入侵防御系统（IPS）和WAF的介绍与区别

入侵防御系统IPS

一、IPS设备基础

（1）IPS定义

IPS（Intrusion Prevention System）是一种网络安全设备或系统，用于监视、检测和阻止网络上的入侵尝试和恶意活动。它是网络安全架构中的重要组成部分，通过分析网络流量，检测入侵（包括缓冲区溢出攻击、木马、蠕虫等），并通过一定的响应方式，实时地中止入侵行为，保护企业信息系统和网络架构免受侵害，有助于保护网络和数据免受威胁。

（2）IDS和IPS区别

IDS仅用于检测威胁
IPS不仅检测威胁还主动采取措施来阻止它们。

（3）部署位置

IPS设备通常位于网络中的关键位置，例如边界防火墙、内部网络段和数据中心。这有助于监视流入和流出的流量，以及内部网络流量，以确保全面的安全性。

（4）常见入侵行为

篡改Web网页
破解系统密码
复制/查看敏感数据
使用网络嗅探工具获取用户密码
访问未经允许的服务器
其他特殊硬件获得原始网络包
向主机植入特洛伊木马程序

（5）工作原理/检测方法

1. 流量分析
   IPS设备使用深度数据包检查来分析网络流量。这包括检查数据包的源IP地址、目标IP地址、端口号、协议和内容。
2. 签名检测/误用检测
   IPS设备使用签名数据库来比对已知的攻击模式。这些签名类似于病毒定义文件，可以识别已知的恶意代码和攻击。（即创建了一个异常行为的特征库。我们将一些入侵行为记录下来，总结成 为特征，之后，检测流量和特征库进行对比，来发现威胁。）
3. 异常检测
   除了签名检测，IPS还可以使用行为分析来检测未知的、新型的攻击。这种方法涉及监视流量的正常模式，以便识别不正常或异常的活动。
4. 漏洞利用检测
   IPS设备可以检测和阻止攻击者尝试利用已知的软件漏洞入侵系统的行为。这是通过检查流量中的特定模式和行为来实现的。
   

1.在进行IPS模块检测之前，首先需要重组IP分片报文和TCP数据流； — 增加检测的精准性

2.在此之后需要进行应用协议的识别。这样做主要为了针对特定的应用进行对应精细的解 码，并深入报文提取特征。

3.最后，解析报文特征和签名（特征库里的特征）进行匹配。再根据命中与否做出对应预设 的处理方案。

（6）设备功能

1. 阻止恶意流量
   当IPS设备识别到潜在威胁时，它可以采取多种措施来阻止攻击。这包括丢弃恶意数据包、重定向流量到隔离区域或禁止特定IP地址的访问。
2. 日志记录和报警
   IPS设备生成详细的日志，记录检测到的威胁和采取的防御措施。这些日志对于安全审计和调查非常重要。此外，IPS可以触发警报，通知安全管理员有关威胁的情况。
3. 自动化响应
   高级IPS设备可以实现自动化响应。这意味着根据威胁的严重性和类型，IPS可以自动采取措施，减少人工干预的需求。这有助于快速应对威胁。
4. 性能优化
   IPS设备通常具有性能优化功能，以确保对网络流量的监视不会影响网络性能。这包括硬件加速和流量优化技术。

（7）优势

1. 实时的阻断攻击；
2. 深层防护 — 深入到应用层；
3. 全方位的防护 — IPS可以针对各种常见威胁做出及时的防御，提供全方位的防护；
4. 内外兼防 — 只要是通过设备的流量均可以进行检测，可以防止发自于内部的攻击。
5. 不断升级，精准防护

二、工作流程和威胁防范方法

（1）工作流程

1. 流量捕获：IPS系统首先需要捕获网络流量。这可以通过将IPS设备部署在网络的关键节点上实现，如网络边界、服务器前端或内部网络段。

2. 流量分析：捕获到的流量会被IPS系统分析。这一步骤涉及到对数据包的深入检查，包括但不限于源地址、目的地址、端口号、协议类型以及负载内容。

3. 签名匹配：IPS系统会使用预定义的攻击签名数据库与捕获到的数据包进行匹配。这些签名代表了已知的攻击模式或恶意行为。

4. 异常检测：除了基于签名的匹配，IPS还可以使用异常检测技术来识别不符合正常网络行为模式的流量。这可能涉及到行为分析、统计分析或其他启发式方法。

5. 攻击识别：结合签名匹配和异常检测的结果，IPS系统识别出潜在的攻击行为。

6. 响应机制：一旦检测到攻击，IPS系统会根据预设的策略自动响应。响应措施可能包括阻断攻击流量、重定向流量、向管理员发送警报、记录事件日志等。

7. 日志记录：所有检测到的攻击和采取的响应措施都会被记录在日志中，供安全分析师进行进一步的审查和分析。

8. 更新和维护：为了保持IPS系统的有效性，需要定期更新攻击签名数据库和调整检测策略，以应对新的威胁和攻击技术。

9. 报告和通知：IPS系统可以生成安全报告，并向网络管理员或安全团队发送通知，以便他们可以采取进一步的行动或进行安全审计。

10. 策略优化：根据日志分析和安全团队的反馈，IPS的策略和规则可能会被优化，以减少误报和提高检测准确性。

（2）威胁防范方法

1. 阻止恶意流量
   IPS 可能会终止用户的会话、阻止特定的 IP 地址，甚至阻止发往目标的所有流量。一些 IPS 可以将流量重定向到蜜罐 (honeypot)，这是一种诱饵式资产，使黑客认为他们已经成功，而实际上 SOC 正在监视他们。

2. 删除恶意内容
   IPS 可以允许流量继续，但清除危险部分，例如从流中丢弃恶意数据包或从电子邮件中删除恶意附件。

3. 触发其他安全设备
   IPS 可能会促使其他安全设备采取行动，例如更新防火墙规则以阻止威胁，或更改路由器设置以阻止黑客到达目标。

4. 执行安全政策
   某些 IPS 可以防止攻击者和未经授权的用户执行任何违反公司安全策略的行为。例如，如果用户尝试将不应离开的数据库中的敏感信息传输出去，IPS 就会阻止它们。

三、设备分类和其他设备

（1）设备分类

1. 网络IPS（NIPS）
   这是最常见的IPS类型，用于保护整个网络。它们通常位于边界防火墙之后，监视流入和流出的流量。网络IPS可分为内联和被动模式。
   NIPS安装在网络出口，以检测所有网络流量并主动扫描威胁。
2. 主机IPS（HIPS）
   主机IPS位于单个计算机或服务器上，用于保护特定主机免受恶意攻击。它可以监视和保护操作系统和应用程序。
   HIPS安装在终端上即单个主机软件，仅检测该设备进出方向的流量，通常与NIPS结合使用。
3. 网络行为分析（Network behavior analysis，NBA）
   NBA用于分析网络流量，通过检测异常流量，发现新的恶意软件或零日漏洞。
4. 无线入侵防御系统（Wireless intrusion prevention system，WIPS）
   WIPS用于扫描Wi-Fi网络中是否有未经授权的访问，并从网络中删除未经授权的设备。
5. 虚拟化IPS
   随着虚拟化技术的普及，虚拟化IPS出现，用于保护虚拟机和虚拟化环境。
6. 云IPS
   云IPS位于云环境中，用于保护云基础架构和云服务。它们可以检测和阻止云中的威胁。

（2）IPS 和其他安全解决方案

虽然 IPS 可作为独立工具使用，但它们旨在与其他安全解决方案紧密集成，作为整体网络安全系统的一部分。

1. IPS 和 SIEM（安全信息和事件管理）
   IPS 警报通常会传输到组织的 SIEM，在那里它们可以与来自其他安全工具的警报和信息合并到单个集中式仪表板中。将 IPS 与 SIEM 集成，使安全团队能够通过额外的威胁情报来丰富 IPS 警报、过滤掉错误警报并跟踪 IPS 活动，以确保成功阻止威胁。SIEMS 还可以帮助 SOC 协调来自不同类型 IPS 的数据，因为许多组织使用不止一种类型的 IPS。

2. IPS 和 IDS（入侵检测系统）
   如前所述，IPS 是从 IDS 发展而来的，并且具有许多相同的功能。虽然一些组织可能使用单独的 IPS 和 IDS 解决方案，但大多数安全团队部署单一集成解决方案，提供强大的检测、日志、报告和自动威胁防护。许多 IPS 使安全团队能够关闭预防功能，从而允许它们在组织需要时充当纯粹的 IDS。

3. IPS 和防火墙
   IPS 充当防火墙后面的第二道防线。防火墙会阻止外围的恶意流量，而 IPS 会拦截任何设法突破防火墙并进入网络的流量。有些防火墙，特别是下一代防火墙，内置了 IPS 功能。

（3）IDS、IPS、IDPS关系

三个都是用于网络安全的关键工具，但它们在功能和工作方式上有一些重要的区别和关系：

1. IDS（入侵检测系统）

   功能：IDS的主要功能是监视网络流量以检测可能的入侵或异常行为。它们分析网络流量、日志和事件，并生成警报以通知管理员可能的威胁。

   工作方式：IDS通常采用被动模式，只监视流量并生成警报，但不主动采取行动来阻止威胁。

   重点：IDS关注于威胁检测和报告，但不直接防止入侵。

2. IPS（入侵防御系统）

   功能：IPS的主要功能是与IDS类似，但它不仅检测威胁还主动采取措施来阻止它们。它可以阻止恶意流量和攻击。

   工作方式：IPS采用主动模式，具有阻止能力，可以在检测到潜在威胁时自动采取措施来阻止攻击。

   重点：IPS强调威胁检测和即时响应。

3. IDPS（入侵检测与入侵防御系统）

   功能：IDPS是将IDS和IPS功能集成到一个系统中的设备，既能检测潜在威胁也能采取主动措施来防止入侵。

   工作方式：IDPS能够根据配置进行主动防御，也能生成警报以通知管理员有关威胁的信息。

   重点：IDPS强调综合性的入侵检测和入侵防御。

IDS和IPS是IDPS的两个组成部分，IDPS可以同时执行它们的功能，也就是说，它既能监视并报告潜在的入侵，又能采取措施来防止入侵。

IDS和IPS都侧重于网络安全，但IDS主要用于监视和检测，而IPS除了监视和检测还能采取防御措施。

IDPS是一种集成了IDS和IPS功能的综合性解决方案，提供了更全面的入侵检测和防御能力，但通常也更昂贵。

四、挑战和未来

（1）挑战和限制

• 虚假正例
  IPS设备有时会误报正常流量为威胁，这被称为虚假正例。这可能导致安全团队不必要的干预。

• 性能成本
  深度分析和检查流量对IPS设备的性能有一定要求。在高流量网络中，IPS设备可能需要更多的计算资源。

• 零日攻击
  IPS设备通常依赖于已知的攻击签名来检测威胁，因此可能无法检测新型的零日攻击，这是尚未公开的漏洞的攻击。

• 隐私考虑
  IPS设备检查网络流量的内容，可能引发隐私问题，特别是在企业内部网络中。

（2）未来趋势

• 人工智能和机器学习
  IPS设备越来越采用人工智能和机器学习技术，以提高检测准确性和减少虚假报警。

• 云集成
  随着企业越来越多地将工作负载迁移到云中，IPS设备也需要集成到云环境中，以保护云基础架构和应用程序。

• 自动化响应
  IPS设备将进一步实现自动化响应，以快速应对威胁，减少安全团队的工作负担。

• IoT安全
  随着物联网（IoT）设备的增加，IPS设备将面临更多挑战，需要能够监视和保护IoT设备。

Web应用程序防火墙（WAF）

一、WAF基础

（1）防火墙介绍

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

（2）WAF概述

Web应用程序防火墙（WAF）是一种关键的网络安全解决方案，用于保护Web应用程序免受各种网络攻击和威胁。随着互联网的不断发展，Web应用程序变得越来越复杂，同时也变得更加容易受到恶意攻击。WAF的目标是在应用程序和Web服务器之间建立一个安全的屏障，有效地防止各种攻击和威胁进入应用程序和服务器内部，从而保护用户数据、隐私和业务运营的连续性。

这个"安全的屏障"实际上是指WAF的工作机制，它通过对传入的HTTP/HTTPS请求进行深入分析，检测其中是否包含恶意的行为，如SQL注入、跨站点脚本（XSS）、跨站点请求伪造（CSRF）等。如果检测到恶意行为，WAF将采取相应的措施，例如拦截请求、阻止恶意流量进入服务器、强制执行访问控制规则等。

（3）WAF功能和特性

WAF的核心功能之一是检测和防护各种Web应用程序攻击，包括但不限于：

1. 攻击检测和防护

   SQL注入（SQL Injection）： 攻击者试图在应用程序中插入恶意的SQL代码，以获取未经授权的访问权限。

   跨站点脚本（XSS）： 攻击者在Web页面中插入恶意脚本，以获取用户的敏感信息。

   跨站点请求伪造（CSRF）： 攻击者通过利用用户身份在用户不知情的情况下执行恶意操作。

   命令注入（Command Injection）： 攻击者试图通过向应用程序发送恶意命令来获得系统级访问权限。

2. 规则和签名

   WAF使用预定义的规则和签名来检测已知的攻击模式。这些规则可以基于正则表达式、字符串匹配或其他模式，用于识别潜在的攻击行为。管理员可以根据需要启用、禁用或自定义这些规则，以适应特定的应用程序需求。

3. 行为分析

   高级的WAF系统可以通过分析应用程序的正常行为模式来检测异常活动。通过建立应用程序的行为基线，WAF可以识别出不符合正常模式的请求和行为，从而捕获未知的攻击。

4. 白名单和黑名单

   WAF允许管理员配置白名单和黑名单，以控制对Web应用程序的访问。白名单中列出的IP地址或区域将被允许访问应用程序，而黑名单中列出的将被阻止。这为管理员提供了额外的控制权，以限制来自特定地区或恶意来源的访问。

5. 安全日志和报告

   WAF记录所有的HTTP请求和响应，以及其所采取的防护措施。这些日志对于审计、分析潜在的安全事件以及支持合规性要求非常重要。报告和分析功能使管理员能够更好地了解攻击趋势和应用程序的安全状况。

6. 自定义规则

   为了应对特定的攻击场景和业务需求，管理员可以创建自定义规则。这些规则可以针对应用程序的特定漏洞或脆弱性进行调整，提供更加精细的防护。

7. CDN集成
   一些WAF系统与内容分发网络（CDN）集成在一起。这种集成可以在全球范围内提供更好的性能和可扩展性，同时也能保护分布式的Web应用程序免受攻击。

二、WAF与防火墙的区别与协作

（1）区别

虽然Web应用程序防火墙（WAF）和传统网络防火墙都涉及到"防火墙"这一概念，但它们的本质和功能有一些关键区别。以下是WAF和防火墙的本质区别：

1. 应用层 vs. 网络层防御

   WAF： WAF是专门用于保护Web应用程序免受各种应用层攻击的安全解决方案。它主要关注HTTP请求和响应，并针对SQL注入、跨站点脚本（XSS）、跨站点请求伪造（CSRF）等攻击进行检测和防御。WAF能够深入分析应用层的数据，并根据应用程序逻辑判断是否存在恶意行为。

   传统防火墙： 传统网络防火墙位于网络层，主要用于控制网络流量的进出。它根据IP地址、端口和协议等信息来控制流量的流向，以防止未经授权的访问。传统防火墙通常不会深入分析应用层的内容，因此对应用层攻击的检测能力有限。

2. 焦点和规则

   WAF： WAF的主要焦点是识别和防御应用层攻击。它使用预定义的规则、签名和行为分析来检测潜在的攻击，然后采取相应的措施来保护应用程序。WAF可以定制规则，以适应特定的应用程序需求。

   传统防火墙： 传统防火墙的焦点是控制网络流量，阻止未经授权的访问。它使用IP地址、端口和协议等信息来过滤流量，确保只有授权的流量能够通过。传统防火墙的规则通常基于网络参数而非应用层内容。

3. 适用范围

   WAF： WAF主要用于保护Web应用程序，特别是对于涉及用户隐私和敏感信息的应用非常有用。它可以防御与Web应用程序相关的特定攻击。

   传统防火墙： 传统防火墙可以用于保护整个网络，无论是内部网络还是与外部网络的通信。它关注的是网络层面的流量控制。

4. 部署位置

   WAF： WAF通常部署在应用程序和外部网络之间，以拦截和检测进入应用程序的恶意流量。

   传统防火墙： 传统防火墙可以在网络边界、内部网络以及云平台等不同位置进行部署。

​ WAF和传统防火墙虽然都与"防火墙"相关，但它们的本质和功能存在重要区别。WAF专注于应用层攻击的检测和防御，而传统防火墙主要用于控制网络流量的进出。两者通常在不同的层面和场景中发挥作用，相互补充，以提供综合的网络和应用程序安全保护。

（2）协作

防火墙和WAF在网络安全中是两个关键的组件，它们在使用上有一定的关系，但又具有不同的重点和功能。以下是防火墙和WAF在使用上的关系介绍：

1. 层级保护
   ​防火墙通常位于网络的边界，用于过滤和监控进出网络的流量。它主要关注网络层面的安全，控制通信流量、IP地址和端口等。WAF则位于应用程序前端，主要关注应用层攻击的检测和防御。

2. 网络保护和应用保护
   ​防火墙主要用于保护整个网络免受未经授权的访问、恶意流量和网络攻击，它可以过滤入站和出站的流量。WAF则专注于保护Web应用程序免受应用层攻击，如SQL注入、XSS和CSRF等。

3. 不同的攻击防御
   ​防火墙主要用于防御网络层的攻击，如DDoS攻击、端口扫描等。WAF专注于防御应用层攻击，如针对Web应用程序的恶意请求和数据。

4. 不同的工作机制
   ​防火墙使用规则和策略来控制流量的流向，允许或拒绝特定类型的连接。WAF使用预定义的规则和行为分析来检测和阻止应用层攻击，它对HTTP请求和响应进行深入分析。

5. 综合安全
   ​综合安全策略可能会将防火墙和WAF结合使用。防火墙保护网络层，防御未经授权的访问和基本的网络攻击。WAF则在应用程序层提供额外的安全性，保护Web应用程序免受特定的应用层攻击。

6. 互补关系
   ​防火墙和WAF在安全策略中通常是互补的，相互弥补对方的不足。防火墙提供了基本的网络保护，而WAF则提供了专门的应用程序层保护。结合两者可以实现更全面的安全性。

7. 日志和监控
   ​防火墙和WAF都会生成日志，记录其活动和拦截的流量。这些日志对于安全审计、监控和调查安全事件都非常重要。

WAF、防火墙、IPS、IDS

一、角色定位

防火墙 - 建筑物的围墙和消防系统

WAF（Web应用程序防火墙） - 建筑物的入口大门保安的角色

IDS（入侵检测系统） - 建筑物内部的安全巡逻队

IPS（入侵防御系统） - 建筑物内部的监控系统和安全团队

VPN（虚拟专用网络） - 建筑物内部的隧道系统

• 防火墙
  把防火墙看作是建筑物的围墙和消防系统。它在建筑物的周围建起围墙，防止外部威胁进入。同时，它还监控建筑物内部的火灾风险，以防止火灾蔓延。防火墙负责控制流量进出，就像网络防火墙控制数据包的流动。

  职责：防火墙在网络边界处建立一道防线，监控所有进出网络的流量。它通过过滤数据包和控制端口访问来防止未经授权的访问和网络攻击。此外，防火墙还可以执行网络地址转换（NAT）和端口映射等操作。

  作用：防火墙保护网络免受未经授权的访问，防止外部威胁进入内部网络。

• WAF（Web应用程序防火墙）

  WAF类似扮演着建筑物的入口大门保安的角色。他负责检查进入建筑物的人员和物品，确保只有合法的访问，并拦截潜在的威胁。这位保安会检查人们携带的物品，确保没有危险的物品，就像WAF检查Web应用程序的流量，确保没有恶意请求。

  职责：WAF专注于保护Web应用程序的安全性。它检查所有进入Web应用程序的流量，过滤和识别潜在的Web攻击，如SQL注入、跨站脚本（XSS）和跨站请求伪造（CSRF）等。如果检测到威胁，WAF会阻止攻击并生成警报。

  作用：WAF确保Web应用程序的安全，防止攻击者通过Web应用程序入侵服务器或窃取用户数据。

• IDS（入侵检测系统）

  可比作为建筑物内部的安全巡逻队。这支巡逻队定期巡逻，观察建筑物内外是否有不寻常的活动，然后报告给安全团队。它们不干预，但提供了及时的警报，就像IDS监视网络流量并生成警报，等待安全团队采取措施。

  职责：IDS定期监视网络流量和系统行为，寻找不寻常的模式或活动。如果发现可疑行为，它们生成警报通知安全团队。IDS不直接阻止攻击，而是提供警报和事件记录。

  作用：IDS帮助监控网络活动，发现潜在的威胁，提供信息给安全团队进行进一步的调查和响应。

• IPS（入侵防御系统）

  类似于建筑物内部的监控系统和安全团队，监控系统会检查建筑物内部的每一个房间和走廊，以及每个人的行为。如果有人在建筑物内部做出不寻常的行为，监控系统会立即触发警报，并通知安全团队采取行动，就像IPS检测和阻止内部网络的恶意行为。

  职责：IPS在网络内部监视流量和行为，检测可能的入侵和恶意活动。它能够识别恶意行为并采取主动措施来阻止攻击，如封锁攻击源或修改防火墙规则。

  作用：IPS确保内部网络的安全，及时响应威胁并采取行动，防止内部系统和数据受到损害。

• VPN（虚拟专用网络）

  相当于建筑物内部的隧道系统。它们允许远程员工或分支机构通过安全的通道直接连通到建筑物内部，就像VPN允许用户通过加密通道连接到内部网络，确保数据的机密性和完整性。

  职责：VPN允许远程用户或分支机构通过加密通道安全地连接到内部网络。它加密数据传输，确保数据的机密性和完整性，并提供远程访问功能。

  作用：VPN扩展了内部网络的边界，允许远程访问，同时确保数据在传输过程中得到保护，适用于远程办公和分支机构连接。

二、其他联系

首先，防火墙是网络安全的第一道防线，其主要职责是监控和控制进出网络的数据流。通过设定安全规则，可以根据IP地址(IP-Addresses)或服务端口(Ports)过滤数据包，防火墙只允许符合规定的数据包通过，从而阻止潜在的威胁进入网络。防火墙可以有效地防止未经授权的访问，为整个网络提供基本的保护‌。然而，仅仅依靠防火墙并不足以应对所有类型的网络攻击。有些攻击可能会采用更加复杂和隐蔽的手段绕过防火墙的检测，它对于利用合法IP地址和端口而从事的破坏活动则无能为力。因为防火墙极少深入数据包检查内容。

这时，入侵防御系统（IPS）发挥了关键作用。IPS是对防火墙的重要补充，充当防火墙后面的第二道防线，它不仅能够检测已知的攻击模式，还能通过分析网络流量中的异常行为来发现未知的威胁。IPS能够实时地监控网络中的数据包，并进行深度分析，一旦检测到潜在的攻击行为，IPS会立即采取相应的措施进行阻断，防止攻击对网络造成损害‌。

防火墙会阻止外围的恶意流量，而 IPS 会拦截任何设法突破防火墙并进入网络的流量。

你可以使用防火墙来阻止未经授权的访问，使用IDS来进行深度的网络流量分析，然后使用IPS来阻止检测到的攻击