网络安全设备区别
防火墙,IPS,WEB防火强的本质区别
这四种产品最本质的区别还是在于功能的专业性,简单来说,就类似于智能手机和电脑的区别,智能手机有操作系统,可以看文档,发邮件,玩游戏,但是手机最重要的功能还是电话通讯,根本无法取代不了电脑的地位,因为手机在处理很多程序时没有电脑专业。防火墙是功能最多的安全设备,很多防火墙自带抗DDOS,IPS,WEB防护,甚至防病毒功能,但是它是取代不了专业产品的,因为附带的功能无论是功能和性能都无法和专业防护设备相比!!
(1)防火墙防火墙用专业的概念可以解释成,它一种访问控制设备。主要是放在用户的内网和互联网出口处,通过制定安全规则,对进出数据进行放行和阻断行为。举个简单的例子:就类似很多高级饭店,规定客人,需要“穿正装”“打领带”“穿皮鞋”等,这个就是饭店制定的规则,只有满足这个规则的客人才能进去。防火墙的安全规则也是用户根据自己网络情况制定的,一般定义的规则为,对外开放哪些“端口”,开放哪些“协议”,允许哪些地址上网等简单的策略。比如,用户内部有对外开放的门户网站,他就必须把80端口,把HTTP协议对外开放。在这种情况下,如果DDOS攻击针对的就是80端口,HTTP协议,那么防火墙就没办法防护了,对防火墙来说,这种攻击时符合他的安全规则的,因此不会进行处理。
(2)IPS(入侵防御系统)
  IPS实际上是对防火墙在入侵防护功能上的一个补充,由于防火墙对于那些利用合法的端口和协议的破坏活动无能为力,且防火墙不对数据包进行深层的检测,因此IPS被研发出来,处理这些破坏活动。实际上所有的防火墙都带有“入侵防护功能”,但是IPS依然得到用户认同,因为它是专业入侵防护设备。
  由于IPS是通过对数据包进行深层的检测进行入侵防护的,那么IPS实际上是专门用来防护应用层的各种入侵和破坏行为的。例如:暴力猜解(Brut-Force-Attack),埠扫描(Portscan),嗅探,病毒,蠕虫,垃圾邮件,木马等等,此外还有利用软体的漏洞和缺陷钻空子、干坏事的破坏行为。而DDOS攻击中的流量型攻击,比如SYN FLOOD,UDP FLOOD,ICMP FLOOD等都是在网络层的攻击行为,所以IPS无法很好的处理。
  另外,IPS对入侵行为的判断是基于“入侵数据特征库”的,类似于杀毒软件的“病毒库”,把进出的每一个数据和入侵数据特征库进行一一对比,如果符合入侵特征,就进行过滤处理。而DDOS攻击中的连接型攻击,如:CC攻击,空链接攻击,是没有攻击的明显特征的,所以IPS对于这种攻击无法防御。
(3)WEB防火墙
WEB防火墙是在IPS的基础上发展而来的,它更加专注于WEB的应用,因此他的防护主要是针对HTTP协议和各种web应用的入侵行为,例如:如SQL注入攻击、命令注入攻击、跨站脚本攻击、跨站伪造、缓冲区溢出、恶意编码等。实际上WEB防火墙的防护功能IPS也基本都能做到,只不过WEB防火墙在防护WEB应用攻击方面做得更细些,也更专业些。
我们可以把这个图看成是一个工商银行的营业厅,内部有八个柜台对外服务,营业厅的大门当成“防火墙”,而门卫是“IPS(入侵防护)”。
那么防火墙起什么作用呢,防火墙的作用就是制定进出规则:来工商银行办业务的人可以进来,以此来阻拦一些不相干的人进入银行,比如推销的,小摊小贩等,那么大家可以感觉的到这个规则实际是有很大漏洞的,任何以办业务为名义的人都可以进来,哪怕他是来打劫的。因此,防火墙对于那些符合它制定规则的入侵和攻击行为,无法做出防护措施;
那么IPS起什么作用呢,IPS(门卫)很好的弥补了防火墙的一个功能缺陷。它会阻拦那些以办业务为名义,且明显是来进行破坏的热拦截!比如拿着刀来银行办业务,拿着来银行办业务的,门卫是肯定不让进去的。拿刀,拿可视为具备明显攻击特征。
而DDOS攻击的方式很简单,就是我利用100个人以办业务的名义进到营业厅,将前面的100个号拿走,而这一百个人实际上并不办理任何正常业务,那么在一定时间内,银行的正常业务是没办法进行了。这种攻击方式,实际上是躲过了防火墙和IPS,而进行的破坏活动。
DDOS防护设备的作用是相当于,在大门前再架设一个检查站,主动的询问来办业务的人,办理什么业务,有没有身份证,银行卡,存折之类的东西。当一个人给了我确认的信息后,我才会放他进去。如果我们在询问时,他基本不作回应,那么这个人可以判断是搞破坏的,就不会放行进去了!
因此在这里给出DDOS的一个概念就是:DDOS攻击是以大量的无用的数据,来消耗用户有限的资源的一种攻击方式。消耗的资源有两个,一个是网络资源,一个是系统资源。对于DDOS攻击最治标有治本的方法就是,在网络或服务系统前端,架设一台设备,这台设备能够准确检测并分析出正常数据和无用数据,过滤掉无用数据,而将正常数据放行到网络中,转发给服务器。
防火墙只能检测数据包中的地址,协议,端口等简单的信息,IPS能够检测数据包深层次的
电脑防火墙的作用东西,但它是以静态的攻击特征库为检测依据的,这些手段都不能够有效的检测出DDOS攻击数据。而我们金盾是以动态的检测算法,且是以“判断攻击行为”为防护依据。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。