WAF、防火墙、防毒墙、防病毒网关、IPS、IDS、下一代防火墙功能原理和区别
WAF、防火墙、防毒墙、防病毒网关、IPS、IDS、下一代防火墙功能原理和区别!!!
--开始
【WAF】
专门用来保护web应用
判断信息:http协议数据的request和response
工作范围:应用层7层
目的:防止基于应用层的攻击影响web应用系统
主要技术原理:
代理服务 会话双向代理,用户与服务器不产生直接连接,对于DDOS攻击可以抑制
特征识别:通过正则表达式的特征进行特征识别
算法识别:针对攻击方式进行模式化识别,如SQL注入,DDoS xss等
【IPS】
部署方式:串联部署、桥接模式、旁路联动防火墙
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器,对于识别的流量进行阻断,对于未识别的流量放行;
目的:IDS只能对网络环境进行监测,但无法进行防御,IPS主要是针对已知威胁进行防御
分析方式:
基于规则入侵检测
基于异常情况检测
【IDS】
部署方式:旁路部署,可多点部署
工作范围:2-7层
工作特点:根据部署位置对流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头;
目的:传统防火墙只能基于规则执行是否的策略,IDS主要是为了帮助管理员清晰的了解网络环境中发生了什么;
分析方式:
基于规则入侵检测
基于异常情况检测
统计模型分析呈现
【下一代防火墙】
包含功能:FW.IDS.IPS.AV.WAF
工作范围;2-7层
与UTM区别:
与UTM相比增加web应用防护功能
UTM是串行处理机制,NGFW是并行处理机制
NGFW的性能更强,管理更高效。
防火墙性能指标
吞吐量
时延
丢包率
背靠背 防火墙缓冲容量
并发连接数
防火墙基本原理
安全域 安全策略 会话表
特点:
防火墙是一种高级访问控制设备,
置于不同网络安全域之间,
它通过相关的安全策略控制(允许,拒绝,监视,记录)进出网络的访问行为。
防火墙核心技术
包过滤
应用代理
状态监测
完全内容监测
【统一威胁】
多合一安全网关
包含功能:FW.IDS.IPS.AV
工作范围:2-7层(不具备web应用防护能力)
目的:将多种安全问题通过一台设备解决
优点:多功能合一有效降低了硬件成本,人力成本,时间成本
缺点:模块串联监测效率低,性能消耗大
【防病毒网关】
基于网络侧面识别病毒文件
判断信息:数据包
工作范围:2-7层
目的:防止病毒文件通过外网网络进入到内网环境
和防火墙的区别:
防病毒网关 |
防火墙 |
专注病毒过滤 |
专注访问控制 |
阻断病毒传播 |
控制非法授权访问 |
2-7层 |
2-4层 |
识别数据包并还原传输文件 |
识别数据包IP |
运用病毒分析技术处理病毒 |
对比规则库控制访问方向 |
具有防火墙访问控制功能模块 |
不具备病毒过滤功能 |
注意:
①防毒墙只具备对通过网关的数据包进行病毒查杀,不具备访问控制能力;
②防病毒网关是:防毒墙和防火墙功能的结合(既具备访问控制,又具备对数据包的病毒查杀);
传统的病毒监测方法:
MD5
病毒特征码
规则匹配
沙箱
字节信息
原始底层特征
人为定义
【传统防火墙】
包过滤防火墙: (一个严格的规则表)
判断信息:数据包的源IP地址,目的IP地址,协议类型,源端口,目的端口,(五元组)
工作范围:网络层,传输层
和路由器的区别:
普通路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径
防火墙除了要解决目的路径以为还需要根据已设定的规则进行判断是与否
技术应用:包过滤技术
优势:对于小型站点容易实现。处理速度快,价格便宜
劣势:规则表很快会变得庞大复杂难运维,只能基于五元组
应用代理防火墙:
判断信息:所有应用层数据包
工作范围:应用层
和包过滤防火墙的区别:
包过滤防火墙基于3-4层,通过检测报头进行规则表匹配
应用代理防火墙工作在7层,检查所有的应用层信息包,每个应用需要添加对呀的代理服务
技术应用:应用代理技术
优势:检查应用层数据
劣势:检查效率低,配置运维难度极高,可伸缩性差
状态检测防火墙:
判断信息:IP地址,端口TCP标记
工作范围:网络层,传输层,数据链路层
和路由器的区别:
包过滤防火墙基于3-4层,通过检测报头进行规则表匹配
是包过滤防火墙的升级版,一次检查建立会话表,后期直接安会话表放行
技术应用:状态检测技术
优势:主要检查3-4层能够保障效率,对TCP防御较好
劣势:应用层控制较弱,不检查数据区