IPS是否真的可以为Web应用把关

核心提示：一个IPS设备，作为安全设备的一种，IPS是否真的可以为Web应用把关，通常具有如下特征： 通常从被动的IDS技术进化而来；基于特征的；针对典型攻击技术的报警和阻断；使用“允许除非明确否认”模式；目的是保护广泛的一段网络协议和环境，而不是侧重保护web应用，更改的http方式，最大长度例外，IP

一个IPS设备，作为安全设备的一种，通常具有如下特征：

通常从被动的IDS技术进化而来；

基于特征的；

针对典型攻击技术的报警和阻断；

使用“允许除非明确否认”模式；

目的是保护广泛的一段网络协议和环境，而不是侧重保护web应用。

IPS技术使用模式匹配引擎，以寻找具体的签名，表明攻击。首要的作用是一个综合方案，是它挡住了众所皆知的企业级攻击，如：电子邮件病毒，蠕虫，telnet的攻击，网站服务器攻击，以及其他攻击。第二个作用是分类报表，例如你可以了解有多少尼姆达攻击被阻断。IPS对攻击的分类统计，如下：

IPS不能进行报警和阻断针对某个web应用的攻击。没有特殊的特征，IPS不知道什么是恶意的，并且这些特征只存在于通用的技术和应用(如：微软IIS的bug，Code Red II蠕虫等。)。例如，IPS没有基于PeopleSoft的特征，将不会保护基于PeopleSoft的应用。

本质上说，IPS是被动的方式。 IPS厂家推销此为"非侵入性" 。事实上，一个针对已知攻击和技术的IPS警报，你可能需要不断的打补丁。

总结：

如果你想依靠一种网络IPS解决方案来保护关键应用的web应用，在这里有几个方面，你应该再考虑下：

1. IPS使用包含已知特征的特征数据库作为检测机制，只能捕获已知攻击。针对某种特殊应用设计的攻击，将不能防御。IPS系统并不能防御时下流行的攻击：命令注入攻击合理SQL注入攻击。

2. 黑客只需做少许修改，现有的特征将不起作用。

3. SSL加密使IPS设备对所有的web攻击失效。

4. IPS不能对URL和Unicode编码流量规范化。被攻击者隐藏良好的普通攻击，IPS也将失去作用。

5. 基于“允许除非明确否认”的模式对所有流量放行，除非明确告知哪些是恶意的流量。但是当遇到IPS不能判断是否恶意的流量时该怎么办呢?

6. IPS只知道包和请求，而不知道网络和应用。IPS不知道用户特定的网络和应用架构。复杂的特征需要根据用户特定的应用环境来单独制定。制定出符合用户实际应用环境的特征所需的工具，IPS并没有开放给用户。

7. 典型IPS产品通常是商用平台，并不能保持数据，特别是当数据包用来识别是否为攻击时，该数据包可能已经被拆分掉了。

相比之下， 专为解决web应用安全的应用防火墙其目的是保护web应用(例如NetContinuum解决方案)，提供一种保护后台包含敏感信息的关键应用。可防止所有常见的应用攻击，包括攻击应用平台(操作系统和web服务器)和用户自己的应用(定制代码和数据库) 。对比测试每个来袭涉嫌恶意指令，非法关键词，隐藏字段篡改，参数篡改，更改的http方式，最大长度例外，非法url来有效地阻止攻击的应用。