WAF:web application firewall:web應用程序防火牆。
以反向代理的方法配置waf,工作於應用層,以檢測http數據的方法為應用或者是web服務器提供安全保護。
往往被配置在頁面或者是web應用程序的前面。
核心功能是檢測和識別,通過對http數據包的特征分析,屏蔽丟棄無用或帶有攻擊行為的請求。還可以限制文件上傳,檢測特殊輸入等等。
傳統防火牆:傳統防火牆的往往工作在傳輸層和網絡層之間,針對ip地址,封鎖一些惡意的請求。往往可以用來隔斷受信任的內網和外部網絡。
所有用戶針對內部網絡的訪問,都需要經過防火牆的允許,只有防火牆進行識別之后,才會針對用戶權限,行為予以放行。
主要功能是:內外網隔離,內網保護,流量控制,ip識別
通常是軟硬件協同工作,被部署在路由器和局域網交換機之間。不僅針對用戶請求做篩查,同時也有記錄審計功能。是計算機必備的功能。
IPS/IDS:入侵防御/檢測系統(p:prevention 防御 D:detection 檢測)
防火牆和IPS屬於訪問控制類產品,而IDS則屬於審計類產品。形象的說,防火牆是大門,ids就是監控系統,ips則是升級的監控系統,有機關保護的監控。
不同於防火牆往往保護網絡層和傳輸層,ips則針對高層同樣有保護效果。
IPS和IDS都被部署在防火牆之后的流量傳輸鏈路上。
IDS只需實現檢測功能,不負責防御,所以往往與流量傳輸並聯,或是部署在旁路上,只負責檢測惡意流量和已經配置好的攻擊模式,然后對管理員示警,不做具體響應。
IPS為了實現防御功能,所以往往與流量傳輸以串聯形式配置,關鍵網絡的入口出口處都需要設置。
IPS相當於升級版的IDS,而IDS由於缺乏防御行為,如今已經不再常用了。
IDS/IPS的工作原理是事先在系統內部配置好檢測行為,例如篩查特殊字符,做轉義編碼等等。再在流量經過鏈路上仔細檢測每一個數據包,與事先設置好的閾值相比對,做出相應的行為。
或者是特殊的攻擊行為有其相應特征或者是模式,針對這種模式進行篩查過濾也是核心功能。
下圖則是防火牆,IPS/IDS,WAF的網絡拓撲結構。
