在网络和安全领域中,有太多的缩写词会让您发疯。

术语IPSIDSWAF等在网络安全领域可能是已知的首字母缩写,但是许多新手专业人员有时很难理解这些技术背后的概念,如何比较等。

在本文中,我将尽力比较并分解IPSIDS,防火墙和WAF之间的差异,因为它们是用于网络安全保护的网络中非常流行的解决方案。

首先让我们看一下每个缩写的含义:

IPS =入侵防御系统

IDS =入侵检测系统

WAF = Web应用程序防火墙

目录

它们如何适应网络

防火墙功能

入侵防御系统

入侵检测系统

WAF

IPSIDS

防火墙与IPS / IDS

WAFIPS / IDS

它们如何适应网络

图片是一千个字。为了快速了解如何在网络设计中使用这些解决方案/设备,让我们看一下下面的拓扑,其中包括网络中的所有安全解决方案(防火墙,IPSIDSWAF)。

下图的目的是说明通常如何将这些安全设备放置在网络中。

专业人士应考虑自己的特定要求,并决定如何实际实施自己的网络(例如,可能不需要在同一网络中具有IPSIDS)。

现在让我们简要描述每个安全设备,然后在本文下面进行进一步比较。

防火墙功能

防火墙几种类型,但最常见的是硬件网络防火墙。从本文的所有网络图中可以看到,由于网络防火墙是网络安全的基石,因此在所有网络设计中都可以找到网络防火墙。

防火墙的核心功能是允许或阻止源主机/网络与目标主机/网络之间的通信。

基本防火墙在OSI模型的第3层和第4层工作,即它们可以基于源/目标IP地址和源/目标TCP / UDP端口允许或阻止IP数据包。

此外,网络防火墙是有状态的。这意味着防火墙会跟踪通过它的连接状态。

例如,如果内部主机通过防火墙成功访问了Internet网站,则后者会将连接保留在其连接表内,从而允许来自外部Web服务器的答复数据包传递到内部主机,因为它们已经属于已建立的防火墙。连接。

如今,下一代防火墙一直运行到OSI模型的第7层,这意味着它们能够在应用程序级别检查和控制流量。

入侵防御系统

 

顾名思义,入侵防御系统(IPS)是一种安全设备,其主要任务是防止网络入侵。

这就是为什么IPS与数据包流串联连接的原因。从上面的网络拓扑(带IPS的防火墙)可以看出,IPS设备通常连接在防火墙后面,但是位于通信路径的串联位置,该通信路径向内部网络/从内部网络传输数据包。

为了使IPS设备在到达内部服务器之前立即阻止恶意流量,需要上述放置。

通常,IPS是基于签名的,这意味着它具有已知恶意流量,攻击和利用的数据库,如果它看到匹配签名的数据包,则它将阻止流量。

此外,IPS可以处理统计异常检测,管理员设置的规则等。

入侵检测系统

IDS(入侵检测系统)是IPS的前身,本质上是被动的。如上图所示(带IDS的防火墙),该设备未与流量串联插入,而是并行(带外放置)。

通过交换机的流量也同时发送到IDS进行检查。如果在网络流量中检测到安全异常,则IDS只会向管理员发出警报,但无法阻止流量。

IPS相似,IDS设备还主要使用已知安全攻击和漏洞利用的特征来检测入侵企图。

为了将流量发送到IDS,交换设备必须配置一个SPAN端口,以便复制流量并将其发送到IDS节点。

尽管IDS在网络中是被动的(即它不能主动阻止流量),但是有些模型可以与防火墙配合使用以阻止安全攻击。

例如,如果IDS检测到攻击,则IDS可以向防火墙发送命令以阻止特定的数据包。

WAF

WAFWeb应用程序防火墙)专注于保护网站(或通常的Web应用程序)。

它在应用程序层工作以检查HTTP Web流量,以检测针对网站的恶意攻击。

例如,WAF将检测SQL注入攻击,跨站点脚本,Javascript攻击,RFI / LFI攻击等。

由于当今大多数网站都使用SSLHTTP),因此WAF还可以通过终止SSL会话并在WAF本身上检查连接内部的流量来提供SSL加速和SSL检查。

如上图所示(带有WAF的防火墙),它被放置在网站的前面(通常)在防火墙的DMZ区域中。

有了WAF,管理员可以灵活地限制对网站特定部分的Web访问,提供强身份验证,检查或限制文件上传到网站等。

现在,让我们看一下上述安全解决方案的一些快速比较表。

IPSIDS

 

入侵防御系统

入侵检测系统

网络布局

串联(串联)与网络流量

与流量并行(带外)

操作模式

活动设备。可以主动阻止攻击流量。

被动装置。无法阻止攻击流量,只能检测。

检测机制

基于签名,基于规则,统计异常检测等

基于签名,基于规则,统计异常检测等

封锁选项

在网络级别阻止数据包,重置连接,提醒管理员等

提醒管理员,发送重置连接请求。

硬件功能

必须具有高性能才能执行深度数据包检查,并且不能减慢流量。

不需要非常高性能,因为它不会干预流量。但是,为了实时掌握流量,它必须能够处理线路带宽。

防火墙与IPS / IDS

 

防火墙功能

入侵防御/入侵防御

网络布局

通常放置在网络的前端以控制流量。

防火墙后的线内或带外。

主要用例

允许或阻止不同网络区域之间的流量。

专门检查网络数据包以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。

检测机制

通常适用于第4层,以允许或阻止IP地址和端口。

基于签名,基于规则,统计异常检测等

封锁选项

在网络级别阻止或允许数据包。

检测攻击并直接阻止流量或发送警报。

硬件功能

通常具有许多物理网络接口,以便将网络划分为不同的安全区域。

必须具有高性能才能执行深度数据包检查,并且不能减慢流量。

WAFIPS / IDS

 

WAF

入侵防御/入侵防御

网络布局

放置在网站/ Web应用程序的前面

防火墙后的线内或带外。

主要用例

专用于仅检查HTTP Web流量并防止Web特定攻击。

专门检查所有网络数据包,以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。

防范这些安全攻击(示例)

SQL注入,跨站点脚本,GET / POST攻击,会话操纵攻击,javascript,LFI / RFI等

针对Web服务器,SMTP,RDP,DNS,Windows OS,Linux OS等服务的利用。

 

Logo

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐