1、定义

IPS设备

IPS即入侵保护系统，IPS完全实现防火墙的功能；具有IDS的所有特性。以串联接入网络，比旁路IDS防御效果好，能够有效阻断入侵连接。

WAF设备

WEB应用防火墙称WAF，提供了一种针对Web应用的安全运维控制手段：基于对HTTP/HTTPS流量的双向分析，为WEB应用提供实时的防护。

2、工作原理

IPS设备

IPS主要定位在分析传输层和网络层的数据，依靠静态的签名进行识别攻击，也就是识别攻击特征，是一种被动安全模型。

主要抵御的算法为模式匹配。

WAF设备

WAF主要提供对Web应用层数据的解析，对不同的编码方式做强制多重转换还原成攻击明文，把变形后的字符组合后在分析，能够较好的低于来自于Web层的组合攻击。

主要抵御算法为基于上下文的语义分析。

3、功能特点

IPS设备

针对不同的网络环境和安全需求，基于安全区、IP地址（组、段）、规则（组、集）、时间、动作等对象，制定不同的规则和响应方式。

主动防御已知攻击，实时阻断各种黑客攻击，如缓冲区溢出、SQL注入、暴力猜测、拒绝服务、扫描探测、非授权访问、蠕虫病毒、木马后门、间谍软件等，而且针对僵尸网络提供主动防御，广泛精细的应用防护帮助用户避免安全损失。

WAF设备

对HTTP有本质的理解：能完整地解析HTTP，包括报文头部、参数及载荷。支持各种HTTP编码（如chunkedencoding）；提供严格的HTTP协议验证；提供HTML限制；支持各类字符集编码；具备response过滤能力。

提供应用层规则：WEB应用通常是定制化的，传统的针对已知漏洞的规则往往不够有效。WAF提供专用的应用层规则，且具备检测变形攻击的能力，如检测SSL加密流量中混杂的攻击。

标签：