攻击ips vs waf 详细功能对比

waf  时间:2021-01-27  阅读:()

IPS和WAF功能对比

IPS其工作原理是检测数据包有效载荷提取特征如下图所示 然后与设备加载的攻击特征码进行比对 设备加载的特征码都是从已知通用应用协议或应用系统漏洞中提取出来的专门针对这类通用漏洞的攻击防护大部分能通过打补丁的方式解决。然而经业界众多专业厂商研究分析 目前攻击者大多采用的是针对代码容的攻击手段 而不是采用传统特征库中已有的通用攻击手段。 IPS具备了针对已知通用应用协议或应用系统漏洞的防护但对于目前普遍定制开发的web站点系统 由于应用代码中的漏洞而带来的应用攻击不能提供有效的防御尤其是对一些逻辑关系复杂的应用攻击。 例如如果代码编写者对用户提交的数据未做适当的检查验证 用户可以利用web页面中提交数据的表单构造访问后台数据库的SQL指令从而能够非授权操作后台数据库达到获取敏感信息、破坏数据库容和结构、甚至利用数据库本身的扩展功能控制web服务器操作系统如此不仅能够达到网页挂马 还可以构成对web服

务器的其他攻击篡改网页容更是轻而易举。

图 IPS检测数据包有效负载比对特征进行攻击防御

?举例说明

比如SQL注入它们都是可以防护的但防护的原理有区别 IPS基本是依靠静态的签名进行识别也就是攻击特征这只是一种被动安全模型。 如下是一个S n o rt的告警规则alert tcp$EXTERNAL_NET any->$HTTP_SERVERS$HTTP_PORTS(msg“:SQL Injection -Paranoid”; flow:to_server,establ ished;uriconte“nt. :asp”;pcre:“/(%27)|(„ )|(--)|(%23)|(#)/i ”;classtype:Web-appl ication-attack;sid:9099; rev:5;)这里主要是检查在SQL注入中提交的元字符包括单引号( ' )和双横

( -- )从而避免注入'1 or 1=1—之类的攻击发生但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查 于是又在规则里增加了其对应的十六进制编码后的字符串。

当然要从签名特征来识别攻击要考虑的东西还很多不仅元字符还有

SQL关键字包括 select in sert update等 以及这些关键字的大小写变形和拼接利用注释逃脱过滤如下所示例

使用大小写混杂的字符 SeLecT fRom“

把空格符替换为TAB符或回车符 sel ect[TAB]from

关键词之间使用多个空格 select from

字符串的数值编码 0x1或0x100

插入被数据库忽略的注释串 sel/**/ect fr/**/om select/**/from使用数据库支

持的一些字符串转换功能 char(65)或chr(65)使用数据支持的字符串拼接操

作 'sel '+'ect '+'fr'+'om'”、sel ' | | 'ect ' | | 'fr' | | 'om'

可以设想一下 如果要检测以上的变形字符后的攻击则需要增加相应的签名特征但更重要的是要充分考虑转换编码的种类上面示例的s n o rt的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查 如果对于变形后繁多的攻击种类这是滞后的并且会造成签名臃肿。

对于比较粗浅的攻击方式两者都能防护但市面上大多数IPS是无法对报文编码做多重转换的所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。

而这恰恰又是WAF的优势能对不同的编码方式做强制多重转换还原成攻击明文把变形后的字符组合后在分析。

同时WAF具有更多的功能特性包括安全交付能力、基于cach e的应用加速、挂马检查、抗DDOS攻击、符合PCIDSS的防泄密要求等所以WAF不仅仅能做到攻击防护同时也能满足客户体验和做到数据防护的高度集成的专业产品

?总结

1 、需求方面

A) IPS部署在网络出口处用于入侵防御对网络净化可以做到网

络防护、应用防护和容管理。为用户提供从网络层、应用层到

容层的深度安全防护。

B) WAF部署在WE B服务器群前面主要针对WE B服务器的保护。

2、技术方面

A) IPS主要是基于特征代码的静态匹配。

B) WAF针对WE B服务器的防护除了具有特征码静态匹配外还

具有如下IPS所不具备的特点

具有HTTP应用代理能够识别检测HTTP/HTTPS协议容及

具体数据的能力支持各种 web编码例如ASP、 PHP、 JSP等。

检测URL参数、web表单输入、 HTTP header等web交互信息在进行解码的基础上对攻击的形式逻辑进行判断过滤。

验证HTTP/HTTPS协议会话的可靠性弥补HTTP协议会话管理机制

的缺陷防御基于会话的攻击类型如Cookie篡改及会话劫持等攻击

?防火墙、 IPS与WAF的区别

NameCheap 2021年新年首次活动 域名 域名邮局 SSL证书等

NameCheap商家如今发布促销活动也是有不小套路的,比如会在提前一周+的时间告诉你他们未来的活,比如这次2021年的首次活动就有在一周之前看到,但是这不等到他们中午一点左右的时候才有正式开始,而且我确实是有需要注册域名,等着看看是否有真的折扣,但是实际上.COM域名力度也就一般需要51元左右,其他地方也就55元左右。当然,这次新年的首次活动不管如何肯定是比平时便宜一点点的。有新注册域名、企业域...

Gcore(gcorelabs)俄罗斯海参崴VPS简单测试

有一段时间没有分享Gcore(gcorelabs)的信息了,这是一家成立于2011年的国外主机商,总部位于卢森堡,主要提供VPS主机和独立服务器租用等,数据中心包括俄罗斯、美国、日本、韩国、新加坡、荷兰、中国(香港)等多个国家和地区的十几个机房,商家针对不同系列的产品分为不同管理系统,比如VPS(Hosting)、Cloud等都是独立的用户中心体系,部落分享的主要是商家的Hosting(Virtu...

HaBangNet(6.95美元/月)美国vps 5TB流量/德国vps 香港双向CN2 GIA VPS

HaBangNet支持支付宝和微信支付,只是价格偏贵,之前国内用户并不多。这次HaBangNet推出三个特价套餐,其中美国机房和德国机房价格也还可以,但是香港机房虽然是双向CN2 GIA线路,但是还是贵的惊人,需要美国和德国机房的可以参考下。HaBangNet是一家成立于2014年的香港IDC商家,中文译名:哈邦网络公司,主营中国香港、新加坡、澳大利亚、荷兰、美国、德国机房的虚拟主机、vps、专用...

waf为你推荐
可爱桌面背景图片浪漫桌面壁纸天气预报哪个好用哪个最准确哪个天气预报最准确!游戏加速器哪个好网游加速器那个好?石英表和机械表哪个好石英表好还是机械表好?无纺布和熔喷布口罩哪个好一次性口罩的熔喷布和KN95的熔喷布有什么不同?游戏盒子哪个好lol游戏盒子哪个好手机杀毒哪个好手机杀毒软件哪个最好用360云盘企业版有什么网盘好用的?360云盘即将停止个人版转向企业版了,百度云限速太厉害不好用,微云感觉空间小了点强生美瞳月抛强生美瞳月抛有8.8基弧么便宜坊便宜坊的坊怎么读
虚拟主机99idc 深圳域名注册 香港服务器租用99idc 老域名全部失效请记好新域名 免费主机 idc评测网 线路工具 windows2003iso 台湾谷歌网址 150邮箱 稳定免费空间 vip购优惠 中国网通测速 酷番云 免费网页空间 电信托管 中国电信宽带测速器 shuang12 阿里云免费邮箱 双11促销 更多