防火墙主要有两个方面的局限:
1、防火墙是访问控制设备(ACL),主要基于源目IP地址来现实访问控制,实现了网络层的安全,但不能检测或拦截注入在普通流量中的恶意攻击代码,如WEB服务中的注入攻击等。
2、防火墙无法发现或拦截内部网络中发生的攻击。
防火墙是实现网络安全第一道防线,入侵检测系统是对防火墙有益的补充,是第二道防线,可以对流量进行深层次、多层次的分析检测,提供对内部攻击、外部攻击、误操作等的实时监控,动态的保护大大提高了网络的安全性。入侵检测系统主要有3个方面特点:
1、事前警告:能在恶意攻击对网络系统造成损害之前检测到攻击行为的发生,进行报警。2、事中防御:入侵攻击行为发生时,可以联动防火墙、或TCP KILLer等进行防御。
3、事后取证:被入侵攻击后可以提供攻击信息,以便取证分析。
关于防火墙和入侵检测系统比较,有一个贴切的比喻:防火墙相当于门卫,对进入的每一个人员进行检测,入侵检测系统相当于闭路监控系统,监控关键位置如库房、财务室等的安全状况,仅有门卫是无法发现内部人员的非法行为的,而闭路监控系统可以对内部实时监控,发现异常情况及时发出警告,两者结合才能保证安全。