IPS与IDS,防火墙与WAF之间的比较和差异
在网络和安全领域中,有太多的缩写词会让您发疯。术语IPS,IDS,WAF等在网络安全领域可能是已知的首字母缩写,但是许多新手专业人员有时很难理解这些技术背后的概念,如何比较等。在本文中,我将尽力比较并分解IPS,IDS,防火墙和WAF之间的差异,因为它们是用于网络安全保护的网络中非常流行的解决方案。首先让我们看一下每个缩写的含义:IPS=入侵防御系统IDS=入侵检测系统WAF= Web应用程序防火
在网络和安全领域中,有太多的缩写词会让您发疯。
术语IPS,IDS,WAF等在网络安全领域可能是已知的首字母缩写,但是许多新手专业人员有时很难理解这些技术背后的概念,如何比较等。
在本文中,我将尽力比较并分解IPS,IDS,防火墙和WAF之间的差异,因为它们是用于网络安全保护的网络中非常流行的解决方案。
首先让我们看一下每个缩写的含义:
IPS =入侵防御系统
IDS =入侵检测系统
WAF = Web应用程序防火墙
目录
它们如何适应网络
图片是一千个字。为了快速了解如何在网络设计中使用这些解决方案/设备,让我们看一下下面的拓扑,其中包括网络中的所有安全解决方案(防火墙,IPS,IDS,WAF)。
下图的目的是说明通常如何将这些安全设备放置在网络中。
专业人士应考虑自己的特定要求,并决定如何实际实施自己的网络(例如,可能不需要在同一网络中具有IPS的IDS)。
现在让我们简要描述每个安全设备,然后在本文下面进行进一步比较。
防火墙功能
防火墙有几种类型,但最常见的是硬件网络防火墙。从本文的所有网络图中可以看到,由于网络防火墙是网络安全的基石,因此在所有网络设计中都可以找到网络防火墙。
防火墙的核心功能是允许或阻止源主机/网络与目标主机/网络之间的通信。
基本防火墙在OSI模型的第3层和第4层工作,即它们可以基于源/目标IP地址和源/目标TCP / UDP端口允许或阻止IP数据包。
此外,网络防火墙是有状态的。这意味着防火墙会跟踪通过它的连接状态。
例如,如果内部主机通过防火墙成功访问了Internet网站,则后者会将连接保留在其连接表内,从而允许来自外部Web服务器的答复数据包传递到内部主机,因为它们已经属于已建立的防火墙。连接。
如今,下一代防火墙一直运行到OSI模型的第7层,这意味着它们能够在应用程序级别检查和控制流量。
入侵防御系统
顾名思义,入侵防御系统(IPS)是一种安全设备,其主要任务是防止网络入侵。
这就是为什么IPS与数据包流串联连接的原因。从上面的网络拓扑(带IPS的防火墙)可以看出,IPS设备通常连接在防火墙后面,但是位于通信路径的串联位置,该通信路径向内部网络/从内部网络传输数据包。
为了使IPS设备在到达内部服务器之前立即阻止恶意流量,需要上述放置。
通常,IPS是基于签名的,这意味着它具有已知恶意流量,攻击和利用的数据库,如果它看到匹配签名的数据包,则它将阻止流量。
此外,IPS可以处理统计异常检测,管理员设置的规则等。
入侵检测系统
IDS(入侵检测系统)是IPS的前身,本质上是被动的。如上图所示(带IDS的防火墙),该设备未与流量串联插入,而是并行(带外放置)。
通过交换机的流量也同时发送到IDS进行检查。如果在网络流量中检测到安全异常,则IDS只会向管理员发出警报,但无法阻止流量。
与IPS相似,IDS设备还主要使用已知安全攻击和漏洞利用的特征来检测入侵企图。
为了将流量发送到IDS,交换设备必须配置一个SPAN端口,以便复制流量并将其发送到IDS节点。
尽管IDS在网络中是被动的(即它不能主动阻止流量),但是有些模型可以与防火墙配合使用以阻止安全攻击。
例如,如果IDS检测到攻击,则IDS可以向防火墙发送命令以阻止特定的数据包。
WAF
WAF(Web应用程序防火墙)专注于保护网站(或通常的Web应用程序)。
它在应用程序层工作以检查HTTP Web流量,以检测针对网站的恶意攻击。
例如,WAF将检测SQL注入攻击,跨站点脚本,Javascript攻击,RFI / LFI攻击等。
由于当今大多数网站都使用SSL(HTTP),因此WAF还可以通过终止SSL会话并在WAF本身上检查连接内部的流量来提供SSL加速和SSL检查。
如上图所示(带有WAF的防火墙),它被放置在网站的前面(通常)在防火墙的DMZ区域中。
有了WAF,管理员可以灵活地限制对网站特定部分的Web访问,提供强身份验证,检查或限制文件上传到网站等。
现在,让我们看一下上述安全解决方案的一些快速比较表。
IPS与IDS
| 入侵防御系统 | 入侵检测系统 |
网络布局 | 串联(串联)与网络流量 | 与流量并行(带外) |
操作模式 | 活动设备。可以主动阻止攻击流量。 | 被动装置。无法阻止攻击流量,只能检测。 |
检测机制 | 基于签名,基于规则,统计异常检测等 | 基于签名,基于规则,统计异常检测等 |
封锁选项 | 在网络级别阻止数据包,重置连接,提醒管理员等 | 提醒管理员,发送重置连接请求。 |
硬件功能 | 必须具有高性能才能执行深度数据包检查,并且不能减慢流量。 | 不需要非常高性能,因为它不会干预流量。但是,为了实时掌握流量,它必须能够处理线路带宽。 |
防火墙与IPS / IDS
| 防火墙功能 | 入侵防御/入侵防御 |
网络布局 | 通常放置在网络的前端以控制流量。 | 防火墙后的线内或带外。 |
主要用例 | 允许或阻止不同网络区域之间的流量。 | 专门检查网络数据包以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。 |
检测机制 | 通常适用于第4层,以允许或阻止IP地址和端口。 | 基于签名,基于规则,统计异常检测等 |
封锁选项 | 在网络级别阻止或允许数据包。 | 检测攻击并直接阻止流量或发送警报。 |
硬件功能 | 通常具有许多物理网络接口,以便将网络划分为不同的安全区域。 | 必须具有高性能才能执行深度数据包检查,并且不能减慢流量。 |
WAF与IPS / IDS
| WAF | 入侵防御/入侵防御 |
网络布局 | 放置在网站/ Web应用程序的前面 | 防火墙后的线内或带外。 |
主要用例 | 专用于仅检查HTTP Web流量并防止Web特定攻击。 | 专门检查所有网络数据包,以使其与已知恶意攻击的特征进行匹配。然后,流量被阻止或发出警报。 |
防范这些安全攻击(示例) | SQL注入,跨站点脚本,GET / POST攻击,会话操纵攻击,javascript,LFI / RFI等 | 针对Web服务器,SMTP,RDP,DNS,Windows OS,Linux OS等服务的利用。 |
更多推荐
所有评论(0)