theo em biết thì IDS dùng để phát hiện các tấn công kể cả các kiểu tấn công đã biết(misuse attack) và những gói tin tấn công gần giống với kiểu tấn công nó dựa trên luật của nó (anomaly attack) và IDS có thể cảnh báo Firewall để chặn gói tin tấn công hoặc có vẻ giống gói tin tấn công. IDS hình như có thể dựa vào cả nội dung gói tin còn Firewall ví dụ dựa trên iptables để chặn gói tin thì chỉ dựa vào header của gói tin.

Hiện nay có một số Firewall có tích hợp IDS trở thành IPS. Một số để IDS và Firewall độc lập như các thiết bị của Cisco. Cơ chế IDS khởi cảnh báo để Firewall trong trường hợp 2 thằng riêng biệt và tích hợp là như thế nào? Ví dụ như mình muốn triển khai cả 2 thằng trên một máy tính!

Người ta thường dùng opensource nào cho IPS nhỉ? IDS có Snort, Firewall có Iptables