WAF:web application firewall:web应用程序防火墙。
以反向代理的方法配置waf,工作于应用层,以检测http数据的方法为应用或者是web服务器提供安全保护。
往往被配置在页面或者是web应用程序的前面。
核心功能是检测和识别,通过对http数据包的特征分析,屏蔽丢弃无用或带有攻击行为的请求。还可以限制文件上传,检测特殊输入等等。
传统防火墙:传统防火墙的往往工作在传输层和网络层之间,针对ip地址,封锁一些恶意的请求。往往可以用来隔断受信任的内网和外部网络。
所有用户针对内部网络的访问,都需要经过防火墙的允许,只有防火墙进行识别之后,才会针对用户权限,行为予以放行。
主要功能是:内外网隔离,内网保护,流量控制,ip识别
通常是软硬件协同工作,被部署在路由器和局域网交换机之间。不仅针对用户请求做筛查,同时也有记录审计功能。是计算机必备的功能。
IPS/IDS:入侵防御/检测系统(p:prevention 防御 D:detection 检测)
防火墙和IPS属于访问控制类产品,而IDS则属于审计类产品。形象的说,防火墙是大门,ids就是监控系统,ips则是升级的监控系统,有机关保护的监控。
不同于防火墙往往保护网络层和传输层,ips则针对高层同样有保护效果。
IPS和IDS都被部署在防火墙之后的流量传输链路上。
IDS只需实现检测功能,不负责防御,所以往往与流量传输并联,或是部署在旁路上,只负责检测恶意流量和已经配置好的攻击模式,然后对管理员示警,不做具体响应。
IPS为了实现防御功能,所以往往与流量传输以串联形式配置,关键网络的入口出口处都需要设置。
IPS相当于升级版的IDS,而IDS由于缺乏防御行为,如今已经不再常用了。
IDS/IPS的工作原理是事先在系统内部配置好检测行为,例如筛查特殊字符,做转义编码等等。再在流量经过链路上仔细检测每一个数据包,与事先设置好的阈值相比对,做出相应的行为。
或者是特殊的攻击行为有其相应特征或者是模式,针对这种模式进行筛查过滤也是核心功能。
下图则是防火墙,IPS/IDS,WAF的网络拓扑结构。
