Network-Based IDPS bao gồm bộ cảm biến, một hoặc nhiều quản lý máy chủ, nhiều giao diện điều khiển, và có thể có một hoặc nhiều máy chủcơ sở dữ liệu. Qua mạng thiết bị hiển thị bộ cảm biến IDPS và phân tích hoạt động mạng trên một hoặc nhiều phân đoạn mạng. Tùy vào mục đích cũng như cấu trúc mạng, có thểđặt IDPS tại các vịtrí khác nhau để tận dụng tối đa khảnăng của hệ thống này.
Có 2 dạng thiết kế cho mô hình này
Dạng 1: Bộ cảm biến được đặt ở một vị trí sao cho lưu lượng mạng đều phải đi qua đó. Theo hình 21 thì Bộ cảm biến IDPS được đặt sau bức tường lửa và trước thiết bị chia mạng switch. Nó có thể giúp ngừng tấn công bằng cách làm cản trở việc lưu thông trên hệ thống mạng. Khi đặt trong trường hợp này, IDPS sẽ theo dõi tất cảlưu lượng trao đổi phía sau firewall.
45
Hình 18 Thệ thống IPDS được đặt sau Friewall
Dạng 2: Bộ cảm biến IDPS được triển khai trên hệ thống sao cho nó giám sát lưu lượng mạng thực tế; lưu lượng không đi qua nó(hình 22).
46
Bộ cảm biến IDPS thường được đặt ở vị trí sao cho nó có thể giám sát vị trí mạng, phân chia các mạng, và phân đoạn mạng quan trọng, trên khu vực cho phép( DMZ ). Nó giám sát lưu lượng qua phương pháp khác nhau, bao gồm phương pháp sau:
- Spanning Port. Nhiều thiết bị chuyển mạch có một cổng mở rộng, nó có thể nhìn thấy tất cả lưu lượng truy cập mạng đi qua thiết bị chuyển mạch. Với mô hình này nó cho phép bộ cảm biến có thể theo dõi lưu lượng truy cập vào/ra trên nhiều máy chủ. Ưu điểm của phương pháp giám sát này là không tốn kém, kết nối dễ dàng. Tuy nhiên nó có nhược điểm như: Không kiểm soát được dung lượng mạng truy cập, sử dụng nhiều tài nguyên.
- Network Tap: Khai thác mạng là kết nối trực tiếp giữa bộ cảm biến và phương tiện truyền thông của mạng vật lý.