由于防火墙的众多局限性，比如防火墙不能很好的防范内部网络攻击，对不经过防火墙的数据，防火墙无法检查；防火墙无法解决TCP/IP协议的漏洞问题；防火墙不能阻止内部泄密行为等，为了解决这些缺陷出现了入侵检测产品。但是随着黑客技术的迅猛发展，已经出现了大量的针对IDS的规避技术，使得入侵检测系统无能为力。面对这种尴尬局面，出现了漏洞扫描系统，它可以静态的评估现有网络的安全现状，并提出建设性的意见。

    入侵检测系统介绍：

    入侵检测是防火墙的合理补充，帮助系统对付网络攻击，特别是来自于防火墙内部的恶意攻击，它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

    打一个比方，如果说防火墙是一栋大楼的门卫，负责检查进出人员的身份并做好登记，那么大楼里面的录像监控系统就是入侵检测系统，它知道进入大楼的人员都做了些什么事情，如果有异常情况立即采取相应的行动。

    入侵检测系统通常由两部分组成：传感器和控制台。传感器负责采集数据(网络包、系统日志等)、分析数据并生成安全事件。控制台主要起到中央管理的作用，提供图形界面的控制台。根据采集的数据源，入侵检测系统分为基于主机的入侵检测系统和基于网络的入侵检测系统。两者的区别表格所示：

    基于主机的入侵检测系统都是安装在需要进行检测的主机上，一般都是安装在需要严格监控的主机上；基于网络的入侵检测系统部署复杂一些，通常采取在各个重要网段部署探测器，然后通过统一的控制管理台进行管理，对于交换式网络，要想探测器获取到网络数据，需要交换机端口镜像功能的支持。

    通过部署入侵检测系统，可以起到以下功能：

    ·记录和分析用户和系统的活动

    ·检查系统配置、漏洞以及文件完整性

    ·识别已知的、未知的攻击行为

    ·基于检测结果做特定的响应动作

    ·可以提供作为审计用的日志

    选择入侵略检测系统考虑的要点：

    入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95％是属于使用入侵模板进行模式匹配的特征检测产品，其他5％是采用概率统计的统计检测产品与基于日志的专家知识库系产品。

    市面上的入侵检测产品很多，厂家的宣传也都很好，那么我们如何判断一款入侵检测产品的好坏以及它是否适合自己应用呢？通常需要考虑的要点有：

    相比之下，Juniper Networks NetScreen－IDP系列产品将应用和网络可视性与事件调查和纠正功能集成在一起以帮助客户快速而自信地部署在线攻击防护功能，是一项不错的具有智能检测入侵的硬件产品。

    当然对于一栋大楼的安全来说，除了门卫和录像监控系统，还需要巡逻人员，进行定时定点的巡逻，检查现有的一些安全设施的情况，并作一些建设性意见，提高现有的安全性。漏洞扫描系统对服务器、网络设备、个人主机进行潜在威胁分析，找出网络设备的错误配置、操作系统的漏洞、应用软件的Bug等等，根据漏洞扫描系统的建议进行补救和改善，做到未雨绸缪，防范于未然，有效的避免黑客攻击。