在我们完全理解了网络资源和拓扑图结构之后，就可以开始在网络中设置传感器的位置了。在理想情况下，我们的网络分析应该已经指明了我们认为需要传感器的区域。如果这样的话，那就最好不过了。我们就可以开始决定我们需要的传感器配置的类型。如果我们还不能确定在那里放置传感器，也不必担心。虽然每个网络都是独一无二的，系统管理员还是倾向于在几乎所有的网络上总是选择几个常见的传感器安装位置。这些位置集中在一些常见的功能边界，下图为传感器的一般部署图。 



以下列出了通常安装网络传感器的位置：

边界保护
　　传感器负责监视网络的边界。在大多数网络中，边界保护是指在我们的网络和Internet之间的链路。注意：一定要定位到我们网络的所有Internet连接。在很多时候，管理员忘记了远程节点含有Internet连接。有时候，我们网络中的各部门有他们自己的Internet连接(独立于公司的Internet连接)。任何到Internet的连接都需要被监视。
到商业伙伴的连接(Extranets)
　　传感器可以监视我们的网络和我们的商业伙伴网络之间的链路上流动的数据流。这条extranet链路的安全性与该链路连接的两个网络所应用的安全性同样强壮。如果任何一个网络具有安全弱点，另一个网络也会变得易受攻击。因此，extranet连接需要被进行监视。因为监视这个边界的IDS传感器可以在任何一个方向上检测到攻击，所以我们可以考虑与我们的商业伙伴共同承担这个传感器的费用。 
DMZ
　　通过在 DMZ 中、网络的 Internet 访问点上安装网络传感器，您可以保护 DMZ 中安装的设备不受攻击。保护防火墙是非常重要的，因为防火墙是流入内部网络的数据的控制点，并且常常是攻击的最初目标。通过向 DMZ 添加网络传感器，您就为网络外围的防护增加了一个专用的设备。每个 Internet 访问点都应该包含一个防火墙和一个网络传感器。

在 Intranet 上防火墙的内部
　　通过在防火墙内部安装网络传感器，可以检测到防火墙运作过程的变化，并监测流经防火墙的通信。安装在防火墙内部的网络传感器能够确保下列几点：

· 防火墙运行正常，没有受到破坏，也没有被误配置。 
· 穿过防火墙的隧道不会被用于启动针对内部网络的攻击过程。
还可以将该网络传感器与 DMZ 中的网络传感器结合使用，评估防火墙的效力。例如，您可以记录下两个网络传感器检测到的严重事件，然后对这些事件产生报告，比较防火墙内部与外部所发生事件的数目。 


在内部网络的关键网段上
　 内部网络的关键性网段与至关重要的网络资源息息相关。网络攻击的绝大多数损失来自于组织机构内部所进行的攻击。目前，许多公司正在采取措施，通过在Intranet上部署入侵检测系统减少这一损失。在很多时候，我们使用Intranet将我们的网络分隔成不同的功能区域，比如工程部、研究部、财务部、人力资源部。有时候，组织机构将决定边界的定义。例如，工程部网络通过他们自己的路由器与财务部网络(以及分离其他网络的路由器)之间是相互分离的。为了提供更多的保护，通常还使用一个防火墙。在任何一种情况下，我们都可以使用一个传感器监视网络之间的数据流，并验证(对于防火墙或路由器)安全配置被正确的进行了定义。违反安全配置的数据流将产生IDS告警，我们可以将其作为一个信号，更新防火墙或路由器的配置，因为这样做是在对安全策略的不断加强。

其它可能部署网络传感器的位置

　　以上建议是针对网络传感器最常见的的部署位置。根据您自己的网络和安全策略，还可以实施特殊的部署策略。其它可能进行部署的位置包括： 
· 紧跟在 WAN 路由器、WAP 服务器，以便防止由电话网络进行未经授权的访问。
· 在布线室中，在此处，它能够根据网络活动的指示，连接到不同网段。