通常，人们认为防火墙可以保护处于其身后的网络不受外界的侵袭和干扰。但随着网络技术的发展，网络结构日趋复杂，传统防火墙在使用的过程中暴露出以下局限性。

（1）防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查，如个别内部网络用户绕过防火墙、拨号访问等。

（2）防火墙不能解决来自内部网络的攻击和安全问题。

（3）防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。

（4）防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，就不能防止利用该协议中的缺陷进行的攻击。(www.daowen.com)

（5）防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口，对该服务器的漏洞进行攻击，防火墙不能防止。

（6）防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能。

（7）防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。

因此，认为在Internet入口处设置防火墙系统就足以保护企业网络安全的想法是不对的，也正是这些因素引起了人们对入侵检测技术的研究及开发。入侵防御系统（Intrusion Prevention System，IPS）可以弥补防火墙的不足，为网络提供实时的监控，并且在发现入侵的初期采取相应的防护手段。IPS系统作为必要的附加手段，已经为大多数组织机构的安全构架所接受。