WAFとIPS / IDSの比較

@schroederが言うように、最大​​の違いは、彼らがスタックのどこに座っているかです。その違いについて話しましょう。

Webアプリケーションファイアウォールはアプリケーション層で機能します。これは、ホストが受信した後、ネットワークストリームではなくデータストリームを処理していることを意味します。その結果、通常は復号化*後に適用されるため、リクエストとレスポンスのヘッダーと本文へのフルアクセスが可能になります。また、WAFは通常、IDS/IPSよりもアプリケーション固有のシグネチャに重点を置くことが期待できます。 WAFは、JSONまたはXML形式の検証のようなものも見る可能性が高くなります。 間違っているであるものを探すのではなく、正しくないであるものを探しています。

一方、IDS/IPSはネットワーク層で動作します。構成によっては復号化が可能ですが、WAFの場合のように想定されていません。復号化がない場合、IDS/IPSは主にWebアプリケーション攻撃の影響を受けない可能性があります。 IDS/IPSはすべてのネットワーク層を分析できるため、WAFが決して見ることのない断片化攻撃などを探すことができます。また、IDS/IPSはすべてのトラフィックを監視することが期待されているため、Webアプリケーションプロトコルに限定されず、はるかに広い範囲のシグネチャを備えています。拡張により、WebアプリケーションシグネチャのセットがWAFほど詳細ではない場合があります。

2つのテクノロジーは交差するセットです。攻撃では、一部のトラフィックがWAFとIDS/IPSの両方をトリガーします。 WAFをトリガーするだけのものもあります。 IDS/IPSのみをトリガーするものもあります。 （そして、いくつかは飛んでいる色で両方を通り過ぎます-そこには簡単な走りはありませんと誰が言いますか？）

* WAFが実際のアプリケーションサーバー上にある場合があります。時々それは中間者デバイスです。どちらの方法でも、分析の前に復号化し、ボックスに到達するためのホップがまだある場合は後で再暗号化します。