Networking
使用 IPS(入侵防禦系統)增強 WAF(Web 應用程序防火牆)是否有意義?
以下場景:
- Web 應用,僅 HTTP/S 流量
- 防火牆到位,僅允許埠 80/443 上的流量
- WAF到位,設置拒絕惡意流量
問題:在這種情況下,是否有任何附加價值也有一個 IPS / 深度包裝檢測解決方案?據我所知:沒有。但我沒有找到任何明確的答案。
問題:在這種情況下,是否有任何附加價值也有一個 IPS / 深度包裝檢測解決方案?據我所知:沒有。但我沒有找到任何明確的答案。
要回答這個問題,首先讓我們解開它們的關鍵術語“價值”。我們在這裡所做的是詢問“安全控制的價值是什麼?”。
實施安全控制(WAF、IPS、SPI 防火牆是技術安全控制的範例)來管理風險。通常不會實施成本高於沒有控制的預期損失的安全控制,而成本低於預期隨時間損失的安全控制將實施。
當防火牆限制在一個埠和 WAF 就位時,是否有任何價值,實際上是在問這個問題:預期損失是否基於目前所有設置的方式減去 IPS 後的預期損失實施的成本大於 IPS 的成本。如果答案是,
yes那麼安裝 IPS 就沒有任何價值,因為安裝它的成本大於它提供的收益。這是一個實際的風險管理過程的例子。當涉及到這種特殊情況時,沒有足夠的資訊來明確回答這個問題。給出的任何技術答案都不會這樣做。即使我們掌握了所有資訊,這將是廣泛的,但人們計算風險的方式有足夠的變化,我們肯定無法做任何事情,除了給出“一種方法”,並且可能是有史以來最長的 Serverfault 答案:-)
不過,一般而言,這些領域是 IPS(為簡單起見,我們將在此將 HIPS 和 NIPS 混為一談)在與現有解決方案一起實施時提供價值機會:
- 對於功能交叉的情況,作為輔助控制,如果防火牆或 WAF 配置錯誤或受到威脅,無法檢測到威脅,或通過不同的方法檢測到威脅,從而增加檢測檢測規避技術的機率。
- 對於 IPS 提供尚未提供的額外保護的情況。這取決於產品和實現,但可能包括…
- 阻止已知的惡意 IP 地址
- 基於事件相關性的阻塞 - 例如。在發送 HTTP 請求之前已被視為埠掃描的 IP
- 防止/檢測未經授權的程序對文件的修改
- 好多其它的
- 為了增加可見度。IPS 通常能夠讓您更清楚地了解威脅形勢,因為它可以查看更多環境中正在發生的事情,而不僅僅是 Web 流量。
總之,IPS 是否有價值將取決於風險。在某些情況下,即使它只提供冗餘而沒有額外的功能,人們也會選擇在這種情況下安裝 IPS——“腰帶和大括號”方法。如果保護個人網站,可能不值得,如果保護價值數十億美元的智慧財產權,則更可能有價值。