政府、银行、大企业等机构都有自己的内网资源。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全, 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。
入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。
对防火墙和入侵检测系统的联系有一个经典的比喻:防火墙相当于一个把门的门卫,对于所有进出大门的人员进行审核:只有符合安全要求的人,就是那些有入门许可证的人才可以进、出大门;门卫可以防止小偷进入大楼,但不能保证小偷100%地被拒之门外,而且对于那些本身就在大门内部的,以及那些具备入门证的、以合法身份进入了大门的人,是否做好事也无法监控,这时候就需要依靠入侵检测系统来进行审计和控制,发现异常情况并发出警告。