IDS IPS WAF之安全剖析

现在市场上的主流网络安全产品可以分为以下几个大类：

1、基础防火墙类，主要是可实现基本包过滤策略的防火墙，这类是有硬件处理、软件处理等，其主要功能实现是限制对IP:port的访问。基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。

2、IDS类，此类产品基本上以旁路为主，特点是不阻断任何网络访问，主要以提供报告和事后监督为主，少量的类似产品还提供TCP阻断等功能，但少有使用。

3、IPS类，解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。在一些传统防火墙的新产品中也提供了类似功能，其特点是可以分析到数据包的内容，解决传统防火墙只能工作在4层以下的问题。和IDS一样，IPS也要像防病毒系统定义N种已知的攻击模式，并主要通过模式匹配去阻断非法访问。

4、主动安全类，和前面的产品均不同，主动安全产品的特点是协议针对性非常强，比如WAF就是专门负责HTTP协议的安全处理，DAF就是专门负责数据库Sql 查询类的安全处理。在主动安全产品中通常会处理到应用级的访问流程。对于不认识的业务访问全部隔离。

在这几类产品中，就可以分辨出什么是主动安全，什么是被动安全。从安全的最基本概念来说，首先是关闭所有的通路，然后再开放允许的访问。

因此，传统防火墙可以说是主动安全的概念，因为默认情况下是关闭所有的访问，然后再通过定制策略去开放允许开放的访问。但由于其设计结构和特点，不能检测到数据包的内容级别，因此，当攻击手段到达应用层面的时候，传统的防火墙都是无能为力的。IDS就不讲了，不能阻断只能是一个事后监督机制，因此在其后出现的IPS，基本上所有的IPS系统都号称能检查到数据包的内容，但犯了一个致命的错误，就是把安全的原则反过来了，变成默认开放所有的访问，只有自己认识的访问，才进行阻断。

从另外一个方面，由于在线式造成的性能问题，也不能像杀毒软件一样进行全面而细致的安全审计。因此大多数的IPS在实际运行环境中都形同虚设，通常只是当作一个防DDOS的设备存在。IPS尤其对于未知的，不再其安全库内的攻击手段，基本上都是无能为力的。

在主动安全的体系中，彻底改变了IPS 的致命安全错误。其工作在协议层上，通过对协议的彻底分析和Proxy代理工作模式，同时，结合对应用的访问流程进行分析，只通过自己认识的访问，而对于不认识的访问，则全部进行阻断。比如在页面上的一个留言板，正常人登录都是填入一些留言，提问等，但黑客则完全可能填入一段代码，如果服务器端的页面存在漏洞，则当另外一个用户查看留言板的时候，则会在用户完全不知道的情况下执行这段代码，标准叫法，这叫做跨站攻击。

当这段代码被执行后，用户的本地任何信息都有可能被发送到黑客的指定地址上。如果采用防火墙或者IPS，对此类攻击根本没有任何处理办法，因为攻击的手段、代码每次都在变化，没有特征而言。而在采用主动安全的系统中，则可以严格的限制在留言板中输入的内容，由此来防范此类跨站攻击。又如常见的认证漏洞，可能造成某些页面在没有进行用户登录的情况下可以直接访问，这些内容在防火墙或者IPS系统中更加无法处理了。

因为他们的请求和正常的请求完全一样，只是没有经过登录流程而已，因此不能进行防护，在主动安全体系里，可以对用户的访问进行流程限定，比如访问一些内容必须是在先通过了安全认证之后才能访问，并且必须按照一定的顺序才能执行。

因此，工作在流程和代理层面的主动安全设备可以进一步实现应用系统的真正安全。

另外，在通常情况下，安全访问都采用SSL进行通道连接，传统的IPS根本无法看到用户的访问，从而造成形同虚设的安全网关。