Eine Alternative ist der Betrieb eines IPS im “Inline-Modus” – vergleichbar einer Firewall mit einem internen wie einem externen Interface zum Anschluss an ein Netzwerk. Der Vorteil dieser Konfiguration besteht darin, dass eingehender Netzwerkverkehr aktiv überwacht und im Angriffsfall dynamisch verworfen werden kann. Der kürzlich im Internet verbreitete Wurm “MS.blaster” eignet sich gut als Beispiel, um die Wirkungsweise dieser Konfiguration zu zeigen. Der Exploit, der dem Wurm zugrunde liegt, nutzt eine Schwachstelle in einem MS-Windows-Dienst aus, der beispielsweise auch für den Active-Directory-Service notwendig ist und daher zumindest in lokalen Netzen oft nicht deaktivierbar ist oder sich durch eine Firewall abblocken lässt. Ein Intrusion-Prevention-System ist in der Lage, aktiv Pakete des Wurms aus dem lokalen Netzwerkverkehr zu filtern und gleichzeitig den ungefährlichen, notwendigen Verkehr der Windows-Dienste durchzulassen. So bietet es Schutz, ohne die normale Arbeit zu beeinträchtigen.