脆弱性掃描器不同於入侵檢測系統，因為前者搜索的是靜態配置，而後者搜索的是瞬時誤用或異常情況。脆弱性掃描器可能會通過檢查一個遠程系統上的可用服務和配置，來搜索一個已知的NFS脆弱性。處理同樣脆弱性的入侵檢測系統只有在攻擊者試圖利用一項脆弱性時才會報告脆弱性的存在。

　　脆弱性掃描器(不論是網絡掃描器還是主機掃描器)使企業有機會在故障出現之前將其修復，而不是對一項已經進行的入侵或誤用情況作出反應。入侵檢測系統檢查的是正在進行的入侵活動，而脆弱性掃描器可以讓用戶首先防止入侵。脆弱性掃描器也許對那些沒有很好的事件響應能力的用戶會有幫助。

　　網絡脆弱性掃描器

　　網絡脆弱性掃描器通過檢查遠程系統上的網絡接口，以遠程方式進行操作。它搜索在遠程機器上運行的脆弱服務，並報告可能存在的脆弱性。例如，rexd是一項脆弱服務，網絡脆弱性掃描器將試圖與目標系統上的rexd服務相連。如果連接成功，掃描器將會報告rexd脆弱性。

　　由於網絡脆弱性掃描器能夠從網絡上的單一機器中運行，所以安裝它不會影響其他機器的配置管理。這些掃描器經常被審計員和安全部門使用，因為它們能夠提供給「局外人」對計算機或網絡中的安全漏洞的看法。

　　優點

　　網絡脆弱性掃描能夠報告各種目標體系結構。有些是利用路由器來工作，有些是利用Unix系統來工作，還有一些是利用NT或其他Windows平台工作。

　　網絡脆弱性掃描器通常非常容易安裝和使用。和通常需要軟體安裝或重新配置的基於主機的系統不一樣，基於網絡的系統可以放在網絡上。只需將接口插入交換機並啟動機器就行了。

　　網絡系統中的GUI往往相當直觀，這意味著初級人員就能監控系統，如果出現異常情況可以呼叫更多的高級分析人員。

　　缺點

　　網絡脆弱性掃描器是幾乎完全基於特徵的系統。和基於特徵的入侵檢測系統一樣，基於特徵的脆弱性掃描器只能檢測它能通過程序識別的那些脆弱性。如果出現新的脆弱性(這種事情經常發生)，攻擊者在廠商更新特徵(以及用戶下載並安裝新的特徵)之前就有攻擊的機會。如果脆弱性仍被保留，那麼系統就可能在很長的時間裡容易受到攻擊。

　　如果用戶對脆弱性特徵像過去對病毒特徵一樣粗心大意，那麼許多企業就容易受到攻擊，即使它們定期運行脆弱性掃描器。最近的分析顯示，90%的運行IIS的Web伺服器仍然容易出現非常嚴重的安全脆弱性，廠商為此已經提供了修補程序和安全顧問。脆弱性掃描器只能指出可能存在的問題;解決這些問題仍然要靠企業自己。

　　網絡脆弱性掃描器的另一個潛在問題是，「脆弱性」概念包含其他一些鬆散定義的概念，如風險、威脅、可接受性和預計的攻擊者技能。由於這些因素都因用戶而異，所以某項配置代表一項「脆弱性」的程度也因用戶而異。

　　當脆弱性掃描器報告某項脆弱性時，企業的網絡或操作人員必須根據該企業的操作環境來對報告進行評估。那些脆弱性也許在該企業的環境裡不會構成為一項不可接受的風險，或者說這項風險也許是被商業需求強加給該企業的。

　　我們知道一些脆弱性掃描器把目標系統給毀了。某些IP工具不夠健壯，不能處理許多同時的連接或者擁有異常標記組合的IP包。例如，一次過分的埠掃描所生成的通信量有時可能使機器癱瘓。

　　最後，網絡脆弱性掃描器往往包含大量脆弱性數據。如果任何人闖入了掃描器系統，那麼破壞網絡上的大部分其他的機器就如同兒童遊戲一樣容易。所以要保護掃描器，防止未經授權使用掃描數據。

　　主機脆弱性掃描器

　　主機脆弱性掃描器與網絡脆弱性掃描器不同，因為它完全局限於本地作業系統。網絡脆弱性掃描器需要能夠從網絡上訪問目標機器，以便它可以運行;而主機脆弱性掃描器則不需要這樣。

　　主機脆弱性掃描器是安裝在一個特殊作業系統上的軟體包。一旦安裝了軟體，它就能被配置成在白天或晚上的任何時候運行。通常，由這種工具進行的掃描被安排在低優先級上運行，以減少掃描對生產工作的影響。

　　優點

　　主機脆弱性掃描器對特定作業系統而言往往更加協調、更加精確。它可以經常告訴用戶用哪些修補程序來修復被確認的脆弱性，而網絡掃描器有時只提供一般的指導方針。在考慮購買哪個產品時，研究一下你的特定作業系統的抽樣報告，以確定這些報告中包含了多少信息。報告的廣度和深度應當是一項選擇標準。

　　主機脆弱性掃描器在運行時不消耗網絡帶寬。所有的處理工作只限於本地主機系統。

　　主機脆弱性掃描器不像網絡掃描器那樣可能使目標系統上的IP堆棧暫停。某些作業系統有一些與網絡接口有關的、薄弱的或執行較差的IP堆棧。發送大量的通信量(像埠掃描器那樣)或者異常的TCP頭部標記可能會使接口暫停，這就需要重新啟動。

　　主機脆弱性掃描器不太可能被一個成功的入侵者用來對付你。黑客如果闖入了一個系統並發現了一個網絡脆弱性掃描器或者來自該掃描器的報告，可能會使用這項工具或這些報告來攻擊你的企業內的其他系統。基於主機的工具提供的可用於擴充攻擊範圍的信息要少得多;也就是說，基於主機的工具要比基於網絡的工具劃分得更好。

　　缺點

　　主機脆弱性掃描器也是基於特徵的。它搜索已知危險的系統配置，並報告一種減少那些特殊威脅的「食譜式」方法。本地系統步驟和操作要求可能需要在發現任何特定脆弱性並對其採取措施時有靈活性。

　　安裝主機脆弱性掃描器要求系統管理員的合作。由於該軟體在運行時通常擁有特權，所以每台機器的系統管理員應當接受該工具的目標和配置。在許多企業里，這可能是一很難協調的任務。

　　與對待任何基於主機的系統一樣，攻擊者可以修改脆弱性掃描工具，使它不報告攻擊者希望利用的脆弱性。這裡有一項重要結論，即脆弱性掃描工具不能保護一個在安裝掃描工具時受到破壞的系統。