WEB开发网
开发学院网络安全安全技术 IPS是否真的可以为Web应用把关 阅读

IPS是否真的可以为Web应用把关

 2008-09-05 13:21:01 来源:WEB开发网   
核心提示:一个IPS设备,作为安全设备的一种,IPS是否真的可以为Web应用把关,通常具有如下特征: 通常从被动的IDS技术进化而来;基于特征的;针对典型攻击技术的报警和阻断;使用“允许除非明确否认”模式;目的是保护广泛的一段网络协议和环境,而不是侧重保护web应用,更改的http方式,最大长度例外,IP

一个IPS设备,作为安全设备的一种,通常具有如下特征:

通常从被动的IDS技术进化而来;

基于特征的;

针对典型攻击技术的报警和阻断;

使用“允许除非明确否认”模式;

目的是保护广泛的一段网络协议和环境,而不是侧重保护web应用。

IPS技术使用模式匹配引擎,以寻找具体的签名,表明攻击。首要的作用是一个综合方案,是它挡住了众所皆知的企业级攻击,如:电子邮件病毒,蠕虫,telnet的攻击,网站服务器攻击,以及其他攻击。第二个作用是分类报表,例如你可以了解有多少尼姆达攻击被阻断。IPS对攻击的分类统计,如下:

IPS不能进行报警和阻断针对某个web应用的攻击。没有特殊的特征,IPS不知道什么是恶意的,并且这些特征只存在于通用的技术和应用(如:微软IIS的bug,Code Red II蠕虫等。)。例如,IPS没有基于PeopleSoft的特征,将不会保护基于PeopleSoft的应用。

本质上说,IPS是被动的方式。 IPS厂家推销此为"非侵入性" 。事实上,一个针对已知攻击和技术的IPS警报,你可能需要不断的打补丁。

总结:

如果你想依靠一种网络IPS解决方案来保护关键应用的web应用,在这里有几个方面,你应该再考虑下:

1. IPS使用包含已知特征的特征数据库作为检测机制,只能捕获已知攻击。针对某种特殊应用设计的攻击,将不能防御。IPS系统并不能防御时下流行的攻击:命令注入攻击合理SQL注入攻击。

2. 黑客只需做少许修改,现有的特征将不起作用。

3. SSL加密使IPS设备对所有的web攻击失效。

4. IPS不能对URL和Unicode编码流量规范化。被攻击者隐藏良好的普通攻击,IPS也将失去作用。

5. 基于“允许除非明确否认”的模式对所有流量放行,除非明确告知哪些是恶意的流量。但是当遇到IPS不能判断是否恶意的流量时该怎么办呢?

6. IPS只知道包和请求,而不知道网络和应用。IPS不知道用户特定的网络和应用架构。复杂的特征需要根据用户特定的应用环境来单独制定。制定出符合用户实际应用环境的特征所需的工具,IPS并没有开放给用户。

7. 典型IPS产品通常是商用平台,并不能保持数据,特别是当数据包用来识别是否为攻击时,该数据包可能已经被拆分掉了。

相比之下, 专为解决web应用安全的应用防火墙其目的是保护web应用(例如NetContinuum解决方案),提供一种保护后台包含敏感信息的关键应用。可防止所有常见的应用攻击,包括攻击应用平台(操作系统和web服务器)和用户自己的应用(定制代码和数据库) 。对比测试每个来袭涉嫌恶意指令,非法关键词,隐藏字段篡改,参数篡改,更改的http方式,最大长度例外,非法url来有效地阻止攻击的应用。

Tags:IPS 是否 真的

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接