攻击ips vs waf 详细功能对比

waf  时间:2021-01-27  阅读:()

IPS和WAF功能对比

IPS其工作原理是检测数据包有效载荷提取特征如下图所示 然后与设备加载的攻击特征码进行比对 设备加载的特征码都是从已知通用应用协议或应用系统漏洞中提取出来的专门针对这类通用漏洞的攻击防护大部分能通过打补丁的方式解决。然而经业界众多专业厂商研究分析 目前攻击者大多采用的是针对代码容的攻击手段 而不是采用传统特征库中已有的通用攻击手段。 IPS具备了针对已知通用应用协议或应用系统漏洞的防护但对于目前普遍定制开发的web站点系统 由于应用代码中的漏洞而带来的应用攻击不能提供有效的防御尤其是对一些逻辑关系复杂的应用攻击。 例如如果代码编写者对用户提交的数据未做适当的检查验证 用户可以利用web页面中提交数据的表单构造访问后台数据库的SQL指令从而能够非授权操作后台数据库达到获取敏感信息、破坏数据库容和结构、甚至利用数据库本身的扩展功能控制web服务器操作系统如此不仅能够达到网页挂马 还可以构成对web服

务器的其他攻击篡改网页容更是轻而易举。

图 IPS检测数据包有效负载比对特征进行攻击防御

?举例说明

比如SQL注入它们都是可以防护的但防护的原理有区别 IPS基本是依靠静态的签名进行识别也就是攻击特征这只是一种被动安全模型。 如下是一个S n o rt的告警规则alert tcp$EXTERNAL_NET any->$HTTP_SERVERS$HTTP_PORTS(msg“:SQL Injection -Paranoid”; flow:to_server,establ ished;uriconte“nt. :asp”;pcre:“/(%27)|(„ )|(--)|(%23)|(#)/i ”;classtype:Web-appl ication-attack;sid:9099; rev:5;)这里主要是检查在SQL注入中提交的元字符包括单引号( ' )和双横

( -- )从而避免注入'1 or 1=1—之类的攻击发生但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查 于是又在规则里增加了其对应的十六进制编码后的字符串。

当然要从签名特征来识别攻击要考虑的东西还很多不仅元字符还有

SQL关键字包括 select in sert update等 以及这些关键字的大小写变形和拼接利用注释逃脱过滤如下所示例

使用大小写混杂的字符 SeLecT fRom“

把空格符替换为TAB符或回车符 sel ect[TAB]from

关键词之间使用多个空格 select from

字符串的数值编码 0x1或0x100

插入被数据库忽略的注释串 sel/**/ect fr/**/om select/**/from使用数据库支

持的一些字符串转换功能 char(65)或chr(65)使用数据支持的字符串拼接操

作 'sel '+'ect '+'fr'+'om'”、sel ' | | 'ect ' | | 'fr' | | 'om'

可以设想一下 如果要检测以上的变形字符后的攻击则需要增加相应的签名特征但更重要的是要充分考虑转换编码的种类上面示例的s n o rt的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查 如果对于变形后繁多的攻击种类这是滞后的并且会造成签名臃肿。

对于比较粗浅的攻击方式两者都能防护但市面上大多数IPS是无法对报文编码做多重转换的所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。

而这恰恰又是WAF的优势能对不同的编码方式做强制多重转换还原成攻击明文把变形后的字符组合后在分析。

同时WAF具有更多的功能特性包括安全交付能力、基于cach e的应用加速、挂马检查、抗DDOS攻击、符合PCIDSS的防泄密要求等所以WAF不仅仅能做到攻击防护同时也能满足客户体验和做到数据防护的高度集成的专业产品

?总结

1 、需求方面

A) IPS部署在网络出口处用于入侵防御对网络净化可以做到网

络防护、应用防护和容管理。为用户提供从网络层、应用层到

容层的深度安全防护。

B) WAF部署在WE B服务器群前面主要针对WE B服务器的保护。

2、技术方面

A) IPS主要是基于特征代码的静态匹配。

B) WAF针对WE B服务器的防护除了具有特征码静态匹配外还

具有如下IPS所不具备的特点

具有HTTP应用代理能够识别检测HTTP/HTTPS协议容及

具体数据的能力支持各种 web编码例如ASP、 PHP、 JSP等。

检测URL参数、web表单输入、 HTTP header等web交互信息在进行解码的基础上对攻击的形式逻辑进行判断过滤。

验证HTTP/HTTPS协议会话的可靠性弥补HTTP协议会话管理机制

的缺陷防御基于会话的攻击类型如Cookie篡改及会话劫持等攻击

?防火墙、 IPS与WAF的区别

FBICDN,0.1元解决伪墙/假墙攻击,超500 Gbps DDos 防御,每天免费流量高达100G,免费高防网站加速服务

最近很多网站都遭受到了伪墙/假墙攻击,导致网站流量大跌,间歇性打不开网站。这是一种新型的攻击方式,攻击者利用GWF规则漏洞,使用国内服务器绑定host的方式来触发GWF的自动过滤机制,造成GWF暂时性屏蔽你的网站和服务器IP(大概15分钟左右),使你的网站在国内无法打开,如果攻击请求不断,那么你的网站就会是一个一直无法正常访问的状态。常规解决办法:1,快速备案后使用国内服务器,2,使用国内免备案服...

LOCVPS新上韩国KVM,全场8折,2G内存套餐月付44元起_网络传真服务器

LOCVPS(全球云)发布了新上韩国机房KVM架构主机信息,提供流量和带宽方式,适用全场8折优惠码,优惠码最低2G内存套餐月付仅44元起。这是一家成立较早的国人VPS服务商,目前提供洛杉矶MC、洛杉矶C3、和香港邦联、香港沙田电信、香港大埔、日本东京、日本大阪、新加坡、德国和荷兰等机房VPS主机,基于KVM或者XEN架构。下面分别列出几款韩国机房KVM主机配置信息。韩国KVM流量型套餐:KR-Pl...

Bluehost美国虚拟主机2.95美元/月,十八周年庆年付赠送顶级域名和SSL证书

Bluehost怎么样,Bluehost好不好,Bluehost成立十八周年全场虚拟主机优惠促销活动开始,购买12个月赠送主流域名和SSL证书,Bluehost是老牌虚拟主机商家了,有需要虚拟主机的朋友赶紧入手吧,活动时间:美国MST时间7月6日中午12:00到8月13日晚上11:59。Bluehost成立于2003年,主营WordPress托管、虚拟主机、VPS主机、专用服务器业务。Blueho...

waf为你推荐
国内免备案服务器不知道国内有没有不需要备案的服务器啊天玑1000plus和骁龙865哪个好各位觉得联发科最新芯片天机1000靠谱吗?真的能打过麒麟990?手机浏览器哪个好目前手机浏览器哪个最好无纺布和熔喷布口罩哪个好一次性口罩的熔喷布和KN95的熔喷布有什么不同?股票软件哪个好股票软件哪个好,手机股票软件哪个好用51空间登录51咋登录 咋登录好友的51空间牡丹江教育云空间登录云空间的账号密忘了可是那个上面有不有不让重新申请一个怎么办东莞电信网上营业厅东莞虎门电信营业厅首选dns服务器地址首选DNS服务器是什么意思网通dns服务器地址网通的DNS是多少?
最好的虚拟主机 香港服务器租用99idc 国内免备案主机 adman 网站保姆 新世界电讯 免费个人网站申请 100x100头像 免费个人空间 美国免费空间 根服务器 服务器防火墙 lamp什么意思 阵亡将士纪念日 apnic asp空间 阿里云邮箱怎么注册 湖南铁通 gotoassist 更多