1 定义

1.1 IPS设备

IPS即入侵保护系统,IPS完全实现传统防火墙(非web应用防火墙)的功能;具有IDS的所有特性。以串联接入网络,能够有效阻断入侵连接。

1.2 WAF设备

Web应用防火墙,提供了一种针对Web应用的安全运维控制手段,为Web应用提供实施的防护。

2两者功能特点

2.1 IPS设备

针对不同的网络环境和安全需求,基于安全区、IP地址、规则、时间、动作等对象,制定不同的规则和响应方式;主动防御已知攻击,实施阻断各种黑客攻击,如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等,而且这对僵尸网络提供主动防御,广泛精细的应用防护帮助用户避免安全损失。IPS.jpg

2.2 WAF设备

对HTTP有本质的理解:能够完整地解析HTTP,包括报文头部、参数及载荷。支持各种HTTP编码;提供严格的HTTP协议验证;提供HTML限制;支持各类字符集编码;具备response过滤能力

提供应用层规则:Web应用通常是定制化的,传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则,且具备检测变形攻击的能力,如监测SSL加密流量中混杂的攻击。WAF.jpg

3 工作原理

3.1 IPS设备

IPS主要定位在分析传输层和网络层的数据,依靠静态的签名进行识别攻击,也就是识别攻击特征,是一种被动安全模型。主要抵御的算法为模式匹配

3.2 WAF设备

WAF主要提供对Web应用层数据的解析,对不同的编码方式做强制多重转换还原为攻击明文,把变形后的字符组合后再分析,能够较好的抵御来自Web层的组合攻击主要抵御算法为基于上下文的语义分析

4 总结

WAF是随着目前Web一个用的日益流行,实现Web应用防护的一类新型安全产品,它与传统的IPS在某些防护效果上有功能重叠的部分(例如防止SQL注入攻击),但两款产品在工作原理、市场定位、功能特点、部署模式等方面存在显著差异。

可以说,WAF防火墙是对运营Web应用的具备一定防护能力的网络环境的Web攻击防护能力的必要增强。IPS和IDS是该网络环境必备的基础设备。

登录发表评论 注册

反馈意见