主要好处是速度。IDS 不是关于预防，而是关于检测，因此路由到生产机器的数据包可以直接发送，而第二个端口可以镜像第一个端口上的流量并将其发送到嗅探器以进行繁重的分析。这使您可以在专用生产箱（或集群）和专用嗅探器/IDS 箱之间分配负载……这可以防止一个过载另一个。

通常建议安全设备（IDS、防火墙）的管理应使用您尽可能信任的网络来完成。可以假设 IDS 正在寻找入侵的网络实际上不能被认为是可信的，否则可能不会使用 IDS 来检测潜在的攻击。

推荐使用可信网络进行管理访问的原因是管理访问可能有其自身的问题。几个主要防火墙已经存在严重问题，即管理访问中的错误可能导致未经身份验证的攻击者以完全权限远程执行代码。并且绝对不希望攻击者能够破坏安全设备的可用性和功能或访问安全设备可以看到的敏感数据（例如，在防火墙进行 SSL 拦截的情况下最初加密的流量）。

IDS 是侦听设备，而不是像 IPS 那样的主动设备，以下可能是可能的部署方案（利用网络流量而不是内联模式）：

场景 1：单个物理接口 - 同一管道上的实时流量和管理流量（具有单独的 IP 用于分离通信）

场景 2：单个物理接口和 2 个独立的虚拟接口 (VLAN) 用于实时和管理流量

场景 3：管理和实时流量的两个物理接口

所有这些场景都有优缺点，下表说明了每个类别的优缺点：

最简单的原因是IDS 通常通过 Taps 或 SPAN 端口提供，这些端口不提供管理所需的完整 RX/TX。

设备的管理需要发送和接收的能力。然而，IDS 设备通常用于监控聚合流量，并从 Tap 或 SPAN 端口接收数据馈送。这些端口通常只是 RX。（事实上​​，在过去，人们习惯于剪断定制的以太网电缆，以避免他们的 IDS 将流量放在网络上。）

鉴于这个原因——假设这个具体原因影响了 50% 实施 IDS 的站点——行业默认拆分管理和监控接口是有意义的，以便更容易维护这种分离。