论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 41 篇帖子 ]  前往页数 1, 2, 3  下一页
作者 内容
 文章标题 : 请教: IPS与WAF在阻拦HTTP协议的SQL注入、XSS攻击等方面的区别
帖子发表于 : 2009-11-02 02:57 
离线
新手

注册: 2006-08-24 18:15
最近: 2014-05-23 10:48
拥有: 8.00 安全币

奖励: 0 安全币
在线: 77 点
帖子: 3
各位大牛:
有二个问题请教一下:

1 IPS与WAF(应用防火墙)中对HTTP协议的防护力度有什么区别,因为WAF主要是针对SLQ注入、xss攻击,但IPS也有这一方面的能力,那是否我买了IPS,就不用再买WAF?

2 WAF是买国产的好,还是买国外的好? 若买国产的,前三家是谁?

谢谢!! 请各位赐教。


--------本帖迄今已累计获得5安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-09 10:22 
离线
新手

注册: 2009-11-06 11:40
最近: 2012-01-14 12:50
拥有: 33.00 安全币

奖励: 0 安全币
在线: 113 点
帖子: 8
个人认为,区别还是很明显的,IPS号称防具有应用层攻击的能力有点"marketing" 的味道,下面是我的总结,请大家补充。

1. IPS 是根据signature来判断是否有入侵, 而绝大多数应用层的攻击是合理合法的数据,signature 根本match不上,如:
向Web Server 提交一个不正确XML 语法校验的文本文件,就会导致服务器解析形成循环导致CPU/Memory 耗尽,而这个文件是一个普通数据文本文件,根本不存在是否signature 匹配的问题。

Web Application firewall 是一个纯粹的反向代理服务器,它能够完全理解内容,进行程序的分析和处理。

2. IPS 主要针对于网络协议探测这一级,它只是具有极少一部分内容分析能力,如只能编写一个正则表达式,对IP数据包的净荷内容进行匹配。
可参考:http://www.cisco.com/en/US/docs/security/ips/6.1/configuration/guide/ime/ime_signature_engines.html#wp1040063
它描述了IPS signature Engine.

3. 采用这种对数据包中数据内容进行匹配的方式有很大的不足:
A) 逐包匹配,耗尽性能,请参见上述URL 中的Multi string Engine, 它描述到对内存有极大的影响
B) 采用明文匹配,攻击者对信息的稍加修改很容易骗过IPS

4.WAF是主动防御模型,可将未知的攻击抵御掉。不像IPS , 需要事先知道Signature, 往往是攻击发生后,才定义signature



5.PCI-DSS ,信用卡支付标准强烈推荐使用WAF. 符合此标准的WAF 能够达到PCI-DSS 数据安全标准


6. 很多WAF防应用层攻击功能,IPS无法做到
目前很多攻击是组合型攻击,如跨站点请求伪造等技术,综合运用了水印技术、渗透技术等进行攻击,防御这些攻击IPS是无法实现的

------------------


我认为最本质的区别在于 一个串是否代表应用层攻击 是典型的上下文相关的,只能在特定的应用上下文环境中分析,而特征码匹配是不考虑上下文的,仅仅数据内容上的匹配不能说明问题。而这种基于上下文的分析只有识别应用的机制,如WAF,才可以做。


深入一步,web应用攻击 特指的一些问题属于程序正确性问题,或者说语义问题,而字串搜索,甚至表达能力很强的正规式也只算得上是 语法工具,不能用来解决语义判断的问题。


如果说IPS是语法层面的机制,那WAF可看作语义层面的机制,要更高一层。


-------------------



是这样的,Cisco IDS/IPS有大概有将近20种Signature Engine,所有的Signature全部都在这些Engine的分类中。早期的IDS的Signature基本上是特征字符匹配,而IPS概念出现后Signature的概念模糊化,作为一种涵盖所有特征的Key而存在,既有语法的也有语义的,还产生了许多具备上下文能力的Engine,比如Sweep。最明显的就是Service Engine是比较早的Engine,所以可以看到Service HTTP类的Signature都是String Code和Type类型的,而后来在4.0以后出现了AIC Engine,它完全具备应用层语义解析能力,但到最新的IPS6.0版本,它也只有两个应用——HTTP和FTP,而且都是做最基本的分析(类似于防火墙的Application Inspect)。即便是这样,咱们的IDS/IPS都是默认关闭了AIC Engine下的所有Signature,原因我认为是性能问题。




这个性能问题反应了安全设备的分工,所以当有用户或友商置疑WAF与IPS功能的重叠时,我们不妨用Jiang Jun和Sang Yihong的意见应对,但注意IPS确实能够做也已经做了部分WAF的功能,只不过其产品定位的原因实在是比较弱,比如对HTTP的分析里是不会对XML的语句作用进行分析的。


--------本帖迄今已累计获得130安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-09 11:11 
离线
版主

注册: 2009-04-02 08:23
最近: 2015-06-27 13:59
拥有: 17,718.00 安全币

奖励: 10911 安全币
在线: 9666 点
帖子: 697
楼上的帖子是转发的,http://www.netyourlife.net/forum/viewthread.php?tid=10268,但仍然谢谢你转发。

对文中的意思,能不能理解成从实现上看,IPS是无状态的而WAF是有状态的;IPS是以包转发为基础的,而WAF是以过程代理为基础的。


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-09 13:22 
离线
顶级用户

注册: 2008-05-06 11:14
最近: 2015-11-20 11:00
拥有: 12,338.50 安全币

奖励: 13814 安全币
在线: 4241 点
帖子: 1018
IPS肯定不是基于包转发为基础的,否则IPS肯定检视不到应用层的东西,IPS会做报文重组来再现应用层,从这种角度上将不能说IPS是无状态的。


--------本帖迄今已累计获得42安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-09 15:11 
离线
版主

注册: 2009-04-02 08:23
最近: 2015-06-27 13:59
拥有: 17,718.00 安全币

奖励: 10911 安全币
在线: 9666 点
帖子: 697
DragonGo 写道:
IPS肯定不是基于包转发为基础的,否则IPS肯定检视不到应用层的东西,IPS会做报文重组来再现应用层,从这种角度上将不能说IPS是无状态的。


可能我的意思没有表达清楚,我是想说IPS的很多实现是以对每一个应用层的报文的处理为基本单位的,这里的处理一般是模式匹配,当转发掉这个报文后,后面的处理一般不再和这个报文有关,因此说是无状态的。我认为这也是2楼文中表达的意思。

或者这么说,你说的不是无状态是在网络层或者传输层来说的,我说的无状态是在应用层来说的。

当然,即使按照这个标准,IPS也肯定能做成“有状态的”,只是出于种种原因(主要是性能上的限制)不太容易做而已。

上面和前面的帖子只是就事论事的说,其实我到是觉得在对WEB服务器的保护上,IPS和WAF只是为了达到同一目的在同一方向上用有差别的方式实现的两个名字不同的东西而已。WAF上的技术用到IPS上,那IPS就不叫IPS了吗?反过来呢?


--------本帖迄今已累计获得44安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-10 16:12 
离线
顶级用户

注册: 2007-09-24 12:46
最近: 2015-07-18 17:29
拥有: 4,927.20 安全币

奖励: 2704 安全币
在线: 6552 点
帖子: 707
地址: Beijing,China
WAF一般都是基于http代理实现的,FW本身有路由、负载均衡等功能,对Web过滤一般比较简单;
IPS一般实现为透明模式,基于应用层协议分析实现,SQL Injection/XSS等只是IPS众多功能中的一点。

个人认为,两者侧重点不同。
就SQL Injection/XSS检测技术来说,各个厂家实现形态各异,有的基于signature,有的基于语义分析。


--------本帖迄今已累计获得46安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-11 16:55 
离线
初级用户

注册: 2004-05-17 13:06
最近: 2013-06-13 17:47
拥有: 235.50 安全币

奖励: 8 安全币
在线: 1503 点
帖子: 23
地址: 北京
二楼的转帖过于武断。
C家的I家的Waf出得比较早,基本都是异常模型需要自学习的方式。
如果认为这两家的Waf才能叫Waf的话,那么国内几乎可以看做是没有Waf的。

对于文中的观点:
1、IPS都是基于signature的,呃,我不是太认同,当然你要说signature包括数据的和行为的,就当我没说。这里行为与你说的“语义”上的差不多一个意思。
2、cisco,我不认为它的IDS有多强。
3、还是拿cisco来说事,就像我说我篮球打得比贝克汉姆好一样,不算英雄吧。
4、同意,但要注意到,这种Waf是不是有可能把一些不常见的正常行为视作攻击呢?
5、呃,误导,完全的误导,PCI-DSS标准是怎么回事,大家都可以去看看,不要把先后顺序弄翻了。曾有个笑话,说是有人发现一个小孩每次射击都能击中一个非常小的粉笔圈中,后来才发现该小孩先射击,后画圈。
6、过于武断,就看到结论了。


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教: IPS与WAF在阻拦HTTP协议的SQL注入、XSS攻击等方面的
帖子发表于 : 2009-11-11 23:02 
离线
新手

注册: 2008-03-04 14:16
最近: 2013-02-05 00:09
拥有: 16.30 安全币

奖励: 5 安全币
在线: 430 点
帖子: 18
针对SQL注入和XSS攻击,选择IPS还是WAF是一个伪命题。

分析一下WAF的主流厂商,你就会发现他们都号称自己是“应用交付”系统的供应商;而IPS厂商则号称自己是安全产品的供应商。

对应的,WAF产品功能列表前几项都是应用加速、SSL加速、负载均衡相关的功能,而IPS首先会提到的攻击防御功能。

技术是块砖,那个产品要可以往那里搬,所以SQL注入和XSS攻击的防御能力还是要看厂商的这方面的研究能力。在这方面,我个人更信赖安全厂商的实力。

如果不是真的需要应用加速这些功能,那还不如好好测试测试各家IPS的SQL注入和XSS攻击的防御能力。


wangx_sz 写道:
各位大牛:
有二个问题请教一下:

1 IPS与WAF(应用防火墙)中对HTTP协议的防护力度有什么区别,因为WAF主要是针对SLQ注入、xss攻击,但IPS也有这一方面的能力,那是否我买了IPS,就不用再买WAF?

2 WAF是买国产的好,还是买国外的好? 若买国产的,前三家是谁?

谢谢!! 请各位赐教。


--------本帖迄今已累计获得41安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : Re: 请教: IPS与WAF在阻拦HTTP协议的SQL注入、XSS攻击等方面的?
帖子发表于 : 2009-11-12 11:26 
离线
初级用户

注册: 2004-05-17 13:06
最近: 2013-06-13 17:47
拥有: 235.50 安全币

奖励: 8 安全币
在线: 1503 点
帖子: 23
地址: 北京
[quote="farriest"]针对SQL注入和XSS攻击,选择IPS还是WAF是一个伪命题。

分析一下WAF的主流厂商,你就会发现他们都号称自己是“应用交付”系统的供应商;而IPS厂商则号称自己是安全产品的供应商。

对应的,WAF产品功能列表前几项都是应用加速、SSL加速、负载均衡相关的功能,而IPS首先会提到的攻击防御功能。

技术是块砖,那个产品要可以往那里搬,所以SQL注入和XSS攻击的防御能力还是要看厂商的这方面的研究能力。在这方面,我个人更信赖安全厂商的实力。

如果不是真的需要应用加速这些功能,那还不如好好测试测试各家IPS的SQL注入和XSS攻击的防御能力。

quote]


其实也不尽然,有的时候我还是觉得基于异常模型的方法比单纯数据signature的要好。

至于最后一句话,我完完全全的赞成。
不要被名字吓唬住了,比如叫王大侠的可能是个小混混,而叫李二狗的保不齐才是第一高手。


--------本帖迄今已累计获得56安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-15 14:53 
离线
顶级用户

关注按钮

注册: 2005-06-29 22:32
最近: 2018-05-14 09:27
拥有: 9,427.60 安全币

奖励: 1067 安全币
在线: 5498 点
帖子: 1297
地址: www.youxia.org
是的,毫无疑问的,现在做WAF的几乎都在鼓吹如下几个功能:
抗攻击、应用加速、负载均衡、“防篡改”
而实际上,真正和安全相关的是抗攻击、“防篡改”
个人观点:就单纯的防护网站而言,IPS效果可能要好一些


--------本帖迄今已累计获得29安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-16 11:25 
离线
新手

注册: 2005-10-24 12:43
最近: 2014-06-03 13:47
拥有: 73.00 安全币

奖励: 0 安全币
在线: 1117 点
帖子: 6
针对IPS与WAF在阻拦HTTP协议的SQL注入、XSS攻击等方面的区别,其实很简单:

1.IPS完全是被动的防御,WAF是主动和被动相结合的防御.

2.IPS是基于单包的检测,WAF是基于HTTP代理的检测,WAF可完全识别HTTP会话请求,进行分析,进行主动防御.

3.IPS目前仅仅能防已知SQL注入、XSS攻击,对于其它的比如:cookie相关攻击,溢出攻击,代码攻击等是无法防御的,而WAF提出的是应用攻击防御完整的解决方案,可以从应用层攻击的各个方面进行应用层的安全防御.

4.一些附加的比如:应用审计,加速,SSL攻击检测,等等这些更是IPS无法解决的实际问题.


--------本帖迄今已累计获得34安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-18 17:10 
离线
中级用户

注册: 2009-01-21 13:23
最近: 2014-06-26 14:35
拥有: 1,066.10 安全币

奖励: 0 安全币
在线: 740 点
帖子: 81
WAF作为透明代理的,除了能够防外的,还应对访问返回中包含的敏感信息进行保护,如WEB服务版本什么的,能够有效的防止信息泄漏。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-18 17:20 
离线
顶级用户

注册: 2007-09-24 12:46
最近: 2015-07-18 17:29
拥有: 4,927.20 安全币

奖励: 2704 安全币
在线: 6552 点
帖子: 707
地址: Beijing,China
everyday1700 写道:
针对IPS与WAF在阻拦HTTP协议的SQL注入、XSS攻击等方面的区别,其实很简单:

1.IPS完全是被动的防御,WAF是主动和被动相结合的防御.
主动防御与被动防御有什么区别呢?
2.IPS是基于单包的检测,WAF是基于HTTP代理的检测,WAF可完全识别HTTP会话请求,进行分析,进行主动防御.

您说的这些WAF功能,出了代理检测,IPS都可以做到啊,顺便说一句:IPS可不是单包检测。
3.IPS目前仅仅能防已知SQL注入、XSS攻击,对于其它的比如:cookie相关攻击,溢出攻击,代码攻击等是无法防御的,而WAF提出的是应用攻击防御完整的解决方案,可以从应用层攻击的各个方面进行应用层的安全防御.
还是那句话,IPS已经做到了深层次的应用层分析,您说的这些都不在话下。

4.一些附加的比如:应用审计,加速,SSL攻击检测,等等这些更是IPS无法解决的实际问题.

SSL攻击倒是IPS无法完成的,毕竟IPS不是工作在代理方式下的,应用审计什么的没有问题啊,

对于IPS和WAF,个人认为对于HTTP这一块是完全的交集,两者相差的是工作模式,一个居于HTTP协议深度分析,一个基于Web代理,但是IPS解决的安全问题要远远大于WAF所能提供的。


一家之言,欢迎砖块!:D


--------本帖迄今已累计获得40安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-20 23:32 
离线
初级用户

注册: 2008-09-02 22:56
最近: 2012-01-19 14:15
拥有: 229.00 安全币

奖励: 0 安全币
在线: 418 点
帖子: 41
存在的就是合理,选用IPS还是选用WAF要看用户对安全的需求。另外新生的产品总是需要经历一个过程,自身需要成熟,与此同时人们的认识、意识要需要慢慢才能转变。如同我们的眼光只在端口级别的访问控制的情况下就不会觉得IPS有多么的必要,相信在不久的将来,不论是代理的或是IPS架构的终将在应用安全这一个新的领域产生重大的影响。


--------本帖迄今已累计获得26安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-11-21 20:59 
离线
高级用户

注册: 2004-08-07 11:53
最近: 2014-09-26 10:19
拥有: 1,665.60 安全币

奖励: 7 安全币
在线: 4869 点
帖子: 203
我个人认为基本没有争议,肯定是WAF好;
SQL,XSS是那应用层的攻击;对此IPS还无法真正说自己工作在应用层
而WAF才能工作在应用层,从这点上来说WAF的出身就比IPS强.
举个例子, WAF在检测xss或者SQL时,能够从HTTP的RFC规范角度来检测,IPS能吗?
当然实际过程中至于WAF做得好不好是另一回事


--------本帖迄今已累计获得48安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 41 篇帖子 ]  前往页数 1, 2, 3  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
cron
华安信达(CISPS.org) ©2003 - 2012