dodatkowe porty, które mogą być użyte dla IDS, Check Point dopuszcza jedynie pojedynczą politykę dla sensora, tak więc w testach poprzestano na dwóch połączeniach IPS. Urządzenie włączono inline z połączeniem Ethernet obsługującym ok. 1000 abonentów DSL, a drugie łącze chroniło intensywnie używaną farmę serwerów internetowych z 42 serwerami WWW. W obu przypadkach IPS-1 uruchamiano przez dwa tygodnie jedynie w trybie detect only, zanim przełączono je do trybu blokowania.

Serwer zarządzania IPS-1 zainstalowano używając CD Secure Platform, na serwerze Compaq DL360 z pamięcią 8 GB i dwoma CPU 3 GHz. Zainstalowano też narzędzia klienta Windows na istniejącej stacji roboczej z systemem operacyjnym Windows, pojedynczym procesorem 3 GHz i pamięcią 3 GB.

Check Point nie zapewniał jeszcze normalnego trybu szkolenia dla IPS-1, tak więc szkolenie przeprowadzono telefonicznie podczas kontaktu z przedstawicielem firmy. Po takiej sesji treningowej przystąpiono do dostrajania IPS do istniejącej sieci. W czasie dwutygodniowej obserwacji wykonano edycję polityk, analizowano zdarzenia i próbowano zobaczyć, co potrafi część analityczna systemu. Po dwóch tygodniach przełączono IPS do trybu blokowania, zwracając uwagę na problem fałszywych rozpoznań i innych przerwań w normalnym ruchu. W czasie dwóch tygodni żaden z użytkowników lub serwerów produkcyjnych nie wysyłał zgłoszenia do helpdesk rejestrowanego przez IPS.

Po skończeniu testów inline wyłączono IPS i użyto Mu-4000 Service Analyzer firmy Mu Dynamics do testowania IPS. Skupiono się wtedy na atakach wykorzystujących opublikowane luki bezpieczeństwa. Test podzielono na dwa kierunki: klient do serwera i serwer do klienta. IPS chroni generalnie użytkownika końcowego lub serwer. W przypadku użytkownika końcowego IPS jest programowany na ochronę użytkownika, który surfuje po internecie lub sprowadza pliki, a działania te są podatne na poszczególne typy ataków, skupiające się na aplikacjach klienckich, takich jak przeglądarki czy czytniki PDF. W wypadku serwera IPS jest zaprogramowany inaczej: chroni WWW, pocztę elektroniczną i inne typy serwerów przed atakami inicjowanymi przez intruzów.

Używano reguł polityk, które Check Point ustawił wstępnie, i które zmieniano w czasie czterech tygodni testów. Polityki własne stosowano zarówno do ochrony użytkowników, jak i serwerów, ale testowano te ataki oddzielnie, wykorzystując Mu-4000. Profil klienta Mu-4000 miał ok. 525 ataków, podczas gdy profil serwera ok. 600. Atak zaliczano jako pominięty, jeżeli IPS-1 przepuścił atak, i generowano procent ataków jako punktacja ataków przepuszczonych.