IPS、IDS、WAF 等术语在网络安全领域非常常见,但是你知道它们之间的区别嘛?今天瑞哥详细带大家看一下。
我们先来看看各个缩写的含义:
如何适应网络
为了快速了解如何在网络设计中使用这些解决方案/设备,让我们看一下下面的拓扑,其中包括网络中的所有安全解决方案(防火墙、IPS、IDS、WAF)。
下图的目的是说明这些安全设备通常是如何放置在网络中的。
专业人员应该考虑他们自己的具体要求并决定如何实际实施他们自己的网络(例如,可能不需要在同一网络中使用具有 IPS 的 IDS)。
防火墙
防火墙有多种类型,但最常见的一种是硬件网络防火墙。从本文的所有网络图中可以看出,网络防火墙在所有网络设计中都存在,因为它是网络安全的基石。
防火墙的核心功能是允许或阻止源主机/网络和目标主机/网络之间的流量。
基本防火墙工作在 OSI 模型的第 3 层和第 4 层,即它们可以根据源/目标 IP 地址和源/目标 TCP/UDP 端口允许或阻止 IP 数据包。
此外,网络防火墙是有状态的,这意味着防火墙会跟踪通过它的连接的状态。
例如,如果内部主机成功通过防火墙访问 Internet 网站,则后者会将连接保留在其连接表中,这样来自外部 Web 服务器的回复数据包将被允许传递到内部主机,因为它们已经属于已建立的联系。
如今,下一代防火墙一直工作到 OSI 模型的第 7 层,这意味着它们能够在应用程序级别检查和控制流量。
IPS
顾名思义,入侵防御系统 (IPS) 是一种安全设备,其主要任务是防止网络入侵。
这就是 IPS 与数据包流串联连接的原因网络攻击的分类有哪些,如上面的网络拓扑(带 IPS 的防火墙)所示,IPS 设备通常连接在防火墙后面,但与内部网络之间传输数据包的通信路径保持一致。
为了使 IPS 设备在到达内部服务器之前立即阻止恶意流量,需要进行上述放置。
通常,IPS 是基于签名的,这意味着它有一个包含已知恶意流量、攻击和漏洞利用的数据库,如果它看到与签名匹配的数据包,则它会阻止流量。
此外,IPS 可以与统计异常检测、管理员设置的规则等一起使用。
IDS
IDS(入侵检测系统)是 IPS 的前身,本质上是被动的。如上面的网络所示(带 IDS 的防火墙),该设备没有与流量串联插入,而是并行插入(放置在带外)。
通过交换机的流量也同时发送到IDS进行检查网络攻击的分类有哪些,如果在网络流量中检测到安全异常,IDS 只会发出警报(向管理员),但无法阻止流量。
与 IPS 类似,IDS 设备也主要使用已知安全攻击和漏洞的特征来检测入侵企图。
为了向 IDS 发送流量,交换机设备必须配置一个SPAN端口,以便复制流量并将其发送到 IDS 节点。
虽然 IDS 在网络中是被动的(即它不能主动阻止流量),但有一些模型可以与防火墙合作以阻止安全攻击。
例如,如果 IDS 检测到攻击,IDS 可以向防火墙发送命令以阻止特定数据包。
WAF
WAF(Web 应用程序防火墙)专注于保护网站(或一般的 Web 应用程序)。
它在应用层工作以检查 HTTP Web 流量,以检测针对网站的恶意攻击。
例如,WAF 将检测 SQL 注入攻击、跨站点脚本、Javascript 攻击、RFI/LFI 攻击等。
由于现在大多数网站都使用 SSL (HTTPS),因此 WAF 还能够通过终止 SSL 会话并检查 WAF 本身的连接内的流量来提供 SSL 加速和 SSL 检查。
如上图所示(带 WAF 的防火墙),它位于防火墙的 DMZ 区域中的网站(通常)前面。
有了 WAF,管理员可以灵活地限制对网站特定部分的 Web 访问、提供强身份验证、检查或限制文件上传到网站等。
现在让我们看一下上述安全解决方案的一些快速比较表。
IPS 与 IDS
防火墙与 IPS/IDS
WAF 与 IPS/IDS
本文到此结束,希望对大家有所帮助!
