目录
目录
一 WAF
(一)解释
即Web应用防火墙,是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品,与传统防火墙不同,它是工作在应用层的防火墙,主要针对web请求/响应进行防护。
(二)产生背景
当Web应用越来越为丰富的同时,Web服务器以其强大的计算能力、处理性能及蕴含的较高价值逐渐成为主要攻击目标。SQL注入、网页篡改、网页挂马等安全事件频发。企业等用户一般采用防火墙作为安全保障体系的第一道防线,但在现实中,Web服务器和应用存在各种各样的安全问题,并随着黑客技术的进步也变得更加难以预防,因为这些问题是传统防火墙难以检测和阻断的,因此产生了WAF,Gartner报告中给出了WAF的主要价值有2点,1、可以防范企业开发的Web应用代码中“自己造成的”安全漏洞。
2、防范主流Web应用软件中的安全漏洞,因此可以看出WAF就是针对Web服务而专门设计的防护产品。
(三)一般功能
1.防护:可以对访问请求进行控制,主动识别、阻断攻击流量,不限制于被动状态下的规则和策略去防护。实时有效抵御各类DDos攻击、CC攻击。
2.加固:增强被保护Web应用的安全性,不仅能够屏蔽Web应用固有弱点,而且能够保护Web应用编程错误导致的安全隐患。
3.审计:对于系统自身安全相关事件产生审计记录,包括1.管理员登录后进行的操作行为2.对安全策略进行添加、修改、删除等操作行为3.对管理角色进行增加、删除和属性修改等操作行为4.对其他安全功能配置参数的设置或更新等行为。
4.替身:通过安全替身技术,虚拟补丁等服务,即使Web系统被入侵,甚至被完全破坏,也能重新构造安全内容,保障系统正常服务。
5.追溯:对攻击进行实时拦截、联动动态分析,通过大数据分析追溯攻击人员和事件。
6.其他功能:比如网页源码加密、防扫描、防自动化攻击、防暴力破解、防状况碰库、防嗅探等等。
(四)应用场景
1.防止恶意攻击或黑客敲诈勒索,导致的请求超时、瞬断和不稳定等问题。
2.防止黑客通过SQL注入、网页木马等攻击手段入侵网站数据库,获取核心业务数据。
3.防止黑客通过扫描系统漏洞,植入木马篡改网页内容或发布不良信息,影响网站形象。
4.安全合规,根据法律法规要求,满足信息系统安全等级保护需求。
(五)组网结构
1.WAF部署在互联网出口
优点:能够第一时间将攻击阻断在互联网边界,防御效果好。
缺点:办公流量、服务器流量都经过WAF,压力较大,并且当WAF出现故障时,办公和服务器都会受到影响。
2.WAF部署在服务器区
优点:只有需要保护的服务器的流量才会经过WAF,压力最小。WAF出现故障时,串行的情况下只影响服务器区,旁路的情况下对所有区域都没有影响。
缺点:只能对路由过来的服务器区提供保护。
(六)厂商
参考Gartner,日期版。
Akamai、AmazonWebServices、Barracuda、F5、Fortinet、Imperva、Microsoft、Radware、Signal Sciences等。
二 IDS
(一)解释
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采用主动反应措施的网络安全设备。做一个比喻,假如防火墙是一幢大厦的门锁,那么IDS就是这幢大厦的监视系统。
(二)功能
1.监测并分析用户和系统的活动。
2.核查系统配置和漏洞。
3.对操作系统进行日志管理,并识别违反安全策略的用户活动。
4.针对已发现的攻击行为作出适当的反应,如告警、中止进程等。
(三)IDS架构
1.事件产生器:它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
2.事件分析器:分析数据,发现危险、异常事件、通知响应单元。
3.响应单元:对分析结果作出反应。
4.事件数据库:存放各种中间和最终数据。
(四)组网
IDS入侵检测系统是一个旁路监听设备,不需要跨接在任何链路上,无须网络流量经过便可以工作。唯一要求是IDS应当挂接在所关注的流量都必须流经的链路上。
IDS在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源。这些位置通常是:1.服务器区域的交换机上2.Internet接入路由器之后的第一台交换机上3.重点保护网段的局域网交换机上。
(五)分类
1.按入侵检测形态
硬件入侵检测和软件入侵检测。
2.按目标系统的类型
网络入侵检测、主机入侵检测和混合型。
3.按系统结构
集中式和分布式。
三 IPS
(一)解释
入侵防御系统是一部能够监视网络或网路设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资源传输行为。
(二)作用
IPS是对防病毒软件和防火墙的补充,也可称新一代的IDS。可以根据预先设定的安全策略,对流经的每个报文进行深度检测(协议分析跟踪、特征匹配、流量统计分析、事件关联分析等),如果一旦发现隐藏于其中的网络攻击,可以根据该攻击的威胁级别立即采取抵御措施,这些措施包括(按处理力度):向管理中心告警;丢弃该报文;切断此次应用会话;切断此次TCP连接。
(三)组网
部署在数据转发路径上,如:
1.办公网与外部网路的连接部位(入口/出口)。
2.重要服务器集群前端。
3.办公网内部接入层。
4.其他区域,根据实际情况与重要程序。
(四)分类
1.基于主机的入侵防护HIPS,通过在主机/服务器上安装代理程序,防止网络攻击入侵操作系统以及应用程序。
2.基于网络的入侵防护NIPS,通过检测流经的网络流量,提供对网络系统的安全防护。
(五)IDS/IPS厂商,来自麦田创投市场调研报告
Cisco、McAfee、IBM、HPE、CheckPoint、Juniper、SonicWALL、Symantec等。
四 IDS和IPS由来
1.串行部署的防火墙可以拦截低层攻击行为,但对应用层的深层攻击无能为力。
2.旁路部署的IDS可以即时发现哪些穿透防火墙的深层攻击行为,作为防火墙的有益补充,但无法实时的阻断。
3.IDS和防火墙联动,通过IDS发现,通过防火墙阻断,但由于迄今为止没有统一的接口规范,加上越来越频发的”瞬间攻击“(一个会话就可以达成攻击效果,如SQL注入、溢出攻击等),使得IDS和防火墙联动在实际应用中效果不显著。
4.由此产生了IPS,一种能防御防火墙所不能抵御的深层入侵威胁的在线部署安全产品。
五 IDS和IPS区别
1.IPS位于防火墙和网络设备之间,如果检测到威胁,IPS会在攻击扩散到网络其他地方之前阻断恶意通信,而IDS存在于网络之外起到报警的作用。
2.IPS具有检测已知和未知攻击并具有防止攻击能力,IDS没有。
3.IDS基于数据包嗅探技术,只能看着网络信息流过,不能反击网络攻击。IPS可执行IDS相同的分析并阻止恶意活动。
六 IPS和WAF区别
1.通常都部署在Web服务器前端,似乎都是一样的组网方式。但其实IPS大多数采用桥模式,需要处理网络中所有的流量,WAF多采用反向代理模式(以代理服务器的方式接收internet的连接请求,然后转发给服务器,并将得到的结果返回给internet请求连接的客户端),仅处理于Web应用相关的协议。
2.对于安全事件的发生,有三个时间点:事前、事中和事后。传统的IPS通常只对事中有效,也就是检查和防护攻击事件,其他两个时间点是WAF独有的,事前WAF主动扫描服务器来发现漏洞,通过修复Web服务器漏洞或在前端防护设备上添加防护规则等积极主动手段来预防事件发生,事后即使Web服务器被攻击了,也必须有网页防篡改功能,让攻击者不能破坏网站数据。
3.事中不能具备100%的防护能力,因为1.软件先天是有缺陷的2.应用程序始终在更新,业务是持续发展的、动态的,如果不持续监控和调整安全策略,也会有疏漏3.攻击者永远在暗处,可以对业务系统跟踪研究,查找漏洞和防护缺陷,用各种手段来探测,并用于攻击4.任何防护设备都难以100%做到没有任何缺陷,无论是各种算法还是规则,都只能把攻击影响降低到最小化,所有WAF对事前、事中和事后的安全闭环就更为有效。
4.事中,也就是实时防护,两者区别在于纵横都和深度。IPS优势在于纵横度,也就是对网络中的所有流量进行监管,面对的是海量数据,WAF优势在于深度,仅提供对Web应用流量(FTP、HTTP、HTTPS)应用流量进行监管。
5.保护原理不同,IPS主要依靠静态的签名进行识别,也就是攻击特征,这是一种被动的安全模型,相反就是主动模型。WAF的防御模型是两者都支持的。比较粗浅的攻击方式两者都能防护,但大多数IPS无法对报文编码做多重转换,所以这导致攻击者只需构建诸如转换编码、拼接攻击语句、大小写变换等数据包就可以绕过输入检查而直接提交给应用程序,恰恰这有时WAF的优势,能对不同的编码方式做强制多重转换还原称攻击铭文,把变形后的字符组合后再分析。
6.支持主动模式的WAF具备主动学习功能,包括1.监控和学习进出的Web流量,学习链接参数类型和长度、from参数类型和长度等2.爬虫功能,爬虫主动去分析整个Web站点,并建立正常状态模型3.扫描功能,主动去扫描并根据结果生成防护规则。