防火墻看起來好像可以滿足系統管理員的一切需求。然而，隨著基于雇員的攻擊行為和產品自身問題的增多，IDS由于能夠在防火墻內部監測非法的活動正變得越來越必要。新的技術同樣給防火墻帶來了嚴重的威脅。例如，VPN可穿透防火墻，所以需要IDS在防火墻后提供安全保障。雖然VPN本身很安全，但有可能通過VPN進行通信的其中一方被root kit或NetBus所控制，而這種破壞行為是防火墻無法抵御的。基于以上兩點原因，IDS已經成為安全策略的重要組成部分。

　　我們還需要注意的是，攻擊者可以實施攻擊使IDS過載，其結果可能是IDS系統成為拒絕服務攻擊的參與者。而且，攻擊者會盡量調整攻擊手法，從而使IDS無法追蹤網絡上的活動。

　　入侵監測系統的構架

　　有兩種構架的IDS可供選擇，每種都有它的適用環境。雖然主機級的IDS具有更強的功能而且可以提供更詳盡的信息，但它并不總是最佳選擇。

　　網絡級IDS

　　你可以使用網絡級的產品，象eTrust Intrusion Detection只需一次安裝。程序（或服務）會掃描整個網段中所有傳輸的信息來確定網絡中實時的活動。網絡級IDS程序同時充當管理者和代理的身份，安裝IDS的主機完成所有的工作，網絡只是接受被動的查詢。

　　優點和缺點

　　這種入侵監測系統很容易安裝和實施；通常只需要將程序在主機上安裝一次。網絡級的IDS尤其適合阻止掃描和拒絕服務攻擊。但是，這種IDS構架在交換和ATM環境下工作得不好。而且，它對處理升級非法賬號，破壞策略和篡改日志也并不特別有效。在掃描大型網絡時會使主機的性能急劇下降。所以，對于大型、復雜的網絡，你需要主機級的IDS。

　　主機級IDS

　　像前面所講的，主機級的IDS結構使用一個管理者和數個代理。管理者向代理發送查詢請求，代理向管理者匯報網絡中主機傳輸信息的情況。代理和管理者之間直接通信，解決了復雜網絡中的許多問題。

　　技術提示：在應用任何主機級IDS之前，你需要在一個隔離的網段進行測試。這種測試可以幫助你確定這種Manager-to-agent的通信是否安全，以及對網絡帶寬的影響。

　　管理者Managers

　　管理者定義管理代理的規則和策略。管理者安裝在一臺經過特殊配置過的主機上，對網絡中的代理進行查詢。有的管理者具有圖形界面兒其它的IDS產品只是以守護進程的形式來運行管理者，然后使用其它程序來管理它們。

　　物理安全對充當管理者的主機來說至關重要。如果攻擊者可以獲得硬盤的訪問權，他便可以獲得重要的信息。此外，除非必需管理者的系統也不應被網絡用戶訪問到，這種限制包括Internet訪問。

　　安裝管理者的操作系統應該盡可能的安全和沒有漏洞。有些廠商要求你使用特定類型的操作系統來安裝管理者。例如，ISS RealSecure要求你安裝在Windows NT Workstation而不是Windows NT Server，這是由于在NT Workstation上更容易對操作系統進行精簡。

　　特殊的考慮

　　每種IDS廠商對他們的產品都有特殊的考慮。通常這些考慮是針對操作系統的特殊設置的。例如，許多廠商要求你將代理安裝在使用靜態IP地址的主機上。因此，你也許需要配置DHCP和WINS服務器來配合管理者。這種特殊的考慮在一定程度上解釋了為什么大多數IDS程序用一個管理者來管理數臺主機。另外，安裝管理者會降低系統的性能。而且，在同一網段中安裝過多的管理者會占用過多的帶寬。

　　另外，許多IDS產品在快于10MB的網絡中工作起來會有問題。通常IDS的廠商要求你不要將管理者安裝在使用NFS或NFS+的UNIX操作系統上，因為這種文件系統允許遠程訪問，管理者會使它們缺乏穩定和不安全。

　　除非特殊情況，你不應將IDS的管理者安裝在裝了雙網卡或多網卡的用做路由器的主機上，或者安裝在防火墻上。例如，Windows NT PDC或BDC也不是安裝大多數IDS管理者的理想系統，不僅因為管理者會影響登錄，而且PDC或BDC所必須的服務會產生trap door和系統錯誤。

　　管理者和代理的比例

　　管理者和代理的比例數字會因生產廠商和版本的不同而不同。例如，Axent Intruder Alert建議在UNIX或NT的網絡上不要使用超過100個代理，NetWare網絡中每個管理者不應使用超過50個代理。然而，你需要建立基線來確定IDS結構的理想配置。理想配置是指IDS可以在不影響正常地網絡操作的前提下實時監測網絡入侵。

　　代理

　　由于代理負責監視網絡安全，所以大多數的IDS允許你將代理安裝在任何可以接受配置的主機上。當你在考慮產品時，你應當確保它可以和網絡上的主機配合工作。大多數的產品在UNIX,NT和Novell網絡環境中可以出色的工作。有些廠商也生產在特殊網絡環境下工作的代理，例如DECnet，mainframes等等。無論如何，你應當通過測試來選擇最適合你的網絡的產品。所有的代理都工作在混雜模式，并且捕捉網絡上傳遞的信息包。

　　理想的代理布局

　　請考慮將代理安裝在像數據庫，Web服務器，DNS服務器和文件服務器等重要的資源上。像eTrust Intrusion Detection這樣的基于掃描的IDS程序也許更適合在某些特定的時段掃描個別的主機。這個工具能夠確保你在占用最小帶寬的前提下監視網絡活動。

　　下列是部分適合放置代理資源的列表：

　　·賬號、人力資源和研發數據庫
　　·局域網和廣域網的骨干，包括路由器和交換機
　　·臨時工作人員的主機
　　·SMTP，HTTP和FTP服務器
　　·Modem池服務器和交換機、路由器、集線器
　　·文件服務器

　　許多新的網絡連接設備限制了IDS掃描。