前言
下面总结的内容都比较简略,可能是摘抄了《白帽子》,可能是网上搜集的资料,或者直接给出了别人总结的很好的文章供以后查看,因为每个点展开来将都可以写好几篇文章(嗯,为自己偷懒找借口
防火墙
- 实施访问控制策略的系统,对流经的网络流量进行检查,拦截不符合安全策略的数据包
IDS 入侵检测系统
-
功能:依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。
-
IDS应当挂接在所有所关注流量都必须流经的链路上;VPN可穿透防火墙,所以需要IDS在防火墙后提供安全保障
-
对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。
-
检测方法
- 特征检测:当被审计的事件与已知的入侵事件模式相匹配时,即报警。
- 统计检测:审计事件的数量、间隔时间、资源消耗情况等,可以“学习”用户的使用习惯
- 专家系统
IPS 入侵防御系统
-
绝大多数IDS系统都是被动的,即在攻击实际发生之前,它们往往无法预先发出警报。而IPS则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。
-
IPS 是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。
-
原理:过滤器
- 当新的攻击手段被发现之后,IPS就会创建一个新的过滤器
- IPS能够从数据流中检查出这些攻击并加以阻止
WAF(Web Application Firewall,Web 应用防火墙)
-
主要功能:防御常见针对web应用的攻击,包括但不限于SQLi 、XSS、 CSRF、 暴力破解、 文件上传等。还可以防御针对web框架的攻击,如s2、imagemagick等。
-
原理: 预制了攻击特征,抓取客户端请求服务器的http、https流量,做特征匹配,命中规则后断开连接。
-
不足:不可防御病毒、蠕虫、缓冲区溢出
-
部署:
- 反向代理模式,做NAT映射后把指定服务器的流量引到WAF上,处理后交给服务器
- 透明代理
小结
防火墙是大楼的门禁系统,IPS是大楼门口的保安,IDS是监控系统。