IDS 、 IPS和WAF的關係好難懂?
不!其實比你想得還要簡單,繼續看下去吧
之前有提到
網站應用程式防火牆
(Web Application Firewall,WAF)是保護在網站前的一道牆,它是一個專門阻擋來自 Layer7 的網路應用層攻擊,並且可以協助你過濾惡意流量
那IPS、IDS和WAF有什麼差別呢?
我們先來簡單了解它們各自的定義!
入侵偵測系統 (Intrusion Detection System, IDS)主要是透過監聽網路封包的方式,針對網路傳輸與系統間的運行狀況進行即時監視。
一旦發現異常,便會自動對管理人員發出警告,並且對攻擊手法進行紀錄
入侵防禦系統 (Intrusion Prevention System, IPS)是根據簽名認證的方式,藉此比對簽名資料庫,並檢查常見的漏洞與攻擊。和IDS一樣,他也能做到即時監控和出現攻擊時向網管人員發出即時警訊。
唯一不一樣的是,IPS是個更主動的網路安全設備,能夠在第一時間即時做出必要的措施,像是阻斷來源IP。它同時也保護著 OSI 第3層(網路層)和第4層(傳輸層),第7層(網路應用程式層)則僅提供有限的保護。
以一個簡單的比喻來說,WAF就像是大樓的管理員一樣,對從大門口進來的人一一做審核。不過只要有人嘗試攻擊,較被動的 IDS 可以做到紀錄被攻擊的行為,較主動的 IPS 則能進階到除了紀錄外,還能夠阻擋外來的惡意封包因此對於IDS而言,他比較針對於網路安全上的監測,IPS則像是IDS的升級版,能夠在發現惡意流量時即時做出相對應的措施。常常有人誤解它們是防火牆的一種,但實際上它們是一種能夠協助防火牆(ex. WAF )的檢測系統而已。