WEB应用防火墙与IPS的区别
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
征匹配的数据难以识别经编码后的数据。 � 基于网络的包重组 NIPS 检测的数据源自由网络包重组,然后进行特征匹配。然而 WEB 应用中 存在拼接攻击行为,例如使用大小写混杂的字符 :SeLecT fRom“ 把空格符替换为 TAB 符或回车符 :select[TAB]from 关键词之间使用多个空格 :select from 字符串的数值编码 :0x414141414141 或 0x41004100410041004100 插入被数据库忽略的注释串 :sel/**/ect fr/**/om select/**/ from 使用数据库支持的一些字符串转换功能 :char(65) 或 chr(65) 使 用 数 据 支 持 的 字 符 串 拼 接 操 作 : 'sel'+'ect '+'fr'+'om’” 、 “‘sel'||'ect '||'fr'||'om'等大量的变种攻击以及应用语言中的注释夹杂从而使 NIPS 在防御方 面存在难度。 � 无法防御 HTTPS 应用系统 由于 NIPS 基于网络包重组技术的实现原理,也决定了无法识别 HTTPS 应用 数据从而不能检测 HTTPS 中存在的安全问题。 � 被动的防御动作 NIPS 在检测到 WEB 攻击时常用的防御动作为丢弃有异常的网络包数据或终 止 TCP 会话。然而这针对 WEB 应用的可用性会有一定影响,丢弃异常包会导致 用户端大量 TCP 重传, 而终止 TCP 会话会因为一个小的误判导致整个网站无法打 开。 WEB 应用防火墙可以解决上述诸多问题 � 代理架构决定防御深度 WEB 应用防火墙以透明代理模式工作,所有的 WEB 访问请求均经过 WEB 应用防火墙进行代理后向服务器发起请求。 WEB 应用防火墙在实现代理请求时 会将请求参数实现多重协议分析和编码解码处理, 从根本上解决了通过编码等绕 过防御的变种攻击。 � 提供 HTTPS 业务防御 WEB 应用防火墙采用代理技术, 因此可以将 SSL 卸载进行安全检测然后再将
防御深度
NIPS 在 WEB 应用方面防御深度不够 NIPS 作为一种在线式取串在网络中的安全防御产品就必然要权衡可用性和 安全性之间的一个最佳平衡点。 然而在向上层的的应用层由于协议众多,要识别 WEB 应用数据内容时存在较大的技术难度。主要原因如下 � 全局通用特征 由于 NIPS 是全局通用匹配,在 WEB 应用差异化的情况下,存在一定的技术 难度。 无法现基于 URL 以及特定请求头字段的识别和防御能力。 为了在可用性和 安全性寻找一个最佳平衡点, 所以在特征匹配方式时只能采用最为通用的特征以 降低误判从而降低了整体的安全防护能力。 � 基于签名的特征识别 NIPS 基本是依靠静态的签名进行识别,也就是攻击特征匹配,这只是一种 被动安全模型。然而 WEB 应用数据中大量使用了编码技术如 url 编码、html 编 码,utf 编码,16 进制编码,base64 编码,大小写变化、空字符插值等。基于特
论 WEB 应用防火墙与 IPS 的区别
安恒信息 杨勃
防御广度
通常我们所说的 IPS 其实是指 NISP(网络入侵防御系统)从防御广度上看 NIPS 具有较为全面的协议识别和解析功能,用来网络边界安全防御。它面对的 是海量数据,即 TCP/IP 模型中网络流量从物理层到应用层是逐层递交, NIPS 主 要定位在分析传输层和网络层的数据, 因为传输层和网络层都是标准化的 TCP/IP 协议,因此可以很精确的识别网络层和传输层异常行为并及时采取防御措施。 WEB 应用防火墙是用于 WEB 服务专用防御产品,对 HTTP 数据及 HTTPS 数 据进行专业防护,因此与 NIPS 相比防御广度方面更专注于 WEB 应用安全。
安全合规性要求
《网上银行系统信息安全通用规范》银发〔2010〕19 号文件中对网上银行系 统有明显的安全要求,其中对 WEB 应用安全中明确指出应用具备防止敏感信息 泄漏、防止 SQL 注入攻击、防止跨站脚本攻击等应用层攻击。并在增强的网络防 护架构中要求部SL 封装,从而实现了 HTTPS 数据的防护。由于 SSL 运算需要消耗大量 的系统资源,因此高端的 WEB 应用防火墙通常会内置 SSL 专用加密卡用于处理 SSL 数据的加解密。 � 细粒度防御解决误判问题 WEB 应用防火墙防护模式采用特征与匹配对象等多个条件构成,可以最大 限度上提高 WEB 防护的精确度。其中匹配对象采用多级组合方式实现,含有请 求客户端的 IP 地址,客户端工具,请求的域名,请求的 URL,提交的 cookie 等 多种条件组合。 因此可以实现基于每一个特定的 URL 的访问行为进行识别, 特征 匹配可以精确到单个 URL 请求中的指定的字段, 可以是通用字段也可以是用户环 境特有字段,从而有效解决了 NIPS 在 WEB 防御方面存在的误判问题。 � 异常行为特征识别 WEB 应用防火墙还可以实现防盗链和跨站请求伪造攻击,通过访问行为特 征进行识别,阻断来自盗链的请求以及伪造的请求行为。尽一步提高 WEB 应用 的安全性。