【网络安全】WAF vs IPS:有什么区别?

Chinese, Simplified

Whats the difference between WAF vs IPS

公司最有价值的资产之一(如果不是最多)是其信息及其系统。 致力于成为“计算机窃贼”的人也知道这一点,所以他们尝试不同的方法来攻击我们的公司网络并访问我们有价值的信息。 进行网络攻击的“武器”类型已经多样化,以至于在我们的网络入口处安装防火墙或任何NGFW以及在用户计算机上安装防病毒已经不够了。 网络管理员知道这就像锁住我们房子的前门,但是所有的窗户和后门都打开了。 既然攻击发生在网络协议中的不同“层”中,我们需要针对每种类型的流量使用不同的防御系统。 越来越多的公司在Web应用程序中拥有永久业务这一事实可能使他们更加脆弱。

Top 5 web application attacks rates

在一个理想的世界中,我们的Web应用程序的代码不应该有任何安全“差距”,这可能会使我们的数据面临风险,但实际上这不太可能,因此有必要使用外部应用程序。当然,存在越多的安全障碍,企业主和网站所有者将感受到更多的安心。目前有哪些选择可以保护我们公司的服务器(甚至数据中心)免受对我们数据的大量威胁?我们来谈谈两个选项:Web应用程序防火墙(WAF)和另一方面入侵防御系统。每个人的特点是什么?它们有什么共同点,它们有什么区别?两者中的哪一个为网络提供了更多安全性?

Web应用程序防火墙(WAF)



Web应用程序防火墙(WAF)是一种解决方案(硬件或软件),可用作外部用户和Web应用程序之间的中介。这意味着在到达Web应用程序或用户之前,WAF会分析所有HTTP通信(请求 - 响应)。

为了执行HTTP流量监控和分析,WAF应用一组先前定义的规则,这些规则可以检测恶意HTTP请求,例如跨站点脚本(XSS),SQL注入,Dos或DDos攻击,cookie操作和很多其他的。一旦WAF检测到威胁或攻击,它就会阻止流量以拒绝恶意请求或响应敏感数据。如果没有线程或攻击,您的所有流量都应该正常流动,以便所有检查和保护对用户透明,并且不应影响任何日常业务Web应用程序操作。

入侵防御系统(IPS)



在入侵防御系统(IPS)的情况下,是一种更通用的保护设备。它为各种协议类型的流量提供保护,例如DNS,SMTP,TELNET,RDP,SSH,FTP等。 IPS使用不同的方法检测恶意流量,例如:

基于签名的检测:



基于签名的检测作为防病毒程序。公司可以识别威胁并向管理员发送警报。要使此方法正常工作,所有签名都必须包含最新更新。

基于策略的检测:



IPS要求非常具体地声明安全策略。 IPS会识别这些策略之外的流量并自动将其丢弃。

基于异常的检测:



根据正常交通行为的模式。此方法可以使用两种方式,自动或手动。一方面,IPS自动执行统计分析并建立比较标准。当流量距离此标准太远时,它会发出警报。另一种方法是默认情况下手动设置流量的正常行为,以便在流量再次远离此规则时发送警报。手动方式的缺点是灵活性和动态性较差,可能会发送错误警报。

蜜罐检测:



使用配置为在不损害真实系统安全性的情况下引起黑客注意的计算机。使用此诱饵,可以监控和分析攻击,以便一旦确定,就可以使用它们来建立新策略。

 

WAF vs IPS protection comparison

哪一个是我最好的选择?



经过我们的比较,很明显,即使两个解决方案都是我们网络的额外安全层,它们也可以处理不同类型的流量。 因此,与其他竞争者不同,他们大多相互补充。 尽管IPS似乎可以保护更广泛的流量类型,但有一个非常具体的流量只有WAF可以使用。 强烈建议同时使用这两种解决方案,尤其是在环境系统与Web紧密配合的情况下。

幸运的是,现在有完整的解决方案,可以为您提供两全其美的解决方案。

挑战在于选择合适的WAF硬件系统来有效地运行基于软件的安全机制。换句话说,保护企业数据中心最实用的方法是实施软硬件混合解决方案,以保护网络免受网络犯罪。

Web应用程序防火墙的制作有几个要求:

SSL加速:



SSL对于WAF来说是至关重要的,因为它是用于重载公钥加密的CPU卸载方法。为获得最佳性能,建议使用硬件加速器。

DPI:



由于WAF部署在企业服务器和用户之间,因此WAF的主要任务之一是监控流量并阻止恶意企图。这需要功能强大的硬件支持的高效DPI(深度包检测)。

高性能和高吞吐量:



由于DPI和SSL都是CPU密集型的,因此WAF部署所需的硬件架构必须提供运行软件的专用处理能力。

高可用性:



WAF以24/7为基础运行,因此,电源的高可用性对于优化WAF至关重要。

可扩展性:



由于Web应用程序服务可能随着客户群的增长而扩展,因此企业WAF必须通过硬件方式扩展,以便以最简单的方式提高性能并加速关键应用程序。

例如,Lanner的FW-8759是主流1U机架式网络安全系统,利用Intel Denlow平台(基于Intel Haswell CPU和C226 PCH)的尖端功能。该设备具有8个内置Intel GbE LAN端口和1个NIC模块插槽,可支持最高16 GbE端口的最大端口密度,非常适合UTM,防火墙,VPN,IPS和WAN优化等网络安全应用。事实上,它确实足以成为各级公司的安全保护。

1U rackmount network security

总而言之,尽管存在所有威胁,但选择最佳分层保护应该会给您更多的安全性(为什么不)让您高枕无忧。

 

原文:https://www.lanner-america.com/blog/waf-vs-ips-whats-difference/

本文:http://pub.intelligentx.net/waf-vs-ips-whats-difference

讨论:请加入知识星球或者小红圈【首席架构师圈】

SEO Title
WAF vs IPS: What’s The Difference?