防火墙、IDS、IPS的区别
简介:前面三篇文章,针对防火墙、IDS、IPS做了详细介绍,具体内容这里不再赘述,感兴趣的小伙伴可以去看看哦。概念不同防火墙和IPS属于访问控制类产品,而IDS属于审计类产品。我们可以用一个简单的比喻,描述三者的不同和 …
前面三篇文章,针对防火墙、IDS、IPS做了详细介绍,具体内容这里不再赘述,感兴趣的小伙伴可以去看看哦。
概念不同
防火墙和IPS属于访问控制类产品,而IDS属于审计类产品。我们可以用一个简单的比喻,描述三者的不同和关系——将网络空间比喻成一个大厦,那么防火墙相当于门锁,有效隔离内外网或不同安全域,IDS相当于监视系统,当有问题发生时及时产生警报,而IPS则是巡视和保证大厦安全的安保人员,能够根据经验,主动发现问题并采取措施。
保护内容不同
防火墙较多应用在转发、内网保护(NAT)、流控、过滤等方面;IDS和IPS主要针对一些攻击情况。一般的防火墙只能做到3-4层的保护,对于5-7层的应用保护很一般,而5-7层的保护正式IDS和IPS的长处。
部署位置不同
· 防火墙通常采用串行接入,部署在网络边界,用来隔离内外网;
· IDS通常采用旁路接入,在网络中的位置一般选择为:尽可能靠近攻击源、尽可能靠近受保护资源,这些位置通常是:
1. 服务器区域的交换机上;
2. Internet接入路由器滞后的第一台交换机上;
3. 重点保护网段的局域网交换机上。
· IPS通常采用Inline接入,在办公网络中,至少需要在以下区域部署:
1. 办公网与外部网络的连接部位(入口/出口);
2. 重要服务器集群前端;
3. 办公网内部接入层;
工作机制不同
防火墙是重要的网络边界控制设备,主要通过策略5要素(源、目的、协议、时间、动作,各厂家根据定义不同,会有所扩展)实现对网络的访问控制。
IDS主要针对已发生的攻击事件或异常行为进行处理,属于被动防护。以NIDS为例:NIDS以旁路方式,对所监测的网络数据进行获取、还原,根据签名进行模式匹配,或者进行一系列统计分析,根据结果对有问题的会话进行阻断,或者和防火墙产生联动。IDS的致命缺点在于阻断UDP会话不太灵,对加密的数据流束手无策。
IPS针对攻击事件或异常行为可提前感知及预防,属于主动防护。根据设置的过滤器,分析相对应的数据包,通过检查的数据包可以继续前进,包含恶意内容的数据包就会被丢弃,被怀疑的数据包需要接受进一步的检查。IPS的阻断方式较IDS更为可靠,可以中断拦截UDP会话,也可以做到确保符合签名规则的数据包不漏发到被保护区域。IPS致命的缺点是同样硬件的情况下,性能比IDS低的多。实际应用中,误杀和漏杀和IDS一样,主要是签名库决定的。但是随着UDP协议的广泛使用,IPS在UDP上的误杀率可能会高于IDS。
三者在网络中相互配合,各司其职,实际使用中,需要根据具体网络需求进行评估和选择,有效发挥各设备优势,尽量避免缺点和不足,保证网络的安全运行。
「网络安全」安全设备篇(5)——UTM
什么是UTM?
UTM是英文”Unified Threat Management”的缩写,中文意思是”统一威胁管理”,业界常称之为安全网关。
统一威胁顾名思义,就是在单个硬件或软件上,提供多种安全功能。与以往传统的安全设备不同,传统的安全设备一般只解决一种问题。
UTM常被定义为由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,同时将多种安全特性集成于一个硬件设备里,形成标准的统一威胁管理平台。
常见功能
UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。各厂商会在UTM产品中增加应用层防火墙和控制器、深度包检测、Web代理和内容过滤、数据丢失预防、安全信息和事件管理、虚拟专用网络、网络沼泽等功能,以迎合不同用户需求,保持市场优势。
虽然UTM集成了多种功能,但却不一定要同时开启。根据不同用户的不同需求以及不同的网络规模,UTM产品分为不同的级别。如果用户需要同时开启多项功能,则需要配置性能比较高、功能比较丰富的产品。
优点
降低了成本UTM将多个安全设备的功能集于一身,大大降低了硬件成本、人员成本、时间成本。
降低工作强度UTM提供了以往多种产品的功能,并且只要插接在网络上就可以完成基本的安全防御功能,大大降低了安装、配置、运维的工作强度。
降低技术复杂度UTM提供了一体化管理方式,降低了掌握和管理各种安全功能的难度以及用户误操作的可能,使安全管理人员可以通过单一设备集中进行安全防御,而不需要拥有多个单一功能的设备,每个设备都需要人去熟悉、关注和支持。对于没有专业信息安全人员及技术力量相对薄弱的组织来说,使用UTM产品可以提高这些组织应用信息安全设施的质量。
缺点
抗风险能力降低虽然UTM提供了通过单一设备管理,实现多种安全功能的能力,同时也引入了一个不可避免的问题——单点故障,一旦该UTM设备出现问题,将导致所有的安全防御措施失效。UTM设备的安全漏洞也会造成相当严重的损失。
内部防御薄弱由于UTM的设计原则违背了深度防御原则,虽然UTM在防御外部威胁非常有效,但面对内部威胁就无法发挥作用了。然而,造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备,目前尚不是解决安全问题的灵丹妙药。
单一防御功能较弱UTM本质上是将防病毒、入侵检测和防火墙等N个网络安全产品功能集中于一个设备中,必然导致每一个安全功能只能获得N分之一的处理能力和N分之一的内存,因此每一个功能都较弱。
性能和稳定性尽管使用了很多专门的软硬件技术用于提供足够的性能,但是在同样的空间下,实现更高的性能输出,对系统稳定性造成的影响不可避免。目前,UTM安全设备的稳定程度与传统安全设备相比,仍需不断提高,且任重道远。
「网络安全」安全设备篇(6)——WAF
什么是WAF?
WAF是英文”Web Application Firewall”的缩写,中文意思是”Web应用防火墙”,也称为”网站应用级入侵防御系统”。WAF是集WEB防护、网页保护、负载均衡、应用交付于一体的WEB整体安全防护设备。
WAF需要部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。
WAF主要技术
WAF的主要技术是对入侵的检测能力,尤其是对Web服务入侵的检测能力。常见的实现形式包括代理服务、特征识别、算法识别、模式匹配。
代理服务
代理方式本身是一种安全网关,基于会话的双向代理,中断了用户与服务器的直接连接,适用于各种加密协议,这也是Web的Cache应用中最常用的技术。代理方式有效防止入侵者的直接进入,对DDOS攻击可以抑制,对非预料的“特别”行为也有所抑制。
特征识别
识别出入侵者是防护它的前提。特征就是攻击者的“指纹”,如缓冲区溢出时的Shellcode,SQL注入中常见的“真表达(1=1)”。应用信息没有“标准”,但每个软件、行为都有自己的特有属性,病毒与蠕虫的识别就采用此方式,麻烦的就是每种攻击都自己的特征,数量比较庞大,多了也容易相象,误报的可能性也大。虽然目前恶意代码的特征指数型地增长,安全界声言要淘汰此项技术,但目前应用层的识别还没有特别好的方式。
算法识别
特征识别有缺点,人们在寻求新的方式。对攻击类型进行归类,相同类的特征进行模式化,不再是单个特征的比较,算法识别有些类似模式识别,但对攻击方式依赖性很强,如SQL注入、DDOS、XSS等都开发了相应的识别算法。算法识别是进行语义理解,而不是靠“长相”识别。
模式匹配
IDS中“古老”的技术,把攻击行为归纳成一定模式,匹配后能确定是入侵行为。协议模式是其中简单的,是按标准协议的规程来定义模式,行为模式就复杂一些。
最大挑战
WAF最大的挑战是识别率,这并不是一个容易测量的指标,因为漏网进去的入侵者,并非都大肆张扬,比如给网页挂马,很难察觉进来的是哪一个,不知道当然也无法统计。对于已知的攻击方式,可以谈识别率;对未知的攻击方式,你也只好等他自己“跳”出来才知道。
WAF分类
WAF从形态上可分为硬件WAF、WAF防护软件和云WAF。
硬件WAF
通常串行部署在Web服务器前端,用于检测、阻断异常流量。通过代理技术代理来自外部的流量,并对请求包进行解析,通过安全规则库的攻击规则进行匹配,如成功匹配规则库中的规则,则识别为异常并进行请求阻断。
软件WAF
通常部署在需要防护的服务器上,通过监听端口或以Web容器扩展方式进行请求检测和阻断。
云WAF
云WAF,也称WEB应用防火墙的云模式,这种模式让用户不需要在自己的网络中安装软件程序或部署硬件设备,就可以对网站实施安全防护,它的主要实现方式是利用DNS技术,通过移交域名解析权来实现安全防护。用户的请求首先发送到云端节点进行检测,如存在异常请求则进行拦截否则将请求转发至真实服务器。
WAF作用
WAF的作用主要包括WEB防护和防止WEB信息泄露两大部分,具体如下:
Web防护
1.网络层:DDOS攻击、Syn Flood、Ack Flood、Http/Https Flood(CC攻击)、慢速攻击;
2.应用层:URL黑白名单、HTTP协议规范(包括特殊字符过滤、请求方式、内容传输方式,例如:multipart/form-data,text/xml,application/x-www-form-urlencoded);
3.注入攻击(form和URL参数,post和get):SQL注入防御、 LDAP注入防御、 命令注入防护(OS命令,webshell等)、 XPath注入、 Xml/Json注入、XSS攻击(form和URL参数,post和get,现阶段分为三类攻击:存储式(危害大,也是一种流行方式),反射式、基于Dom的XSS);
4.目录遍历(Path Traversal)
5.form表单数据验证和表单篡改和注入(表单验证银行卡、数据、日期等)
6.认证管理和会话劫持(cookie加密:防护会话劫持,包括cookie超时)。
7.内容过滤(这儿强调上传内容过滤post form和get 参数,主要应用论坛)
8.Web服务器漏洞探测(apache版本等隐藏,站点隐藏)
9.爬虫防护(基于SRC IP,周期判断访问数,爬虫白名单除外)
10.CSRF(Cross-site request forgery)(WAF采用token方式处理能够解决)
11.篡改(包括盗链)(WAF周期爬服务器网页,进行对比验证,如果篡改发现篡改,Client访问WAF网页)
12Web服务器漏洞扫描(模拟攻击,判断缺陷,自动配置对应规则)
13.cache加速(静态页面优化,PDF,图片等,需要周期映像)
14.错误码过滤(探测服务,及其目录结构)
15.站点转换(URL rewrite)
16.发现攻击锁定(发现攻击,锁定用户)
17.查杀毒
18.加密传输(http -> https转化,即client-waf之间通过https,waf与server之间http)。
URL ACL(URL匹配一些规则)。
防止Web信息泄露
银行卡(信用卡、借记卡)、社保卡、驾照等,采用覆盖和隐藏两种方式。
敏感词过滤、Web中关键词(政治敏感词、技术关键词等)
防止文件泄露(word、pdf等扩展文件及其关键词),Web服务器上的文件。