常见网络安全设备

Web应用防火墙（WAF）

为什么需要WAF？

WAF（webapplicationfirewall）的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。

什么是WAF？

WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的Web程序保护。

WAF部署在Web应用程序前面，在用户请求到达Web服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。

与传统防火墙的区别

WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。

WAF不是全能的

WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。

入侵检测系统（IDS）

什么是IDS？

IDS是英文“IntrusionDetectionSystems”的缩写，中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，

尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

跟防火墙的比较

假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

部署位置选择

因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在：

尽可能靠近攻击源；

这些位置通常是：

服务器区域的交换机上；

Internet接入路由器之后的第一台交换机上；

重点保护网段的局域网交换机上

防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！

主要组成部分

事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；

事件分析器，分析数据；

响应单元，发出警报或采取主动反应措施；

事件数据库，存放各种数据。

主要任务

主要任务包括：

监视、分析用户及系统活动；

审计系统构造和弱点；

识别、反映已知进攻的活动模式,向相关人士报警；

统计分析异常行为模式；

评估重要系统和数据文件的完整性；

审计、跟踪管理操作系统，识别用户违反安全策略的行为。

工作流程

（1）信息收集

信息收集的内容包括系统、网络、数据及用户活动的状态和行为。入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。

（2）数据分析

数据分析是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。

可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。

（3）实时记录、报警或有限度反击

入侵检测系统在发现入侵后会及时做出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。

主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。缺点

（1）误报、漏报率高

（2）没有主动防御能力

（3）不能解析加密数据流

入侵预防系统（IPS）

什么是入侵预防系统

入侵预防系统（IntrusionPreventionSystem，IPS），又称为入侵侦测与预防系统（intrusiondetectionandpreventionsystems，IDPS），是计算机网络安全设施，是对防病毒软件（AntivirusSoftwares）和防火墙的补充。入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

为什么在存在传统防火墙和IDS时，还会出现IPS？

虽然防火墙可以根据英特网地址（IP-Addresses）或服务端口（Ports）过滤数据包。但是，它对于利用合法网址和端口而从事的破坏活动则无能为力。因为，防火墙极少深入数据包检查内容。

在ISO/OSI网络层次模型（见OSI模型）中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。而除病毒软件主要在第五到第七层起作用。为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵检测系统投入使用。入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。可惜这时灾害往往已经形成。虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。随后应运而生的入侵反应系统（IRS:Intrusion Response Systems）作为对入侵侦查系统的补充能够在发现入侵时，迅速做出反应，并自动采取阻止措施。而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。

IPS如何工作

入侵预防系统专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况，来辅助识别入侵和攻击。比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等等现象。入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。或者至少使其危害性充分降低。入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据（forensic）。

入侵预防技术

异常侦查。正如入侵侦查系统，入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。

在遇到动态代码（ActiveX，JavaApplet，各种指令语言script languages等等）时，先把它们放在沙盘内，观察其行为动向，如果发现有可疑情况，则停止传输，禁止执行。