FW/IDS/IPS/WAF等安全設備部署方式及優缺點

如今市場上的主流網絡安全產品能夠分爲如下幾個大類：
1.基礎防火牆FW/NGFW類

  主要是可實現基本包過濾策略的防火牆，這類是有硬件處理、軟件處理等，其主要功能實現是限制對IP:port的訪問。基本上的實現都是默認狀況下關閉全部的經過型訪問，只開放容許訪問的策略。FW能夠攔截低層攻擊行爲，但對應用層的深層攻擊行爲無能爲力。
   FW部署位置通常爲外聯出口或者區域性出口位置，對內外流量進行安全隔離。部署方式常見以下

 

2.IDS類

  此類產品基本上以旁路爲主，特色是不阻斷任何網絡訪問，主要以提供報告和過後監督爲主，少許的相似產品還提供TCP阻斷等功能，但少有使用。

3.IPS類

  解決了IDS沒法阻斷的問題，基本上以在線模式爲主，系統提供多個端口，以透明模式工做。在一些傳統防火牆的新產品中也提供了相似功能，其特色是能夠分析到數據包的內容，解決傳統防火牆只能工做在4層如下的問題。和IDS同樣，IPS也要像防病毒系統定義N種已知的攻擊模式，並主要經過模式匹配去阻斷非法訪問,致命缺點在於不能主動的學習攻擊方式，對於模式庫中不能識別出來的攻擊，默認策略是容許
訪問的！
  IPS類設備，常被串接在主幹路上，對內外網異常流量進行監控處理，部署位置常見以下

4.UTM類安全設備

  是以上三者的結合體，按照IDC提出「統一威脅管理」的概念來看，UTM是將防病毒、入侵檢測和防火牆安全設備劃歸到一塊兒「統一管理」的新類別。
  IDC將防病毒、防火牆和入侵檢測等概念融合到被稱爲統一威脅管理的新類別中，該概念引發了業界的普遍重視，並推進了以整合式安全設備爲表明的市場細分的誕生。由IDC提出的UTM是指由硬件、軟件和網絡技術組成的具備專門用途的設備，它主要提供一項或多項安全功能，將多種安全特性集成於一個硬設備裏，構成一個標準的統一管理平臺。
  因爲性能要求出衆，致使造價通常比較高，目前通常只有大型企業會有使用。
  UTM的優勢主要有如下幾條
  1.整合所帶來的成本下降（一身兼多職嘛！） 
  2.下降信息安全工做強度 （減輕管理員負擔）
  3.下降技術複雜度
  UTM也不能一勞永逸的解決全部安全問題，總結下來，有以下缺點
  1.網關防護的弊端 
  網關防護在防範外部威脅的時候很是有效，可是在面對內部威脅的時候就沒法發揮做用了。有不少資料代表形成組織信息資產損失的威脅大部分來自於組織內部，因此以網關型防護爲主的UTM設備目前尚不是解決安全問題的萬靈藥。 
  2.過分集成帶來的風險
  3.性能和穩定性
5.主動安全類

  和前面的產品均不一樣，主動安全產品的特色是協議針對性很是強，好比WAF就是專門負責HTTP協議的安全處理，DAF就是專門負責數據庫Sql 查詢類的安全處理。在主動安全產品中一般會處理到應用級的訪問流程。對於不認識的業務訪問所有隔離(如下以WAF爲重點說明這一類安全設備)。
  WAF:Web應用防禦系統（Web Application Firewall, 簡稱：WAF）表明了一類新興的信息安全技術，用以解決諸如防火牆一類傳統設備一籌莫展的Web應用安全問題。與傳統防火牆不一樣，WAF工做在應用層，所以對Web應用防禦具備先天的技術優點。基於對Web應用業務和邏輯的深入理解，WAF對來自Web應用程序客戶端的各種請求進行內容檢測和驗證，確保其安全性與合法性，對非法的請求予以實時阻斷，從而對各種網站站點進行有效防禦。
  5.1 WAF部署位置
  一般狀況下，WAF放在企業對外提供網站服務的DMZ區域或者放在數據中心服務區域，也能夠與防火牆或IPS等網關設備串聯在一塊兒（這種狀況較少）。總之，決定WAF部署位置的是WEB服務器的位置。由於WEB服務器是WAF所保護的對象。部署時固然要使WAF儘可能靠近WEB服務器。
  5.2 WAF部署模式及優缺點
  透明代理模式、反向代理模式、路由代理模式及端口鏡像模式。前三種模式也被統稱爲在線模式，一般須要將WAF串行部署在WEB服務器前端，用於檢測並阻斷異常流量。端口鏡像模式也稱爲離線模式，部署也相對簡單，只須要將WAF旁路接在WEB服務器上游的交換機上，用於只檢測異常流量。

  部署模式1 透明代理模式（也稱網橋代理模式）
  透明代理模式的工做原理是，當WEB客戶端對服務器有鏈接請求時，TCP鏈接請求被WAF截取和監控。WAF偷偷的代理了WEB客戶端和服務器之間的會話，將會話分紅了兩段，並基於橋模式進行轉發。從WEB客戶端的角度看，WEB客戶端仍然是直接訪問服務器，感知不到WAF的存在；從WAF工做轉發原理看和透明網橋轉發同樣，於是稱之爲透明代理模式，又稱之爲透明橋模式。
  這種部署模式對網絡的改動最小，能夠實現零配置部署。另外經過WAF的硬件Bypass功能在設備出現故障或者掉電時能夠不影響原有網絡流量，只是WAF自身功能失效。缺點是網絡的全部流量（HTTP和非HTTP）都通過WAF對WAF的處理性能有必定要求，採用該工做模式沒法實現服務器負載均衡功能。 
  部署模式2 反向代理模式
  反向代理模式是指將真實服務器的地址映射到反向代理服務器上。此時代理服務器對外就表現爲一個真實服務器。因爲客戶端訪問的就是WAF，所以在WAF無需像其它模式（如透明和路由代理模式）同樣須要採用特殊處理去劫持客戶端與服務器的會話而後爲其作透明代理。當代理服務器收到HTTP的請求報文後，將該請求轉發給其對應的真實服務器。後臺服務器接收到請求後將響應先發送給WAF設備，由WAF設備再將應答發送給客戶端。這個過程和前面介紹的透明代理其工做原理相似，惟一區別就是透明代理客戶端發出的請求的目的地址就直接是後臺的服務器，因此透明代理工做方式不須要在WAF上配置IP映射關係。
  這種部署模式須要對網絡進行改動，配置相對複雜，除了要配置WAF設備自身的地址和路由外，還須要在WAF上配置後臺真實WEB服務器的地址和虛地址的映射關係。另外若是原來服務器地址就是全局地址的話（沒通過NAT轉換）那麼一般還須要改變原有服務器的IP地址以及改變原有服務器的DNS解析地址。採用該模式的優勢是能夠在WAF上同時實現負載均衡。
  

 

部署模式3 路由代理模式
  路由代理模式，它與網橋透明代理的惟一區別就是該代理工做在路由轉發模式而非網橋模式，其它工做原理都同樣。因爲工做在路由（網關）模式所以須要爲WAF的轉發接口配置IP地址以及路由。
  這種部署模式須要對網絡進行簡單改動，要設置該設備內網口和外網口的IP地址以及對應的路由。工做在路由代理模式時，能夠直接做爲WEB服務器的網關，可是存在單點故障問題，同時也要負責轉發全部的流量。該種工做模式也不支持服務器負載均衡功能。

部署模式4 端口鏡像模式
  端口鏡像模式工做時，WAF只對HTTP流量進行監控和報警，不進行攔截阻斷。該模式須要使用交換機的端口鏡像功能，也就是將交換機端口上的HTTP流量鏡像一份給WAF。對於WAF而言，流量只進不出。
  這種部署模式不須要對網絡進行改動，可是它僅對流量進行分析和告警記錄，並不會對惡意的流量進行攔截和阻斷，適合於剛開始部署WAF時，用於收集和了解服務器被訪問和被攻擊的信息，爲後續在線部署提供優化配置參考。這種部署工做模式，對原有網絡不會有任何影響。