防火牆能阻止駭客進入內部網路，為何還要部署入侵檢測系統？

提到網路安全、系統安全，大多數人都知道利用防火牆可以阻止病毒的攻擊、阻止駭客的進入，當然就能夠保證內網資料、系統的安全。既然如此，為何還要部署入侵檢測系統？這不是嫌錢多嗎？

的確，對於大多數企業的網站是沒有多少人會訪問的，透過防火牆足以過濾掉不安全的服務和非法使用者。但是對於資訊量大、關注度高、可能有駭客攻擊的網站，需要加大安保級別，就需要部署更多的安全系統，比如入侵檢測系統（Intrusion Detection System，IDS）。那防火牆和入侵檢測系統有什麼區別呢？

功能上

1）

防火牆

：防火牆是設定在被保護網路（本地網路）和外部網路（主要是Internet）之間的一道防禦系統，以防止發生不可預測的、潛在的破壞性的侵入。它可以透過檢測、限制、更改跨越防火牆的資料流，儘可能的對外部遮蔽內部的資訊、結構和執行狀態，以此來保護內部網路中的資訊、資源等不受外部網路中非法使用者的侵犯。

2）

入侵檢測系統

：IDS是對入侵行為的發覺，透過從計算機網路或計算機的關鍵點收集資訊並進行分析，從中發現網路或系統中是否有違反安全策略的行為和被攻擊的跡象。

部署位置

一般來說，防火牆主要建立在一個網路的內部網路與外部網路的交叉點，建立防火牆後，可以起到一個隔離作用，更能夠強化安全策略，能有效記錄Internet上的活動。

與防火牆不同的是，IDS入侵檢測系統是一個旁路監聽裝置，沒有也不需要跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署的唯一要求是：IDS應當掛接在所有所關注的流量都必須流經的鏈路上。在這裡，“所關注流量”指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。

IDS在交換式網路中的位置一般選擇為：儘可能靠近攻擊源、儘可能靠近受保護資源。這些位置通常是：伺服器區域的交換機上；Internet接入路由器之後的第一臺交換機上；重點保護網段的區域網交換機上。

同時對於具有多個部門或多個園區的安全策略，需要將防火牆、入侵檢測系統採用多層架構的方式進行部署，保證內部多級網路的整體安全。

總結

防火牆與入侵檢測系統類似於守衛與巡警的關係，守衛只是能夠初步驗證相關人員的身份，而不能保證進入的人員不搞破壞；而巡警是主動出擊，主動搜尋在所轄範圍內搞破壞的人。對於需要更高安全級別內部網路，還可以部署網路防毒軟體、入侵防禦系統、堡壘機等更加完善的安全策略。