IPS+VS+WAF++详细功能对比.doc_第1页
IPS+VS+WAF++详细功能对比.doc_第2页
IPS+VS+WAF++详细功能对比.doc_第3页
IPS+VS+WAF++详细功能对比.doc_第4页
免费预览已结束,剩余1页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

IPS和WAF功能对比IPS其工作原理是检测数据包有效载荷,提取特征(如下图所示),然后与设备加载的攻击特征码进行比对,设备加载的特征码都是从已知通用应用协议或应用系统漏洞中提取出来的,专门针对这类通用漏洞的攻击防护,大部分能通过打补丁的方式解决。然而,经业界众多专业厂商研究分析,目前攻击者大多采用的是针对网站代码内容的攻击手段,而不是采用传统特征库中已有的通用攻击手段。IPS具备了针对已知通用应用协议或应用系统漏洞的防护,但对于目前普遍定制开发的web站点系统,由于网站应用代码中的漏洞而带来的应用攻击,不能提供有效的防御,尤其是对一些逻辑关系复杂的应用攻击。例如如果代码编写者对用户提交的数据未做适当的检查验证,用户可以利用web页面中提交数据的表单构造访问后台数据库的SQL指令,从而能够非授权操作后台数据库,达到获取敏感信息、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制web服务器操作系统,如此不仅能够达到网页挂马,还可以构成对web服务器的其他攻击,篡改网页内容更是轻而易举。图:IPS检测数据包有效负载比对特征进行攻击防御 举例说明比如SQL注入,它们都是可以防护的,但防护的原理有区别,IPS基本是依靠静态的签名进行识别,也就是攻击特征,这只是一种被动安全模型。如下是一个Snort的告警规则:alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre:“/(%27)|()|(-)|(%23)|(#)/i”; classtype:Web-application-attack; sid:9099; rev:5;)这里主要是检查在SQL注入中提交的元字符,包括单引号( )和双横( - ),从而避免注入1 or 1=1 之类的攻击发生,但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查,于是又在规则里增加了其对应的十六进制编码后的字符串。当然,要从签名特征来识别攻击要考虑的东西还很多,不仅元字符还有SQL关键字,包括:select insert update等,以及这些关键字的大小写变形和拼接,利用注释逃脱过滤,如下所示例:使用大小写混杂的字符 :SeLecT fRom“把空格符替换为TAB符或回车符 :selectTABfrom关键词之间使用多个空格 :select from 字符串的数值编码 :0x414141414141 或 0x41004100410041004100插入被数据库忽略的注释串 :sel/*/ect fr/*/om select/*/ from使用数据库支持的一些字符串转换功能 :char(65) 或 chr(65)使用数据支持的字符串拼接操作 :sel+ect +fr+om” 、“sel|ect |fr|om可以设想一下,如果要检测以上的变形字符后的攻击则需要增加相应的签名特征,但更重要的是要充分考虑转换编码的种类,上面示例的snort的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查,如果对于变形后繁多的攻击种类,这是滞后的并且会造成签名臃肿。对于比较粗浅的攻击方式两者都能防护,但市面上大多数IPS是无法对报文编码做多重转换的,所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。而这恰恰又是WAF的优势,能对不同的编码方式做强制多重转换还原成攻击明文,把变形后的字符组合后在分析。同时WAF具有更多的功能特性,包括安全交付能力、基于cache的应用加速、挂马检查、抗DDOS攻击、符合PCIDSS的防泄密要求等,所以WAF不仅仅能做到攻击防护,同时也能满足客户体验和做到机密数据防护的高度集成的专业产品。 总结1、需求方面:A) IPS部署在网络出口处用于入侵防御,对网络净化,可以做到网络防护、应用防护和内容管理。为用户提供从网络层、应用层到内容层的深度安全防护。B) WAF部署在WEB服务器群前面,主要针对WEB服务器的保护。2、技术方面:A) IPS主要是基于特征代码的静态匹配。B) WAF针对WEB服务器的防护除了具有特征码静态匹配外,还具有如下IPS所不具备的特点:l 具有HTTP应用代理,能够识别检测HTTP/HTTPS协议内容及具体数据的能力,支持各种 web编码,例如ASP、PHP、JSP等。l 检测URL参数、web表单输入、HTTP header等web交互信息,在进行解码的基础上,对攻击的形式逻辑进行判断过滤。l 验证HTTP/HTTPS协议会话的可靠性,弥补HTTP协议会话管理机制的缺陷,防御基于会话 的攻击类型,如Cookie篡改及会话劫持等攻击。 防火墙、IPS与WAF的区别Network FirewallIPSWAF工作原理与架构识别HTTP协议YesYesYes验证HTTP 协议NoNoYesHTTP 代理NoNoYes网络访问控制YesPortionPortion深度HTTP包检测YesYesNo深度HTML内容检测NoNoYesHTTP会话语义识别NoNoYes阻断网络层攻击YesPortionPortion阻断web应用攻击NoNoYesWeb应用攻击防御防SQL注入NoNoYes防XSS 攻击NoNoYes防命令行注入NoNoYes防植入木马NoNoYes阻断访问被挂马的页面NoNoYes防弱口令攻击NoNoYes防缓冲区溢出攻击NoNoYes防Cookie篡改NoNoYes防Cookie劫持NoNoYes防Cookie内容泄露NoNoYes

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论