ips和防火墻有什么區別
ips是ips,防火墻是防火墻,那么它們有什么區別呢?下面由學習啦小編給你做出詳細的ips和防火墻區別介紹!希望對你有幫助!
ips和防火墻區別一:
1、基礎防火墻類,主要是可實現基本包過濾策略的防火墻,這類是有硬件處理、軟件處理等,其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問,只開放允許訪問的策略。
2、IDS類,此類產品基本上以旁路為主,特點是不阻斷任何網絡訪問,主要以提供報告和事后監督為主,少量的類似產品還提供TCP阻斷等功能,但少有使用。
3、IPS類,解決了IDS無法阻斷的問題,基本上以在線模式為主,系統提供多個端口,以透明模式工作。在一些傳統防火墻的新產品中也提供了類似功能,其特點是可以分析到數據包的內容,解決傳統防火墻只能工作在4層以下的問題。和IDS一樣,IPS也要像防病毒系統定義N種已知的攻擊模式,并主要通過模式匹配去阻斷非法訪問。
4、主動安全類,和前面的產品均不同,主動安全產品的特點是協議針對性非常強,比如WAF就是專門負責HTTP協議的安全處理,DAF就是專門負責數據庫Sql 查詢類的安全處理。在主動安全產品中通常會處理到應用級的訪問流程。對于不認識的業務訪問全部隔離。
在這幾類產品中,就可以分辨出什么是主動安全,什么是被動安全。從安全的最基本概念來說,首先是關閉所有的通路,然后再開放允許的訪問。因此,傳統防火墻可以說是主動安全的概念,因為默認情況下是關閉所有的訪問,然后再通過定制策略去開放允許開放的訪問。但由于其設計結構和特點,不能檢測到數據包的內容級別,因此,當攻擊手段到達應用層面的時候,傳統的防火墻都是無能為力的。IDS就不講了,不能阻斷只能是一個事后監督機制,因此在其后出現的IPS,基本上所有的IPS系統都號稱能檢查到數據包的內容,但犯了一個致命的錯誤,就是把安全的原則反過來了,變成默認開放所有的訪問,只有自己認識的訪問,才進行阻斷。從另外一個方面,由于在線式造成的性能問題,也不能像殺毒軟件一樣進行全面而細致的安全審計。因此大多數的IPS在實際運行環境中都形同虛設,通常只是當作一個防DDOS的設備存在。IPS尤其對于未知的,不再其安全庫內的攻擊手段,基本上都是無能為力的。
在主動安全的體系中,徹底改變了IPS 的致命安全錯誤。其工作在協議層上,通過對協議的徹底分析和Proxy代理工作模式,同時,結合對應用的訪問流程進行分析,只通過自己認識的訪問,而對于不認識的訪問,則全部進行阻斷。比如在頁面上的一個留言板,正常人登錄都是填入一些留言,提問等,但黑客則完全可能填入一段代碼,如果服務器端的頁面存在漏洞,則當另外一個用戶查看留言板的時候,則會在用戶完全不知道的情況下執行這段代碼,標準叫法,這叫做跨站攻擊。當這段代碼被執行后,用戶的本地任何信息都有可能被發送到黑客的指定地址上。如果采用防火墻或者IPS,對此類攻擊根本沒有任何處理辦法,因為攻擊的手段、代碼每次都在變化,沒有特征而言。而在采用主動安全的系統中,則可以嚴格的限制在留言板中輸入的內容,由此來防范此類跨站攻擊。又如常見的認證漏洞,可能造成某些頁面在沒有進行用戶登錄的情況下可以直接訪問,這些內容在防火墻或者IPS系統中更加無法處理了。因為他們的請求和正常的請求完全一樣,只是沒有經過登錄流程而已,因此不能進行防護,在主動安全體系里,可以對用戶的訪問進行流程限定,比如訪問一些內容必須是在先通過了安全認證之后才能訪問,并且必須按照一定的順序才能執行。因此,工作在流程和代理層面的主動安全設備可以進一步實現應用系統的真正安全。
ips和防火墻區別二:
IDS技術
根據采集數據源的不同,IDS可分為主機型IDS(Host-based IDS,HIDS)和網絡型IDS(Network-based IDS,NIDS)。
HIDS和NIDS都能發現對方無法檢測到的一些入侵行為,可互為補充。完美的IDS產品應該將兩者結合起來。目前主流IDS產品都采用HIDS和NIDS有機結合的混合型IDS架構。
傳統的入侵檢測技術有:
ips和防火墻區別1、模式匹配
模式匹配就是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,來發現違背安全策略的入侵行為。一種進攻模式可以利用一個過程或一個輸出來表示。這種檢測方法只需收集相關的數據集合就能進行判斷,能減少系統占用,并且技術已相當成熟,檢測準確率和效率也相當高。但是,該技術需要不斷進行升級以對付不斷出現的攻擊手法,并且不能檢測未知攻擊手段。
ips和防火墻區別2、異常檢測
異常檢測首先給系統對象(用戶、文件、目錄和設備等)創建一個統計描述,包括統計正常使用時的測量屬性,如訪問次數、操作失敗次數和延時等。測量屬性的平均值被用來與網絡、系統的行為進行比較,當觀察值在正常值范圍之外時,IDS就會判斷有入侵發生。異常檢測的優點是可以檢測到未知入侵和復雜的入侵,缺點是誤報、漏報率高。
ips和防火墻區別3、完整性分析
完整性分析關注文件或對象是否被篡改,主要根據文件和目錄的內容及屬性進行判斷,這種檢測方法在發現被更改和被植入特洛伊木馬的應用程序方面特別有效。完整性分析利用消息摘要函數的加密機制,能夠識別微小變化。其優點是不管模式匹配方法和統計分析方法能否發現入侵,只要攻擊導致文件或對象發生了改變,完整性分析都能夠發現。完整性分析一般是以批處理方式實現,不用于實時響應。入侵檢測面臨的問題
1、誤報和漏報
IDS系統經常發出許多假警報。誤警和漏警產生的原因主要有以下幾點:
● 當前IDS使用的主要檢測技術仍然是模式匹配,模式庫的組織簡單、不及時、不完整,而且缺乏對未知攻擊的檢測能力;
● 隨著網絡規模的擴大以及異構平臺和不同技術的采用,尤其是網絡帶寬的迅速增長,IDS的分析處理速度越來越難跟上網絡流量,從而造成數據包丟失;
● 網絡攻擊方法越來越多,攻擊技術及其技巧性日趨復雜,也加重了IDS的誤報、漏報現象。
2、拒絕服務攻擊
IDS是失效開放(Fail Open)的機制,當IDS遭受拒絕服務攻擊時,這種失效開放的特性使得黑客可以實施攻擊而不被發現。
3、插入和規避
插入攻擊和規避攻擊是兩種逃避IDS檢測的攻擊形式。其中插入攻擊可通過定制一些錯誤的數據包到數據流中,使IDS誤以為是攻擊。規避攻擊則相反,可使攻擊躲過IDS的檢測到達目的主機。插入攻擊的意圖是使IDS頻繁告警(誤警),但實際上并沒有攻擊,起到迷惑管理員的作用。規避攻擊的意圖則是真正要逃脫IDS的檢測,對目標主機發起攻擊。黑客經常改變攻擊特征來欺騙基于模式匹配的IDS。
IDS發展趨勢
在安全漏洞被發現與被攻擊之間的時間差不斷縮小的情況下,基于特征檢測匹配技術的IDS已經力不從心。IDS出現了銷售停滯,但IDS不會立刻消失,而是將IDS將成為安全信息管理(SIM)框架的組成部分。在SIM框架中,IDS的作用可以通過檢測和報告技術得到加強。分析人士指出,IDS的作用正轉變為調查取證和安全分析。大約5年后,一致性安全管理以及內核級的安全技術將共同結束基于特征檢測的IDS技術的使命。
美國網絡世界實驗室聯盟成員Joel Snyder認為,未來將是混合技術的天下,在網絡邊緣和核心層進行檢測,遍布在網絡上的傳感設備和糾正控制臺通力協作將是安全應用的主流。
一些廠商通過將IDS報警與安全漏洞信息進行關聯分析,著手解決IDS的缺陷。SIM廠商在實現安全信息分析的方式上開始采取更加模塊化的方法,將安全漏洞管理、異常檢測、網絡評估、蜜罐模塊與IDS模塊搭配在一起,以更好地確定和響應安全事件。IPS主動防護
盡管IDS是一種受到企業歡迎的解決方案,它還是不足以阻斷當今互聯網中不斷發展的攻擊。入侵檢測系統的一個主要問題是它不會主動在攻擊發生前阻斷它們。同時,許多入侵檢測系統基于簽名,所以它們不能檢測到新的攻擊或老式攻擊的變形,它們也不能對加密流量中的攻擊進行檢測。
而入侵防護系統(Intrution Protection System,IPS)則傾向于提供主動性的防護,其設計旨在預先對入侵活動和攻擊性網絡流量進行攔截,避免其造成任何損失,而不是簡單地在惡意流量傳送時或傳送后才發出警報。IPS 是通過直接嵌入到網絡流量中而實現這一功能的,即通過一個網絡端口接收來自外部系統的流量,經過檢查確認其中不包含異常活動或可疑內容后,再通過另外一個端口將它傳送到內部系統中。這樣一來,有問題的數據包,以及所有來自同一數據流的后續數據包,都能夠在IPS設備中被清除掉。
簡單地理解,IPS等于防火墻加上入侵檢測系統,但并不是說IPS可以代替防火墻或入侵檢測系統。防火墻是粒度比較粗的訪問控制產品,它在基于TCP/IP協議的過濾方面表現出色,而且在大多數情況下,可以提供網絡地址轉換、服務代理、流量統計等功能。
和防火墻比較起來,IPS的功能比較單一,它只能串聯在網絡上,對防火墻所不能過濾的攻擊進行過濾。一般來說,企業用戶關注的是自己的網絡能否避免被攻擊,對于能檢測到多少攻擊并不是很熱衷。但這并不是說入侵檢測系統就沒有用處,在一些專業的機構,或對網絡安全要求比較高的地方,入侵檢測系統和其他審計跟蹤產品結合,可以提供針對企業信息資源的全面審計資料,這些資料對于攻擊還原、入侵取證、異常事件識別、網絡故障排除等等都有很重要的作用。
IPS目前主要包含以下幾種類型:1、基于主機的入侵防護(HIPS),它能夠保護服務器的安全弱點不被不法分子所利用;2、基于網絡的入侵防護(NIPS),它可通過檢測流經的網絡流量,提供對網絡系統的安全保護,一旦辨識出入侵行為,NIPS就可以去除整個網絡會話,而不僅僅是復位會話;3、應用入侵防護,它把基于主機的入侵防護擴展成為位于應用服務器之前的網絡設備。IPS面臨的挑戰
IPS 技術需要面對很多挑戰,其中主要有三點。
1、單點故障。設計要求IPS必須以嵌入模式工作在網絡中,而這就可能造成瓶頸問題或單點故障。如果IDS出現故障,最壞的情況也就是造成某些攻擊無法被檢測到,而嵌入式的IPS設備出現問題,就會嚴重影響網絡的正常運轉。如果IPS出現故障而關閉,用戶就會面對一個由IPS造成的拒絕服務問題,所有客戶都將無法訪問企業網絡提供的應用。
2、性能瓶頸。即使 IPS設備不出現故障,它仍然是一個潛在的網絡瓶頸,不僅會增加滯后時間,而且會降低網絡的效率,IPS必須與數千兆或者更大容量的網絡流量保持同步,尤其是當加載了數量龐大的檢測特征庫時,設計不夠完善的 IPS 嵌入設備無法支持這種響應速度。絕大多數高端 IPS產品供應商都通過使用自定義硬件(FPGA、網絡處理器和ASIC芯片)來提高IPS的運行效率。
3、誤報和漏報。誤報率和漏報率也需要IPS認真面對。在繁忙的網絡當中,如果以每秒需要處理十條警報信息來計算,IPS每小時至少需要處理36000條警報,一天就是864000條。一旦生成了警報,最基本的要求就是IPS能夠對警報進行有效處理。如果入侵特征編寫得不是十分完善,那么“誤報”就有了可乘之機,導致合法流量也有可能被意外攔截。對于實時在線的IPS來說,一旦攔截了“攻擊性”數據包,就會對來自可疑攻擊者的所有數據流進行攔截。如果觸發了誤報警報的流量恰好是某個客戶訂單的一部分,其結果可想而知,這個客戶整個會話就會被關閉,而且此后該客戶所有重新連接到企業網絡的合法訪問都會被“盡職盡責”的IPS攔截。
IDS和IPS將共存
雖然IPS具有很大的優勢,然而美國網絡世界實驗室聯盟成員Rodney Thayer認為,在報告、分析等相關技術完善得足以防止虛假報警之前,IPS不可能取代IDS設備。IPS可能將取代外圍防線的檢測系統,而網絡中的一些位置仍然需要檢測功能,以加強不能提供很多事件信息的IPS。現在市場上的主流網絡安全產品可以分為以下幾個大類:
1、基礎防火墻類,主要是可實現基本包過濾策略的防火墻,這類是有硬件處理、軟件處理等,其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認情況下關閉所有的通過型訪問,只開放允許訪問的策略。
2、IDS類,此類產品基本上以旁路為主,特點是不阻斷任何網絡訪問,主要以提供報告和事后監督為主,少量的類似產品還提供TCP阻斷等功能,但少有使用。
3、IPS類,解決了IDS無法阻斷的問題,基本上以在線模式為主,系統提供多個端口,以透明模式工作。在一些傳統防火墻的新產品中也提供了類似功能,其特點是可以分析到數據包的內容,解決傳統防火墻只能工作在4層以下的問題。和IDS一樣,IPS也要像防病毒系統定義N種已知的攻擊模式,并主要通過模式匹配去阻斷非法訪問。
4、主動安全類,和前面的產品均不同,主動安全產品的特點是協議針對性非常強,比如WAF就是專門負責HTTP協議的安全處理,DAF就是專門負責數據庫Sql 查詢類的安全處理。在主動安全產品中通常會處理到應用級的訪問流程。對于不認識的業務訪問全部隔離。
在這幾類產品中,就可以分辨出什么是主動安全,什么是被動安全。從安全的最基本概念來說,首先是關閉所有的通路,然后再開放允許的訪問。因此,傳統防火墻可以說是主動安全的概念,因為默認情況下是關閉所有的訪問,然后再通過定制策略去開放允許開放的訪問。但由于其設計結構和特點,不能檢測到數據包的內容級別,因此,當攻擊手段到達應用層面的時候,傳統的防火墻都是無能為力的。IDS就不講了,不能阻斷只能是一個事后監督機制,因此在其后出現的IPS,基本上所有的IPS系統都號稱能檢查到數據包的內容,但犯了一個致命的錯誤,就是把安全的原則反過來了,變成默認開放所有的訪問,只有自己認識的訪問,才進行阻斷。從另外一個方面,由于在線式造成的性能問題,也不能像殺毒軟件一樣進行全面而細致的安全審計。因此大多數的IPS在實際運行環境中都形同虛設,通常只是當作一個防DDOS的設備存在。IPS尤其對于未知的,不再其安全庫內的攻擊手段,基本上都是無能為力的。
在主動安全的體系中,徹底改變了IPS 的致命安全錯誤。其工作在協議層上,通過對協議的徹底分析和Proxy代理工作模式,同時,結合對應用的訪問流程進行分析,只通過自己認識的訪問,而對于不認識的訪問,則全部進行阻斷。比如在頁面上的一個留言板,正常人登錄都是填入一些留言,提問等,但黑客則完全可能填入一段代碼,如果服務器端的頁面存在漏洞,則當另外一個用戶查看留言板的時候,則會在用戶完全不知道的情況下執行這段代碼,標準叫法,這叫做跨站攻擊。當這段代碼被執行后,用戶的本地任何信息都有可能被發送到黑客的指定地址上。如果采用防火墻或者IPS,對此類攻擊根本沒有任何處理辦法,因為攻擊的手段、代碼每次都在變化,沒有特征而言。而在采用主動安全的系統中,則可以嚴格的限制在留言板中輸入的內容,由此來防范此類跨站攻擊。又如常見的認證漏洞,可能造成某些頁面在沒有進行用戶登錄的情況下可以直接訪問,這些內容在防火墻或者IPS系統中更加無法處理了。因為他們的請求和正常的請求完全一樣,只是沒有經過登錄流程而已,因此不能進行防護,在主動安全體系里,可以對用戶的訪問進行流程限定,比如訪問一些內容必須是在先通過了安全認證之后才能訪問,并且必須按照一定的順序才能執行。因此,工作在流程和代理層面的主動安全設備可以進一步實現應用系統的真正安全。
另外,在通常情況下,安全訪問都采用SSL進行通道連接,傳統的IPS根本無法看到用戶的訪問,從而造成形同虛設的安全網關
看了“ips和防火墻有什么區別 ”文章的還看了:
ips和防火墻有什么區別
