Позади внешнего firewall’а в DMZ-сети (расположение 1)

Преимущества:

Видит атаки, исходящие из внешнего мира, которым удалось преодолеть первую линию обороны сетевого периметра.
Может анализировать проблемы, которые связаны с политикой или производительностью firewall’а, обеспечивающего первую линию обороны.
Видит атаки, целями которых являются прикладные серверы (такие как web или ftp), обычно расположенные в DMZ.
Даже если входящая атака не распознана, IDS иногда может распознать исходящий трафик, который возникает в результате компрометации сервера.