WEB应用安全——WAF与IPS，安全网关之架构差异

发布于 2022-09-11 23:33:59 字数 1129 浏览 14 评论 9

主要架构：1、IPS与安全网关；2、代理型防火墙。
1、 IPS与安全网关
业内人士都知道，IPS和安全网关绝大大多数是Linux或类Linux操作系统的嵌入式安全设备。它们通常为网络协议站的二层或者3层安全设备，即检测和防御主要在TCP/IP协议栈的第二层或者第三层实现。最早的防火墙主要是利用了Linux中Iptables（更早的Ipchain）与Netfilter框架所实现的基于IP地址和端口的行为特征与数据特征进行安全检测和防御。如对Synflood，Dos攻击等攻击的防御，逐渐演变到对蠕虫病毒等攻击的防御。基于一些近年来更复杂网络攻击就不能单纯的从基于IP地址的行为特征来分析，而必须采取对数据包内容的检测技术，即对原生攻击行为进行分析，提取出攻击的特征关键字，加入模式匹配的防御，从而实现有效的拦截。可以说无论是IPS还是网络防火墙，都不外乎这样的架构模式，只是不同的厂商，在多模式匹配，特征库维护方面，以及性能上所做出的研究体现出自身的一些优势，其他方面也大同小异了。IPS主要是基于透明网桥实现，在网络部署上无限灵活，其检测拦截介于协议栈的二层和三层；而安全网关，主要是在路由器网关的基础上，多数在网络协议栈的三层实现攻击检测和防御。
2、代理型防火墙
早期的网络防火墙也出现过代理防火墙这个概念，可以把现在的Linux中的NAT认为是内核的代理，当然这里似乎有一些误解，因为他仅仅是一个地址转换而已——源或者目的IP地址的转换，而不涉及到双向会话（session）的维护，所以不能认为是一个代理型防火墙。
假使A和B进行网络通信，那么介于A和B之间的代理型防火墙必须具备几个特点：（1）双向通信会话的维护，即既维持A与防火墙的连接，又维持B与防火墙的连接，而代理设备作为通信的中介桥梁，能顺利实现A和B的正常通信交互。在这里，可以说A与B之间直接的TCP通信将被中间劫持，包括会话的建立；（2）实现对A和B通信数据和行为的维护检测，对非法数据能够进行检测和拦截。
代理型防火墙通常工作的TCP/IP协议栈的TCP层以上，当然也有一些技术积淀很深的厂家，在IP层实现。而今年来涌现出来的WAF（Web Application Firewall，WEB应用防火墙），主要是这样一种架构模式的防火墙，且多数真正意义的安全WAF，是在应用层实现通信数据和行为的安全检测和防御。

个人浅显的总结，欢迎高手参与讨论指正。谢谢！

分享到QQ

分享到微博