- 1、本文档共5页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
IPSVSWAF详细功能对比
IPS和WAF功能对比
IPS其工作原理是检测数据包有效载荷,提取特征(如下图所示),然后与设备加载的攻击特征码进行比对,设备加载的特征码都是从已知通用应用协议或应用系统漏洞中提取出来的,专门针对这类通用漏洞的攻击防护,大部分能通过打补丁的方式解决。然而,经业界众多专业厂商研究分析,目前攻击者大多采用的是针对网站代码内容的攻击手段,而不是采用传统特征库中已有的通用攻击手段。IPS具备了针对已知通用应用协议或应用系统漏洞的防护,但对于目前普遍定制开发的web站点系统,由于网站应用代码中的漏洞而带来的应用攻击,不能提供有效的防御,尤其是对一些逻辑关系复杂的应用攻击。例如如果代码编写者对用户提交的数据未做适当的检查验证,用户可以利用web页面中提交数据的表单构造访问后台数据库的SQL指令,从而能够非授权操作后台数据库,达到获取敏感信息、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制web服务器操作系统,如此不仅能够达到网页挂马,还可以构成对web服务器的其他攻击,篡改网页内容更是轻而易举。
图:IPS检测数据包有效负载比对特征进行攻击防御
举例说明
比如SQL注入,它们都是可以防护的,但防护的原理有区别,IPS基本是依靠静态的签名进行识别,也就是攻击特征,这只是一种被动安全模型。如下是一个Snort的告警规则:
alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre:“/(%27)|(‘)|(--)|(%23)|(#)/i”; classtype:Web-application-attack; sid:9099; rev:5;)
这里主要是检查在SQL注入中提交的元字符,包括单引号( )和双横( -- ),从而避免注入1 or 1=1— 之类的攻击发生,但同时又要考虑这些元字符转换成Hex值来逃脱过滤检查,于是又在规则里增加了其对应的十六进制编码后的字符串。
当然,要从签名特征来识别攻击要考虑的东西还很多,不仅元字符还有SQL关键字,包括:select insert update等,以及这些关键字的大小写变形和拼接,利用注释逃脱过滤,如下所示例:
使用大小写混杂的字符 :SeLecT fRom“
把空格符替换为TAB符或回车符 :select[TAB]from
关键词之间使用多个空格 :select from
字符串的数值编码 :0x414141414141 或 0x41004100410041004100
插入被数据库忽略的注释串 :sel/**/ect fr/**/om select/**/ from
使用数据库支持的一些字符串转换功能 :char(65) 或 chr(65)
使用数据支持的字符串拼接操作 :sel+ect +fr+om’” 、“‘sel||ect ||fr||om
可以设想一下,如果要检测以上的变形字符后的攻击则需要增加相应的签名特征,但更重要的是要充分考虑转换编码的种类,上面示例的snort的规则把可疑字符以及其转换后的Hex值放入同一条规则里检查,如果对于变形后繁多的攻击种类,这是滞后的并且会造成签名臃肿。
对于比较粗浅的攻击方式两者都能防护,但市面上大多数IPS是无法对报文编码做多重转换的,所以这将导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。
而这恰恰又是WAF的优势,能对不同的编码方式做强制多重转换还原成攻击明文,把变形后的字符组合后在分析。
同时WAF具有更多的功能特性,包括安全交付能力、基于cache的应用加速、挂马检查、抗DDOS攻击、符合PCIDSS的防泄密要求等,所以WAF不仅仅能做到攻击防护,同时也能满足客户体验和做到机密数据防护的高度集成的专业产品。
总结
1、需求方面:
IPS部署在网络出口处用于入侵防御,对网络净化,可以做到网络防护、应用防护和内容管理。为用户提供从网络层、应用层到内容层的深度安全防护。
WAF部署在WEB服务器群前面,主要针对WEB服务器的保护。
2、技术方面:
IPS主要是基于特征代码的静态匹配。
WAF针对WEB服务器的防护除了具有特征码静态匹配外,还具有如下IPS所不具备的特点:
具有HTTP应用代理,能够识别检测HTTP/HTTPS协议内容及具体数据的能力,支持各种 web编码,例如ASP、PHP、JSP等。
检测URL参数、web表单输入、HTTP header等web交互信息,在进行解码的基础上,对攻击的形式逻辑进行判断过滤。
验证
文档评论(0)