与防火墙被动防御不同的是，IDS入侵检测系统是一种主动保护自己，使网络免遭非法攻击的网络技术，提供对内部攻击、外部攻击和误操作的实时防护。IDS能够记录网络中的安全违规行为，对网络攻击进行提前预警，诊断网络中存在的安全缺陷，显著提高网络安全管理的质量。

IDS系统通常由探测器、分析器、响应单元和事件数据库组成。根据数据来源和系统不同，入侵检测系统可以分为基于主机HIDS、网络NIDS和混合性三类。

HIDS主要用来对抗内部的威胁，监控用户行为和对主机文件的访问行为，防止服务器免受攻击。而NIDS则是监控网络的数据包，预防网络攻击。这种方式需要把主机网卡设置成混杂模式，监听本网段内所有的数据包并进行判断。目前大部分的IDS产品都是基于网络的。而混合型则是前两种方式的组合，实现对入侵行为的全方位的检测。

根据入侵采用的技术，可以分为异常检测和误用检测，检测的方法主要是流量统计分析、攻击行为数据库等，通常IDS将两种检测技术相结合。

IDS系统能够实施检测入侵，但不能实施阻断攻击，且具有较高的误报、漏报。因此，安全防护体系还需要拦截系统，这就是IPS入侵防御系统。设计的主要功能是对恶意数据包进行检测，对攻击性流量进行阻断。

IPS从功能上看，与防火墙非常相似。但防火墙基于包过滤技术，主要从网络层、传输层对数据包进行检查，但应用层数据就无能为力了，因此很难防范伪装数据包的攻击。而IPS入侵防御系统可以对流量进行逐字节的检查，监控数据流以发现正在进行的网络攻击。IPS可以对二层到七层的数据流进行监控，可以算是一种高级别的防火墙。

IPS根据系统部署，可以分为三类，即基于主机HIPS、基于网络NIPS、基于应用AIPS。

为提高检测的精度，IPS采用了多种检测技术，如协议分析技术、基于特征的匹配技术、抗DDos技术、智能检测技术、蜜罐技术。

根据处理数据流的功能不同，IDS、IPS等系统在网络中的挂接方式都不相同。IDS由于只是检测数据包，并不对数据包进行拦截，所以在网络中是旁路式工作。IDS部署的要求是：IDS应当挂接在所关注的流量都必须流经的链路上。

IDS在交换式网络中的位置一般选择为：尽可能靠近攻击源，尽可能靠近受保护资源。这些位置通常是：服务器区域的交换机上、边界路由器的相邻交换机上、重点保护网段的局域网交换机上。

而IPS是深度主动防御，所以必须串接在网络中，一般部署在防火墙和内网核心交换机之间。因此，防火墙越来越趋向于集成IPS功能，比如华为USG系列防火墙，能够从二层到七层全方位防御。当然，也有单独的IPS产品，比如绿盟的NIPS系列。

随着防火墙技术的发展，又出现了针对应用层的轻量级防火墙，如WAF ，即网站Web应用服务器防火墙，这种技术通过制定HTTP/HTTPS安全策略来为Web应用进行安全防护。WAF有硬件、软件形式，但更多的是云WAF，典型的产品有阿里云的云盾、腾讯云的WAF。

另外，基于对主机用户行为的监测，又出现了上网行为管理器，这种管理器也可以集成在路由器中，也可以以单独的产品形式出现。通过DPI 深度包检测引擎，可快速高效识别网络游戏、网络电视、网络音乐、P2P下载、聊天软件、股票交易等协议，并且可以对用户的工作效率进行分析。

所以说，内网部署了上网行为管理器，能极大避免员工上班时间摸鱼。比较典型的产品有深信服的上网行为管理器，一般部署在办公区域的交换机与Internet之间。