FW/IDS/IPS/WAF等安全设备部署方式及优缺点

转自：https://blog.csdn.net/chenyulancn/article/details/78927916

如今市场上的主流网络安全产品能够分为如下几个大类：
1.基础防火墙FW/NGFW类

  主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等，其主要功能实现是限制对IP:port的访问。基本上的实现都是默认状况下关闭全部的经过型访问，只开放容许访问的策略。FW能够拦截低层攻击行为，但对应用层的深层攻击行为无能为力。
   FW部署位置通常为外联出口或者区域性出口位置，对内外流量进行安全隔离。部署方式常见以下

 

 

2.IDS类

  此类产品基本上以旁路为主，特色是不阻断任何网络访问，主要以提供报告和过后监督为主，少许的相似产品还提供TCP阻断等功能，但少有使用。

3.IPS类

  解决了IDS没法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工做。在一些传统防火墙的新产品中也提供了相似功能，其特色是能够分析到数据包的内容，解决传统防火墙只能工做在4层如下的问题。和IDS同样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要经过模式匹配去阻断非法访问,致命缺点在于不能主动的学习攻击方式，对于模式库中不能识别出来的攻击，默认策略是容许
访问的！
  IPS类设备，常被串接在主干路上，对内外网异常流量进行监控处理，部署位置常见以下

4.UTM类安全设备

  是以上三者的结合体，按照IDC提出“统一威胁管理”的概念来看，UTM是将防病毒、入侵检测和防火墙安全设备划归到一块儿“统一管理”的新类别。
  IDC将防病毒、防火墙和入侵检测等概念融合到被称为统一威胁管理的新类别中，该概念引发了业界的普遍重视，并推进了以整合式安全设备为表明的市场细分的诞生。由IDC提出的UTM是指由硬件、软件和网络技术组成的具备专门用途的设备，它主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台。
  因为性能要求出众，致使造价通常比较高，目前通常只有大型企业会有使用。
  UTM的优势主要有如下几条
  1.整合所带来的成本下降（一身兼多职嘛！） 
  2.下降信息安全工做强度 （减轻管理员负担）
  3.下降技术复杂度
  UTM也不能一劳永逸的解决全部安全问题，总结下来，有以下缺点
  1.网关防护的弊端 
  网关防护在防范外部威胁的时候很是有效，可是在面对内部威胁的时候就没法发挥做用了。有不少资料代表形成组织信息资产损失的威胁大部分来自于组织内部，因此以网关型防护为主的UTM设备目前尚不是解决安全问题的万灵药。 
  2.过分集成带来的风险
  3.性能和稳定性
5.主动安全类

  和前面的产品均不一样，主动安全产品的特色是协议针对性很是强，好比WAF就是专门负责HTTP协议的安全处理，DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中一般会处理到应用级的访问流程。对于不认识的业务访问所有隔离(如下以WAF为重点说明这一类安全设备)。
  WAF:Web应用防御系统（Web Application Firewall, 简称：WAF）表明了一类新兴的信息安全技术，用以解决诸如防火墙一类传统设备一筹莫展的Web应用安全问题。与传统防火墙不一样，WAF工做在应用层，所以对Web应用防御具备先天的技术优点。基于对Web应用业务和逻辑的深入理解，WAF对来自Web应用程序客户端的各种请求进行内容检测和验证，确保其安全性与合法性，对非法的请求予以实时阻断，从而对各种网站站点进行有效防御。
  5.1 WAF部署位置
  一般状况下，WAF放在企业对外提供网站服务的DMZ区域或者放在数据中心服务区域，也能够与防火墙或IPS等网关设备串联在一块儿（这种状况较少）。总之，决定WAF部署位置的是WEB服务器的位置。由于WEB服务器是WAF所保护的对象。部署时固然要使WAF尽可能靠近WEB服务器。
  5.2 WAF部署模式及优缺点
  透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式，一般须要将WAF串行部署在WEB服务器前端，用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单，只须要将WAF旁路接在WEB服务器上游的交换机上，用于只检测异常流量。

  部署模式1 透明代理模式（也称网桥代理模式）
  透明代理模式的工做原理是，当WEB客户端对服务器有链接请求时，TCP链接请求被WAF截取和监控。WAF偷偷的代理了WEB客户端和服务器之间的会话，将会话分红了两段，并基于桥模式进行转发。从WEB客户端的角度看，WEB客户端仍然是直接访问服务器，感知不到WAF的存在；从WAF工做转发原理看和透明网桥转发同样，于是称之为透明代理模式，又称之为透明桥模式。
  这种部署模式对网络的改动最小，能够实现零配置部署。另外经过WAF的硬件Bypass功能在设备出现故障或者掉电时能够不影响原有网络流量，只是WAF自身功能失效。缺点是网络的全部流量（HTTP和非HTTP）都通过WAF对WAF的处理性能有必定要求，采用该工做模式没法实现服务器负载均衡功能。 
  部署模式2 反向代理模式
  反向代理模式是指将真实服务器的地址映射到反向代理服务器上。此时代理服务器对外就表现为一个真实服务器。因为客户端访问的就是WAF，所以在WAF无需像其它模式（如透明和路由代理模式）同样须要采用特殊处理去劫持客户端与服务器的会话而后为其作透明代理。当代理服务器收到HTTP的请求报文后，将该请求转发给其对应的真实服务器。后台服务器接收到请求后将响应先发送给WAF设备，由WAF设备再将应答发送给客户端。这个过程和前面介绍的透明代理其工做原理相似，惟一区别就是透明代理客户端发出的请求的目的地址就直接是后台的服务器，因此透明代理工做方式不须要在WAF上配置IP映射关系。
  这种部署模式须要对网络进行改动，配置相对复杂，除了要配置WAF设备自身的地址和路由外，还须要在WAF上配置后台真实WEB服务器的地址和虚地址的映射关系。另外若是原来服务器地址就是全局地址的话（没通过NAT转换）那么一般还须要改变原有服务器的IP地址以及改变原有服务器的DNS解析地址。采用该模式的优势是能够在WAF上同时实现负载均衡。
  

 

部署模式3 路由代理模式
  路由代理模式，它与网桥透明代理的惟一区别就是该代理工做在路由转发模式而非网桥模式，其它工做原理都同样。因为工做在路由（网关）模式所以须要为WAF的转发接口配置IP地址以及路由。
  这种部署模式须要对网络进行简单改动，要设置该设备内网口和外网口的IP地址以及对应的路由。工做在路由代理模式时，能够直接做为WEB服务器的网关，可是存在单点故障问题，同时也要负责转发全部的流量。该种工做模式也不支持服务器负载均衡功能。

部署模式4 端口镜像模式
  端口镜像模式工做时，WAF只对HTTP流量进行监控和报警，不进行拦截阻断。该模式须要使用交换机的端口镜像功能，也就是将交换机端口上的HTTP流量镜像一份给WAF。对于WAF而言，流量只进不出。
  这种部署模式不须要对网络进行改动，可是它仅对流量进行分析和告警记录，并不会对恶意的流量进行拦截和阻断，适合于刚开始部署WAF时，用于收集和了解服务器被访问和被攻击的信息，为后续在线部署提供优化配置参考。这种部署工做模式，对原有网络不会有任何影响。