外部からの不正アクセスをブロックするために通常ファイアウォールが導入されているが、ファイアウォールはポートやIPなど基本的な設定のみが対象であり、通信内容を検査しないため、完全に不正なアクセスを遮断することができない。
そのためにIDS(Intrusion Detection System – 不正侵入検知システム)やIPS(Intrusion Prevention System – 不正侵入防御システム)が使用されている。
IDSは不正アクセスを管理者に通知するのみであり、IPSはそのアクセスを遮断までしてくれる。IPSを使用することが一般的だが、自動でアクセス遮断することを適さないサービスの場合はIDSを使用する。
これらのシステムの仕組みとしては、不正なアクセスや攻撃のパターン(シグネチャ)をあらかじめ登録する不正検出、および不正なパケットを検知したときにそのユーザーの行動をすべて検知する「異常検出」によって不正アクセスを検知している。
なお、どのようなシステムでもいえることだが、パターン登録によって網羅できる範囲は限られており、すべてをカバーはできない。
そのため、WAF(Web Application Firewall – 、ウェブアプリケーションの脆弱性を突いた攻撃のパターンを検出し、その通信を遮断するシステム)などの併用も検討する必要がある。
IPSとWAFの違いは、IPSはネットワーク上に専用機器を設置する(Network-based Intrusion Prevention System – NIPS)か対象のサーバーにソフトウェアとしてインストールするか(Host-based Intrusion Prevention System – HIPS)であり、DDoS攻撃などを検知する目的で使用される。
WAFはHTTPプロトコルでやり取りされるリクエストやパラメータの名前・値などを検査することで、SQLインジェクションやXSSなどアプリケーション側の脆弱性を検知する目的で使用される。