IT技術互動交流平台

IPS(入侵防護係統)與WAF(Web應用防護係統)的區別

發布日期_|优衣库bt:2016-07-14 22:04:34

IPS(入侵防護係統)和WAF(Web應用防護係統)兩款產品有不同的使用場景|_-八千网,隨著Web應用發展帶來的複雜度_--181彩票,對安全性要求也日趨增高_篱笆墙外百度影音,Waf的出現是順應了市場和技術的需要---135彩票软件。

Web應用防護無疑是一個熱門話題--跑马场演员表。由於技術的發展成熟和人們對便利性的期望越來越高|-|亿彩彩票北京pk10,Web應用成為主流的業務係統載體--2019新版跑狗图+今天。在Web上“安家”的關鍵業務係統中蘊藏的數據價值引起攻擊者的青睞_-|qq2011官网下载,網上流傳的Web漏洞挖掘和攻擊工具讓攻擊的門檻降低|掌上平台投注,也使得很多攻擊帶有盲目和隨機性_|团体赛双人滑失误。比如利用GoogleHacking原理的批量查找具有已知漏洞的應用程序_-永胜国际app是什么,還有SQL批量注入和掛馬等-|移动彩票平台为什么不能提款呢。但對於重要的Web應用(比如運營商或金融)|云顶娱乐可靠吗?,始終有受利益驅動的黑客進行持續的跟蹤|--国风商讯。

如果說傳統的“大而全”安全防護產品能抵禦大多數由工具產生的攻擊行為|-|镇江警官学校,那麼對於有針對性的攻擊行為則力不從心-302sh。而WAF正是應需求而生的一款高端專業安全產品至尊心水v392,這也是市場需求細化的必然趨勢|赢彩票平台安全吗。但由於其部署和功能方麵與IPS有類似||_观音童子,有人提出疑問-|成都天府新区规划图,為什麼不能用IPS-淘宝企业开店流程,或者說WAF與IPS有什麼異同||_106不让提现?誰更適合保護Web服務器-|爱情连连看刘洛汐?

這些疑問其實是有道理的||倚天2私服吧,差異化的產生在於高端需求是不同的|-殷世航一个月赚多少钱,從而需要細化功能貼合具體需求和符合應用現狀的產品-|美海军连发5视频,這也是用戶需求是隨著業務自身的發展所決定的__-果酱汉堡店变态版。

保鏢和保安

為了更好的理解兩款產品差異性-0368彩票,我們先用這個保鏢(WAF)和保安(IPS)比喻來描述_助赢官方网站是多少?。

大樓保安需要對所有進出大樓人員進行檢查-_至尊彩链接,一旦發現可疑人員則禁止他入內--风流少年唐伯虎2,但如果混進“貌似忠良”的壞人去撬保險櫃等破壞行為|--描写大自然的优美语句,大樓保安是無能為力的-__160彩票网站安全吗。

私人保鏢則是指高級別|_长红娱乐官网、更“貼身”的保護||永盛国际平台客服电话。他通常隻保護特定的人員_-|顺贷网,所以事先需要理解被保護人的身份|-传奇行会霸气名字、習慣__248软件彩票靠谱吗、喜好-_|钟欣潼艳照门、作息--众博彩票是黑的、弱點等|-_288彩票平台,因為被保護人的工作是需要去麵對不同的人--7k77k小游戏,去不同的場合|-|诺基亚7610s软件下载,保鏢的職責不能因為危險就阻止-|038彩票合法吗147、改變他的行為-_256时时彩安卓版,隻能去預見可能的風險_注册即送30彩金彩票,然後量身定做合適的保護方案_cba球员工资。

這兩種角色的區別在於保安保護的是整個大樓-梅鸿,他不需要也無法知道誰是最需要保護的人|_-3a彩票注册送18,保鏢則是明確了被保護對象名單-_-重庆江北ume,需要深刻理解被保護人的個性特點|-_闯荡古玩江湖。

通過上麵的比喻___艳姆 漫画,大家應該明白兩者的之所以會感覺相似是因為職責都是去保護-|-234彩票app安卓版下载,但差異在於職能定位的不同-_|菊丸英二bg。從技術原理上則會根據定位來實現||_cba球员年薪。下麵通過幾個層麵來分析WAF和IPS的異同|-掌上足球专业版。

事件的時間軸

對於安全事件的發生--金华烟草网,有三個時間點_-|魔兽风云决战天门:事前-_-038彩票10000好提现吗?、事中||邮政托运价格表、事後|_现任国家领导人。傳統的IPS通常隻對事中有效御泥坊创始人36岁猝死,也就是檢查和防護攻擊事件_|_武汉华云桑拿,其他兩個時間點是WAF獨有的_盈彩娱乐骗局。

事前是指能在事件發生之前通過主動掃描檢測Web服務器來發現漏洞||石蜡的熔点,通過修複Web服務器漏洞或在前端的防護設備上添加防護規則等積極主動手段來預防事件發生_苗条梅。事後則是指即使Web服務器被攻擊了-金铭的老公,也必須有網頁防篡改功能-|成年人身份证,讓攻擊者不能破壞網站數據-大老虎周永慷。

為什麼不能具備事中的100%防護能力_--霍林河政府网?其實從以下幾個方麵就知道對於事中隻能做到相對最佳防護而不能絕對---1980稳台子,因為__|龙玛显脉片:

1. 軟件先天是有缺陷的--钻石夜总会主持人,包括應用到第三方的組件和函數庫無法控製其安全性|_按摩 侵犯 r18漫画;

2. 應用程序在更新|-永盛彩票官网,業務是持續發展的-__至尊心水v358、動態的___碣石佳俊车行,如果不持續監控和調整安全策略|_幼儿园中班教育随笔,也是會有疏漏的|--刘玉浦简历;

3. 攻擊者永遠在暗處--印度电视剧新娘第二部,可以對業務係統跟蹤研究|_青年宫影城,查找漏洞和防護缺陷||1万返200的平台,用各種變形繁雜的手法來探測-_陈奎元,並用於攻擊|-永胜彩票网APP;

4. 任何防護設備都難以100%做到沒有任何缺陷_|野渡无人舟自横上一句,無論是各種算法還是規則__-烈女蒋究,都是把攻擊影響降低到最小化__01彩票计划软件。

所以需要用一個可閉環又可循環的方式去降低潛在的威脅-||新台湾星光大道,對於事中疏漏的攻擊_-合肥市工商局年检,可用事前的預發現和事後的彌補__卓易彩票怎么暂停服务,形成環環相扣的動態安全防護|_初中数学试讲教案。事前是用掃描方式主動檢查網站並把結果形成新的防護規則增加到事中的防護策略中__|哈乐士,而事後的防篡改可以保證即使疏漏也讓攻擊的步伐止於此_|ios12beta1描述文件,不能進一步修改和損壞網站文件--|寂寞先生 刘悦,對於要信譽高和完整性的用戶來說|_圣元金币优惠多联盟,這是尤為重要的環節||快乐大本营致青春。

如果僅僅是對於事件的時間軸有區別_台湾身份证号码,那麼還是可以采用其他產品來進行輔助-106官网彩票电话,但關鍵的是事中的防護也是有深度的差異_钛锗手链,那麼下麵我們來談談對於事中的差異|__永盛重庆时时彩。

縱深度差異

事中__-诸神竞技场bug,也就是實時防護-_永盛国际平台客服电话,兩者的區別在於一個是縱橫度-_腾翼c70论坛,一個是深度|-2019十二生肖开奖走势。IPS凸顯的優勢在於縱橫度_--两朝太岁,也就是對於網絡中的所有流量進行監管--_苦行僧歌词,它麵對的是海量數據_||永胜国际投注是真的吗,處理TCP/IP模型中網絡流量從物理層到應用層是逐層遞交038彩票手机app,IPS主要定位在分析傳輸層和網絡層的數據|-|jthysh,而再往上則是複雜的各種應用層協議報文106平台彩票,WAF則僅提供對Web應用流量全部層麵的監管_|问剑升阶数据。

監管層麵不同_--劲舞团紫光5 0,如果麵對同樣的攻擊|-|苏州联建倒闭,比如SQL注入||_双色球精准预测6十1,它們都是可以防護的_-北京云岗中学,但防護的原理有區別__11086移动彩票几年了,IPS基本是依靠靜態的簽名進行識別---1588彩票vip,也就是攻擊特征-|德国thomas锅具,這隻是一種被動安全模型|-_张庭新浪微博。如下是一個Snort的告警規則||_我抬头望着天看不见:

alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre:“/(%27)|(‘)|(--)|(%23)|(#)/i”; classtype:Web-application-attack; sid:9099; rev:5;

這裏主要是檢查在SQL注入中提交的元字符_||108娱乐买彩票骗局,包括單引號( )和雙橫( -- )__-西安小苏塘坝鱼,從而避免注入1 or 1=1—之類的攻擊發生_花萼楼,但同時又要考慮這些元字符轉換成Hex值來逃脫過濾檢查|-|28彩票投注app官方下载,於是又在規則裏增加了其對應的十六進製編碼後的字符串-2009手机qq。

當然__cfq币购物券怎么用,要從簽名特征來識別攻擊要考慮的東西還很多---k722,不僅元字符還有SQL關鍵字--疥舒宁多少钱,包括__|宝安教育在线基础教育:select insert update等-|-新七天电器直销网,以及這些關鍵字的大小寫變形和拚接_-_盈彩网靠谱吗,利用注釋逃脫過濾__|查网时,如下所示例|-银魂春祭:

使用大小寫混雜的字符|--订书机是谁发明的:SeLecTfRom“

把空格符替換為TAB符或回車符_180彩票:select[TAB]from

關鍵詞之間使用多個空格-_-长江电力招聘:select from

字符串的數值編碼|_csol防沉迷:0x414141414141 或 0x41004100410041004100

插入被數據庫忽略的注釋串|_易彩彩民异地登录:sel/**/ectfr/**/om select/**/ from

使用數據庫支持的一些字符串轉換功能|_闻一多的故事:char(65)或chr(65)

使用數據支持的字符串拚接操作_-|清国遗爱:sel+ect +fr+om’”|-注册送、“‘sel||ect ||fr||om

可以設想一下--_008彩票论坛,如果要檢測以上的變形字符後的攻擊則需要增加相應的簽名特征_-铁山港365,但更重要的是要充分考慮轉換編碼的種類|-众赢彩票官方网址,上麵示例的snort的規則把可疑字符以及其轉換後的Hex值放入同一條規則裏檢查_--冷酷殿下判出局,如果對於變形後繁多的攻擊種類_|-金铁霖简历,這是滯後的並且會造成簽名臃腫--无翼乌。

對於比較粗淺的攻擊方式兩者都能防護|_永城彩票正规吗,但市麵上大多數IPS是無法對報文編碼做多重轉換的|保定热线测网速,所以這將導致攻擊者隻需構建諸如轉換編碼-__腾翼c70论坛、拚接攻擊語句-石家庄银泉酒家、大小寫變換等數據包就可繞過輸入檢查而直接提交給應用程序|-_朱云来的妻子。

而這恰恰又是WAF的優勢_-|众购彩票技巧,能對不同的編碼方式做強製多重轉換還原成攻擊明文-绝配冤家,把變形後的字符組合後在分析_-恒大队歌。那為什麼IPS不能做到這個程度-|-小灿男装?同樣還有對於HTTPS的加密和解密

產品架構

大家知道IPS和WAF通常是串聯部署在Web服務器前端||-众发娱乐登录下载安装,對於服務器和客戶端都是透明的||员工行为规范,不需要做任何配置_查开房我帮你,似乎都是一樣的組網方式_-|256手机彩票软件怎么样,其實有很大差異_-冰火抽油瘦。首先我們看看市麵主流WAF支持的部署方式_vkke创始人何婧婧:

l 橋模式

l 路由模式

l 反向代理

l 旁路模式(非串聯)

這兩者串聯部署在Web服務器前端時-_易旺彩票平台,市麵上的大多數IPS均采用橋模式_-掌信彩网址,而WAF是采用反向代理模式|众博国际下载,IPS需要處理網絡中所有的流量_-|李晨阳年龄,而WAF僅處理與Web應用相關的協議_-永盛国际不让提款,其他的給予轉發---淘宝开店流程,如下圖|__众发彩票的账号怎么注册:

橋模式和反向代理模式的差異在於-|_qq2011下载:橋模式是基於網絡層的包轉發_众发娱乐为什么不抓,基本都沒有協議棧-兰州 摸吧,或隻能簡單的模擬部分協議棧|-|艾尔之光狂心武者加点,分析網絡報文流量是基於單包的方式_|财经郎眼 余额宝,所以要處理分片報文-仲博彩票下载、數據流重組--|赢咖登陆网站、亂序報文|--强x轮x系列h文、報文重傳|-1分钟开大发快三规律、丟包都不具備優勢|1分钟pk10。同時網絡流量中包括的協議種類是非常多的|长安太平洋会,每種應用層協議都有自身獨特的協議特征和格式要求||舍得返利网,比如Ftp|-_开通电话银行要钱吗、SSH|_小爸爸优酷网、Telnet|-阎玺的微博、SMTP等-_|芦荟棉是什么面料,無法把各種應用流量放到應用層協議棧來處理-|朱森林简历。

WAF係統內嵌的協議棧是經過修改和優化的||旁蒂克车标,能完全支持Http應用協議的處理_-_快乐大本营致青春剧组,這意味著必須遵循RFC標準(Internet Requests For Comments)來處理Http報文_盈彩网站首页,包括如下主要RFC|_5800qq下载:

l RFC 2616 HTTP協議語法的定義

l RFC 2396 URL語法的定義

l RFC 2109 Cookie是怎樣工作的

l RFC 1867 HTTP如何POST--全国最好的大专排名,以及POST的格式

RFC中對Http的request行長度-强心脏20110823、URL長度___对开纸尺寸、協議名稱長度__重庆公交集团招聘、頭部值長度等都是有嚴格要求的|_|诺基亚6120c游戏,以及傳輸順序和應用格式-整理英文,比如Html參數的要求_临安青山湖、Cookie的版本和格式-|许艳燕、文件上傳的編碼 multipart/form-data encoding等|__好易购电视购物网站,這些應用層內容隻能在具有完整應用層協議棧的前提下才可正確識別和控製--|尹国驹 何鸿燊,對於不完整的丟包--|288彩票,重傳包以及偽造的畸形包都會通過協議校驗機製來處理-|_谭国箱。

上一節提到的WAF對Https的加解密和多重編碼方式的解碼正是由於報文必須經過應用層協議棧處理|2018彩51。反之___198彩票平台注册,IPS為什麼做不到|_上海电视台新闻坊?是由於其自身的橋模式架構---莱州中考成绩查询,把Http會話”打碎“成多個數據包在網絡層分析|__覃奀垚,而不能完整地從應用層角度來處理和組合多個報文_-许喵喵mickey,並且應用層協議繁多--108娱乐是真的吗,全部去支持也是不現實的--_万州热线,產品的定位並不需要這樣--掌字开头的体彩软件。下一節的學習模式更是兩者的截然不同的防護機製-世界西装排名,而這一機製也是有賴於WAF的產品架構-_|阿桑古卡。

基於學習的主動模式

在前麵談到IPS的安全模型是應用了靜態簽名的被動模式|优乐彩是正规的网站吗,那麼反之就是主動模式__|盈盈彩推荐人怎么填。WAF的防禦模型是兩者都支持的_-|135彩票开奖,所謂主動模式在於WAF是一個有效驗證輸入的設備__-安利净水器,所有數據流都被校驗後再轉發給服務器|_-01彩票平台是真的吗,能增加應用層邏輯組合的規則||亿彩官网,更重要的是具備對Web應用程序的主動學習功能-|-2m彩票永久来资料全年。

學習功能包括-|亿博那个可信吗:

1. 監控和學習進出的Web流量_-赢彩彩票怎么注销账户,學習鏈接參數類型和長度-|-优衣库事件视频、form參數類型和長度等_1980时时彩;

2. 爬蟲功能_||1213金鼎怎么注册,爬蟲主動去分析整個Web站點--王恒升,並建立正常狀態模型_|-云顶至尊app怎么样;

3. 掃描功能_爱维侦察 地址,主動去掃描並根據結果生成防護規則-_亚当夏娃怡情谷。

基於學習

Tag標簽|宋家王朝喜多郎: 係統  
  • 專題推薦

  • Windows7係統入門 優化 技巧技術專題
  • Windows7係統專題 無論是升級操作係統_|_2m永久资料全年开、資料備份-佛说五百次回眸、加強資料的安全及管...... 詳細
About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯係方式
本站內容來自於互聯網,僅供用於網絡技術學習,學習中請遵循相關法律法規
秒速赛车平安彩票金牌彩票pc蛋蛋E乐彩富贵彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!