ips+vs+waf++详细功能对比.docxVIP

IPS 和 WAF 功能对比 IPS 其工作原理是检测数据包有效载荷，提取特征（如下图所示） ，然后 与设备加载的攻击特征码进行比对， 设备加载的特征码都是从已知通用应用 协议或应用系统漏洞中提取出来的，专门针对这类通用漏洞的攻击防护，大 部分能通过打补丁的方式解决。然而，经业界众多专业厂商研究分析，目前 攻击者大多采用的是针对网站代码内容的攻击手段， 而不是采用传统特征库 中已有的通用攻击手段。 IPS 具备了针对已知通用应用协议或应用系统漏洞 的防护，但对于目前普遍定制开发的 web 站点系统，由于网站应用代码中的 漏洞而带来的应用攻击，不能提供有效的防御，尤其是对一些逻辑关系复杂 的应用攻击。例如如果代码编写者对用户提交的数据未做适当的检查验证， 用户可以利用 web 页面中提交数据的表单构造访问后台数据库的 SQL 指令， 从而能够非授权操作后台数据库，达到获取敏感信息、破坏数据库内容和结 构、甚至利用数据库本身的扩展功能控制 web 服务器操作系统，如此不仅能 够达到网页挂马，还可以构成对 web 服务器的其他攻击，篡改网页内容更是 轻而易举。 图： IPS 检测数据包有效负载比对特征进行攻击防御 举例说明 比如 SQL 注入，它们都是可以防护的，但防护的原理有区别， IPS 基本 是依靠静态的签名进行识别，也就是攻击特征，这只是一种被动安全模型。 如下是一个 Snort 的告警规则： alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:“SQL Injection - Paranoid”; flow:to_server,established;uricontent:“.asp”;pcre: “/(%27)|(‘ )|(--)|(%23)|(#)/i ”; classtype:Web-application-attack; sid:9099; rev:5;) 这里主要是检查在 SQL 注入中提交的元字符，包括单引号 ( )和双横 ( -- )，从而避免注入 1 or 1=1— 之类的攻击发生，但同时又要考虑这些元字 符转换成 Hex 值来逃脱过滤检查， 于是又在规则里增加了其对应的十六进制 编码后的字符串。 当然，要从签名特征来识别攻击要考虑的东西还很多，不仅元字符还有 SQL 关键字，包括： select insert update等，以及这些关键字的大小写变形和 拼接，利用注释逃脱过滤，如下所示例： 使用大小写混杂的字符 ：SeLecT fRom“ 把空格符替换为 TAB 符或回车符 ： select[TAB]from 关键词之间使用多个空格 ：select from 字符串的数值编码 ： 0x414141414141或 0x411004100 插入被数据库忽略的注释串 ： sel/**/ect fr/**/om select/**/ from 使用数据库支持的一些字符串转换功能 ：char(65) 或 chr(65) 使用数 据支 持的字符串拼接操作 ： sel+ect +fr+om ’” 、 “‘ sel||ect ||fr||om 可以设想一下， 如果要检测以上的变形字符后的攻击则需要增加相应的 签名特征，但更重要的是要充分考虑转换编码的种类，上面示例的 snort 的 规则把可疑字符以及其转换后的 Hex 值放入同一条规则里检查， 如果对于变 形后繁多的攻击种类，这是滞后的并且会造成签名臃肿。 对于比较粗浅的攻击方式两者都能防护，但市面上大多数 IPS 是无法对 报文编码做多重转换的，所以这将导致攻击者只需构建诸如转换编码、拼接 攻击语句、大小写变换等数据包就可绕过输入检查而直接提交给应用程序。 而这恰恰又是 WAF 的优势，能对不同的编码方式做强制多重转换还原 成攻击明文，把变形后的字符组合后在分析。 同时 WAF 具有更多的功能特性， 包括安全交付能力、 基于 cache的应用 加速、挂马检查、 抗 DDOS 攻击、符合 PCIDSS的防泄密要求等， 所以 WAF 不仅仅能做到攻击防护， 同时也能满足客户体验和做到机密数据防护的高度 集成的专业产品。 总结 1、需求方面： A） IPS 部署在网络出口处用于入侵防御 ，对网络净化， 可以做到网 络防护、应用防护和内容管理。为用户提供从网络层、应用层 到内容层的深度安全防护。 B） WAF 部署在 WEB 服务器群前面 ，主要针对 WEB 服务器的保护。 2、技术方面： IPS 主要是基于特征代码的静态匹配。 WAF 针对 WEB 服务器的防护除了具有特征码静态匹配外，还具有如下 IPS 所不具备的特点： 具有 HTTP 应用代理，能够识别检测 HTTP/HTTPS 协议内