FW/IDS/IPS/WAF等安全设备部署方式及优缺点

现在市场上的主流网络安全产品可以分为以下几个大类:
1.基础防火墙FW/NGFW类

主要是可实现基本包过滤策略的防火墙,这类是有硬件处理、软件处理等,其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问,只开放允许访问的策略。FW可以拦截低层攻击行为,但对应用层的深层攻击行为无能为力。

FW部署位置一般为外联出口或者区域性出口位置,对内外流量进行安全隔离。部署方式常见如下

2.IDS类

此类产品基本上以旁路为主,特点是不阻断任何网络访问,主要以提供报告和事后监督为主,少量的类似产品还提供TCP阻断等功能,但少有使用。

3.IPS类

解决了IDS无法阻断的问题,基本上以在线模式为主,系统提供多个端口,以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能,其特点是可以分析到数据包的内容,解决传统防火墙只能工作在4层以下的问题。和IDS一样,IPS也要像防病毒系统定义N种已知的攻击模式,并主要通过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式,对于模式库中不能识别出来的攻击,默认策略是允许

访问的!

IPS类设备,常被串接在主干路上,对内外网异常流量进行监控处理,部署位置常见如下

4.UTM类安全设备

是以上三者的结合体,按照IDC提出“统一威胁管理”的概念来看,UTM是将防病毒、入侵检测和防火墙安全设备划归到一起“统一管理”的新类别。

IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中,该概念引起了业界的广泛重视,并推动了以整合式安全设备为代表的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能,将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。

由于性能要求出众,导致造价一般比较高,目前一般只有大型企业会有使用。

UTM的优点主要有以下几条

1.整合所带来的成本降低(一身兼多职嘛!)

2.降低信息安全工作强度 (减轻管理员负担)

3.降低技术复杂度

UTM也不能一劳永逸的解决所有安全问题,总结下来,有如下缺点

1.网关防御的弊端

网关防御在防范外部威胁的时候非常有效,但是在面对内部威胁的时候就无法发挥作用了。有很多资料表明造成组织信息资产损失的威胁大部分来自于组织内部,所以以网关型防御为主的UTM设备目前尚不是解决安全问题的万灵药。

2.过度集成带来的风险

3.性能和稳定性
5.主动安全类

和前面的产品均不同,主动安全产品的特点是协议针对性非常强,比如WAF就是专门负责HTTP协议的安全处理,DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离(以下以WAF为重点说明这一类安全设备)。

WAF:Web应用防护系统(Web Application Firewall,
简称:WAF)代表了一类新兴的信息安全技术,用以解决诸如防火墙一类传统设备束手无策的Web应用安全问题。与传统防火墙不同,WAF工作在应用层,因此对Web应用防护具有先天的技术优势。基于对Web应用业务和逻辑的深刻理解,WAF对来自Web应用程序客户端的各类请求进行内容检测和验证,确保其安全性与合法性,对非法的请求予以实时阻断,从而对各类网站站点进行有效防护。

5.1 WAF部署位置

通常情况下,WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起(这种情况较少)。总之,决定WAF部署位置的是WEB服务器的位置。因为WEB服务器是WAF所保护的对象。部署时当然要使WAF尽量靠近WEB服务器。

5.2 WAF部署模式及优缺点

透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEB服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式,部署也相对简单,只需要将WAF旁路接在WEB服务器上游的交换机上,用于只检测异常流量。

  部署模式1 透明代理模式(也称网桥代理模式)

透明代理模式的工作原理是,当WEB客户端对服务器有连接请求时,TCP连接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话,将会话分成了两段,并基于桥模式进行转发。从WEB客户端的角度看,WEB客户端仍然是直接访问服务器,感知不到WAF的存在;从WAF工作转发原理看和透明网桥转发一样,因而称之为透明代理模式,又称之为透明桥模式。

这种部署模式对网络的改动最小,可以实现零配置部署。另外通过WAF的硬件Bypass功能在设备出现故障或者掉电时可以不影响原有网络流量,只是WAF自身功能失效。缺点是网络的所有流量(HTTP和非HTTP)都经过WAF对WAF的处理性能有一定要求,采用该工作模式无法实现服务器负载均衡功能。 
  部署模式2 反向代理模式

反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。由于客户端访问的就是WAF,因此在WAF无需像其它模式(如透明和路由代理模式)一样需要采用特殊处理去劫持客户端与服务器的会话然后为其做透明代理。当代理服务器收到HTTP的请求报文后,将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备,由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工作原理类似,唯一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器,所以透明代理工作方式不需要在WAF上配置IP映射关系。

这种部署模式需要对网络进行改动,配置相对复杂,除了要配置WAF设备自身的地址和路由外,还需要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外如果原来服务器地址就是全局地址的话(没经过NAT转换)那么通常还需要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优点是可以在WAF上同时实现负载均衡。

部署模式3 路由代理模式

路由代理模式,它与网桥透明代理的唯一区别就是该代理工作在路由转发模式而非网桥模式,其它工作原理都一样。由于工作在路由(网关)模式因此需要为WAF的转发接口配置IP地址以及路由。

这种部署模式需要对网络进行简单改动,要设置该设备内网口和外网口的IP地址以及对应的路由。工作在路由代理模式时,可以直接作为WEB服务器的网关,但是存在单点故障问题,同时也要负责转发所有的流量。该种工作模式也不支持服务器负载均衡功能。

部署模式4 端口镜像模式

端口镜像模式工作时,WAF只对HTTP流量进行监控和报警,不进行拦截阻断。该模式需要使用交换机的端口镜像功能,也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言,流量只进不出。

这种部署模式不需要对网络进行改动,但是它仅对流量进行分析和告警记录,并不会对恶意的流量进行拦截和阻断,适合于刚开始部署WAF时,用于收集和了解服务器被访问和被攻击的信息,为后续在线部署提供优化配置参考。这种部署工作模式,对原有网络不会有任何影响。

原文地址:https://www.cnblogs.com/staffyoung/p/9209102.html

时间: 2024-10-03 01:51:38

FW/IDS/IPS/WAF等安全设备部署方式及优缺点的相关文章

Web应用三种部署方式的优缺点

方式一:修改server.xml文件 优点: 配置速度快,只需要在server.xml文件中添加<Context>标签,在其中分别配置path虚拟路径和docBase真实路径然后启动Tomcat服务器即可 缺点: 需要配置两个路径,如果path为空字符串,则为缺省配置 每次修改server.xml文件后都要重新启动Tomcat服务器,重新部署 方式二:在Catalina文件夹下创建虚拟主机,并进行虚拟主机配置 优点: 在虚拟主机下配置.xml的文件,<Context>标签中的doc

什么是IDS/IPS?

目录   摘要 0x00 基于网络的IDS和IPS0x01 设计考虑因素0X02 IDS/IPS 总结           摘要 摘要 这篇文章主要介绍的是入侵检测系统(IDS)和入侵防御系统(IPS),而这两者均是保护我们网络安全的重要机制.在过去的几年里,网络攻击所带来的安全威胁严重程度已经上升了很多倍,几乎每个月都会发生数起严重的数据泄露事件.基于网络的IDS/IPS并不是一种新出现的技术,但是考虑到网络攻击技术的最新发展趋势,IDS和IPS的实现方式仍然是我们需要理解和考虑的内容. 因此

剖析微软Hyper-V的最佳部署方式

剖析微软Hyper-V的最佳部署方式 2014-04-24 10:53 布加迪编译 51CTO.com 字号:T | T 微软Hyper-V有两种不同的版本.既可以安装到Windows Server的上面,又可以作为一种独立式虚拟机管理程序来下载和安装.那么,哪种方法更好呢?本文中将权衡每种部署方式的优缺点. AD:51CTO网+ 首届中国APP创新评选大赛火热招募中…… [51CTO精选译文]最近,人们似乎重新对微软的Hyper-V产生了兴趣.这种虚拟机管理程序终于开始成熟起来,它所提供的功能

IDS/IPS之安全解决方案

IDS/IPS联合部署: IDS和IPS是两类不同的系统.IDS的核心价值在于通过对应用网络信息的分析,了解信息系统的安全状况,以建立安全的计算机网络应用系统为目标,提供安全的防护策略.IDS需要部署在网络内部,监控范围必须覆盖整个应用网络,包括来自外部的数据以及内部终端之间传输的数据.IPS的核心价值在于安全策略的实施,即对非法业务行为的阻击.IPS必须部署在网络边界,抵御来自外部的入侵,而对内部的非法业务行为无能为力.IPS位于防火墙和网络设备之间,如果检测到攻击,IPS会在这种攻击扩散到网

023# Adempiere的设备部署形式

Adempiere系统能够运行在所有Java支持的平台之上,操作系统可以使用Solaris OS,Mac OS,BSD,Linux或Windows等,根据使用需求的不同有以下四种设备部署形式. 第一种部署形式:二合一,它的应用伺服器和数据库可以同时安装在同一台PC机上. 第二种部署形式:一加一,应用伺服器和数据库分别安装在不同的设备上,减轻单机设备运行时的应用负载. 第三种部署形式:多站点,配置多方应用服务器和数据库,可供多方同时操作,应用平衡负载,数据在一定时间内实现同步. 第四种部署形式:虚

WAF Web应用防火墙常见部署方式介绍

1.透明代理模式,该模式可以理解为交换机,经过的流量先被WAF处理,在到防火墙:2.反向代理,单臂模式,需要通过NAT Server将外部用户访问内网服务器的流量映射到WAF,然后在由WAF做处理后转发给服务器:反代单臂模式可支持VRRP协议,通过部署两台H3C SecPath WAF开启VRRP协议可实现双机HA模式:3.反向代理,双臂模式,WAF接口工作在三层模式,同样的方法,采用映方式将流量映射到WAF,然后在由WAF反向代理到WEB服务器:4.反向代理,链路模式牵引模式部署:该方式可旁路

服务器负载均衡的部署方式

作者:virtualadc链接:http://virtualadc.blog.51cto.com/3027116/611592著作权归作者所有.商业转载请联系作者获得授权,非商业转载请注明出处. 负载均衡的部署方式,简单的可分为串接路由,单臂,透明和服务器直接返回4类. 1. 串接路由模式 (Routed) 路由部署方式中,通常服务器的网关需要指向负载均衡设备,这种情况下的流量处理最简单,负载均衡只做一次目标地址NAT(选择服务器时)和一次源地址NAT(响应客户端报文时) 2. 单臂模式 (On

负载均衡器部署方式和工作原理

概述 负载均衡(Load Balance) 由于目前现有网络的各个核心部分随着业务量的提高,访问量和数据流量的快速增长,其处理能力和计算强度也相应地增大,使得单一的服务器设备根本无法承担.在此情况下,如果扔掉现有设备去做大量的硬件升级,这样将造成现有资源的浪费,而且如果再面临下一次业务量的提升时,这又将导致再一次硬件升级的高额成本投入,甚至性能再卓越的设备也不能满足当前业务量增长的需求. 负载均衡实现方式分类 1:软件负载均衡技术 该技术适用于一些中小型网站系统,可以满足一般的均衡负载需求.软件

双线IDC部署方式

现在在国内互联网环境下,双线.多线.BGP等各种IDC线路部署方式的错综复杂,实现方式也各种各样,本篇就国内大部分IDC机房双线(多线)的实现方式进行详细介绍. 背景介绍: 1.  为什么要双线(多线)?下面将以电信和联通双线举例. A.主要解决互联互通问题: B.实现网络线路冗余. 2.  实现双线要解决的问题. A.客户端怎么知道访问电信还是联通,这个客户不用有任何担心,下面将以使用过多年的一家智能DNS解析来举例说明. B.服务端怎么解决原路返回的问题,就是电信客户访问请求直接通过电信网络