IDS IPS WAF之安全剖析
现在市场上的主流网络安全产品可以分为以下几个大类:
1、基础防火墙类,主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。
2、IDS类,此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。
3、IPS类,解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问。
4、主动安全类,和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离。
在这几类产品中,就可以分辨出什么是主动安全,什么是被动安全。从安全的最基本概念来说,首先是关闭所有的通路,然后再开放允许的访问。因此,传统防火墙可以说是主动安全的概念,因为默认情况下是关闭所有的访问,然后再通过定制策略去开放允许开放的访问。但由于其设计结构和特点,不能检测到数据包的内容级别,因此,当攻击手段到达应用层面的时候,传统的防火墙都是无能为力的。IDS就不讲了,不能阻断只能是一个事后监督机制,因此在其后出现的IPS,基本上所有的IPS系统都号称能检查到数据包的内容,但犯了一个致命的错误,就是把安全的原则反过来了,变成默认开放所有的访问,只有自己认识的访问,才进行阻断。从另外一个方面,由于在线式造成的性能问题,也不能像杀毒软件一样进行全面而细致的安全审计。因此大多数的IPS在实际运行环境中都形同虚设,通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的,不再其安全库内的攻击手段,基本上都是无能为力的。
在主动安全的体系中,彻底改变了IPS 的致命安全错误。其工作在协议层上,通过对协议的彻底分析和Proxy代理工作模式,同时,结合对应用的访问流程进行分析,只通过自己认识的访问,而对于不认识的访问,则全部进行阻断。比如在页面上的一个留言板,正常人登录都是填入一些留言,提问等,但黑客则完全可能填入一段代码,如果服务器端的页面存在漏洞,则当另外一个用户查看留言板的时候,则会在用户完全不知道的情况下执行这段代码,标准叫法,这叫做跨站攻击。当这段代码被执行后,用户的本地任何信息都有可能被发送到黑客的指定地址上。如果采用防火墙或者IPS,对此类攻击根本没有任何处理办法,因为攻击的手段、代码每次都在变化,没有特征而言。而在采用主动安全的系统中,则可以严格的限制在留言板中输入的内容,由此来防范此类跨站攻击。又如常见的认证漏洞,可能造成某些页面在没有进行用户登录的情况下可以直接访问,这些内容在防火墙或者IPS系统中更加无法处理了。因为他们的请求和正常的请求完全一样,只是没有经过登录流程而已,因此不能进行防护,在主动安全体系里,可以对用户的访问进行流程限定,比如访问一些内容必须是在先通过了安全认证之后才能访问,并且必须按照一定的顺序才能执行。因此,工作在流程和代理层面的主动安全设备可以进一步实现应用系统的真正安全。
另外,在通常情况下,安全访问都采用SSL进行通道连接,传统的IPS根本无法看到用户的访问,从而造成形同虚设的安全网关。
免费WAF下载:http://www.freewaf.org/
IDS IPS WAF之安全剖析的更多相关文章
- FW/IDS/IPS/WAF等安全设备部署方式及优缺点
现在市场上的主流网络安全产品可以分为以下几个大类:1.基础防火墙FW/NGFW类 主要是可实现基本包过滤策略的防火墙,这类是有硬件处理.软件处理等,其主要功能实现是限制对IP:port的访问.基本上的 ...
- 什么是IDS/IPS?
目录 摘要 0x00 基于网络的IDS和IPS0x01 设计考虑因素0X02 IDS/IPS 总结 摘要 摘要 这篇文章主要介绍的是入侵检测系统(IDS)和入侵防御系统(IPS ...
- 从零开始学安全(二十七)●利用Nmap对防火墙,IDS,IPS 进行欺骗
先介绍什么是防火墙 ids 并联 ips 串联 来看我们nmap 命令
- IDS,IPS,IPD
什么是IDP - 百度文库https://wenku.baidu.com/view/c500cf35eefdc8d376ee3220.html
- Nmap原理-01选项介绍
Nmap原理-01选项介绍 1.Nmap原理图 Nmap包含四项基本功能:主机发现/端口扫描/版本探测/操作系统探测.这四项功能之间存在大致的依赖关系,比如图片中的先后关系,除此之外,Nmap还提供规 ...
- Suricata规则配置
Suricata 规则配置 IDS/IPS/WAF IPS.IDS和WAF分别是入侵防御系统和入侵检测系统以及WEB应用防火墙的简称,很多人说这些玩意不就是盒子吗已经过时了,其实不是,SIEM其实是有 ...
- WAF防御能力评测及工具
本篇文章介绍如何从常规攻击的防御能力来评测一款WAF.一共覆盖了十六种攻击类型,每种类型均从利用场景(攻击操作的目的),注入点(漏洞产生的地方,比如说大多数WAF都会较全面地覆盖来自GET请求的攻击, ...
- 业务安全通用解决方案——WAF数据风控
业务安全通用解决方案——WAF数据风控 作者:南浔@阿里云安全 “你们安全不要阻碍业务发展”.“这个安全策略降低用户体验,影响转化率”——这是甲方企业安全部门经常听到合作团队抱怨.但安全从业者加入公司 ...
- IDS 日志分析
[http://blog.csdn.net/cnbird2008/article/details/5792626] General Approach通用方法1. Identify which log ...
随机推荐
- [转]SQLServer跨服务器访问数据库(openrowset/opendatasource/openquery)
正 文: 1.启用Ad Hoc Distributed Queries 在使用openrowset/opendatasource前搜先要启用Ad Hoc Distributed Queries服务,因 ...
- python爬虫中文网页cmd打印出错问题解决
问题描述 用python写爬虫,很多时候我们会先在cmd下先进行尝试. 运行爬虫之后,肯定的,我们想看看爬取的结果. 于是,我们print... 运气好的话,一切顺利.但这样的次数不多,更多地,我们会 ...
- WPS2013三合一全套精品视频教程-【word,excel,powerpoint】
WPS2013三合一全套精品视频教程-[word,excel,powerpoint]教程目录: 下载地址:http://www.fu83.cn/thread-184-1-1.html
- Android连接网络打印机,jSocket连接网络打印机
老大写的一个打印工具类,记录一下. package com.Ieasy.Tool; import android.annotation.SuppressLint; import java.io.IOE ...
- VS2010报错无法编译:LINK : fatal error LNK1123: failure during conversion to COFF: file invalid
win7 64位 专业版 + vs2010 从vc6.0下转过来的一个项目,突然遇到这个问题. 解决方案: 用C:\Windows\winsxs\x86_netfx-cvtres_for_vc_and ...
- LeetCode:Jump Game I II
Jump Game Given an array of non-negative integers, you are initially positioned at the first index o ...
- 总体最小二乘(TLS)
对于见得多了的东西,我往往就习以为常了,慢慢的就默认了它的存在,而不去思考内在的一些道理.总体最小二乘是一种推广最小二乘方法,本文的主要内容参考张贤达的<矩阵分析与应用>. 1. 最小二乘 ...
- 将Mininet与真实网络相连接
原文发表在我的博客主页,转载请注明出处 前言 Mininet是SDN网络仿真的一大利器,在小规模网络模拟使用上独领风骚,其开源性允许使用者按照自己的需求修改源码,得到想要的数据,其提供了多个函数用来满 ...
- 如何使用Iveely的数据存储引擎 Iveely Database
Iveely 数据存储引擎是为Iveely 搜索引擎提供数据存储的机制. 适用于:频繁数据插入.数据读取.数据更改或者删除数据不适合Iveely Database,存储结构是按照搜索引擎数据存储要求( ...
- 常见面试第二题之什么是Context
今天的面试题,也就是我们常见面试题系列的第二题,我们来讲一讲android中的context.我相信大家android开发者一定对于这个context非常熟悉,肯定都有使用过,肯定没有没使用过的.但是 ...