【IT专家网独家】一个IPS设备,作为安全设备的一种,通常具有如下特征:
通常从被动的IDS技术进化而来;
基于特征的;
针对典型攻击技术的报警和阻断;
使用“允许除非明确否认”模式;
目的是保护广泛的一段网络协议和环境,而不是侧重保护web应用。
IPS技术使用模式匹配引擎,以寻找具体的签名,表明攻击。首要的作用是一个综合方案,是它挡住了众所皆知的企业级攻击,如:电子邮件病毒,蠕虫,telnet的攻击,网站服务器攻击,以及其他攻击。第二个作用是分类报表,例如你可以了解有多少尼姆达攻击被阻断。IPS对攻击的分类统计,如下:
IPS不能进行报警和阻断针对某个web应用的攻击。没有特殊的特征,IPS不知道什么是恶意的,并且这些特征只存在于通用的技术和应用(如:微软IIS的bug,Code Red II蠕虫等。)。例如,IPS没有基于PeopleSoft的特征,将不会保护基于PeopleSoft的应用。
本质上说,IPS是被动的方式。 IPS厂家推销此为"非侵入性" 。事实上,一个针对已知攻击和技术的IPS警报,你可能需要不断的打补丁。
总结:
如果你想依靠一种网络IPS解决方案来保护关键应用的web应用,在这里有几个方面,你应该再考虑下:
1. IPS使用包含已知特征的特征数据库作为检测机制,只能捕获已知攻击。针对某种特殊应用设计的攻击,将不能防御。IPS系统并不能防御时下流行的攻击:命令注入攻击合理SQL注入攻击。
2. 黑客只需做少许修改,现有的特征将不起作用。
3. SSL加密使IPS设备对所有的web攻击失效。
4. IPS不能对URL和Unicode编码流量规范化。被攻击者隐藏良好的普通攻击,IPS也将失去作用。
5. 基于“允许除非明确否认”的模式对所有流量放行,除非明确告知哪些是恶意的流量。但是当遇到IPS不能判断是否恶意的流量时该怎么办呢?
6. IPS只知道包和请求,而不知道网络和应用。IPS不知道用户特定的网络和应用架构。复杂的特征需要根据用户特定的应用环境来单独制定。制定出符合用户实际应用环境的特征所需的工具,IPS并没有开放给用户。
7. 典型IPS产品通常是商用平台,并不能保持数据,特别是当数据包用来识别是否为攻击时,该数据包可能已经被拆分掉了。
相比之下, 专为解决web应用安全的应用防火墙其目的是保护web应用(例如NetContinuum解决方案),提供一种保护后台包含敏感信息的关键应用。可防止所有常见的应用攻击,包括攻击应用平台(操作系统和web服务器)和用户自己的应用(定制代码和数据库) 。对比测试每个来袭涉嫌恶意指令,非法关键词,隐藏字段篡改,参数篡改,更改的http方式,最大长度例外,非法url来有效地阻止攻击的应用。
IT专家网原创文章,未经许可,严禁转载!
