Muchos cortafuegos disponen de sistemas de detección de intrusiones (IDS)(como ISA server), que pueden reconocer cuando se dan los síntomas de producirse un ataque de un tipo específico y realizar acciones predefinidas según su identificación.
Estos sistemas de detección puede que reconozcan varias formas comunes y diferentes de intrusiones de red, como escaneos de puertos, pings de la muerte, bombas UDP, etc… Así mismo pueden definirse filtros especiales de detección, como filtro de intrusiones POP que analiza el tráfico POP para impedir desbordamientos de buffer POP, o filtro de detección de ataques DNS que puede configurarse para comprobar desbordamientos de nombres host o de su longitud.
ISA Server 2004 incluye una colección de filtros de detección de ataques licenciados por ISS (Internet Security Systems). Estos filtros están centrados en detectar y bloquear ataques en la capa de red. Como complemento, ISA Server 2004 incluye otros filtros de detección y bloqueo de ataques en la capa de aplicación.
Como:
Detección de WinNukes
Pings de la muerte
ataques LAND
Escaneos de IP
Bombas UDP
Escaneos de puertos
Desbordamiento en los nombres de host DNS
Transferencias de zonas DNS
Desbordamiento de buffer POP3 y SMTP
Si ISA detecta uno de estos intentos de ataque puede realizar las siguientes acciones:
Enviar una alerta al registro de sucesos
Detener o reiniciar servicios del ISA
Ejecutar un script o programa.
Enviar un mensaje de correo electrónico al administrador.
La principal desventaja de esto es que el sistema de detección de ISA no es configurable y no podemos crear nuestras propias firmas de detección. Sin embargo, existen aplicaciones de terceros que pueden utilizrse para ampliar las características de detección, aunque suponen un costo adicional.