【51CTO.com 独家报道】21世纪的前3年中,Code Red、Nimda、SQL Slammer等蠕虫的先后爆发,暴露了网络防火墙的不足,直接催生了IPS(入侵防御系统)。2008年开始,大规模SQL注入的出现,意味着Web开始成为黑客攻击的焦点。WAF(Web Application Firewall,Web应用防火墙)就在这时开始萌发。而IPS也在原有架构下开始加强对Web的防护。时至今天,WAF发展如何?IPS发展如何?
2010年10月,51CTO与国内专注网络安全的绿盟科技携手,做了一个有关WAF和IPS的辩论活动,暨“挑战安全技术专家,Web安全技术擂台赛”。
以前51CTO的网友们往往只有听的份,很少有机会反驳专家观点,最多发表一下自己的看法,更别谈自己的观点在51CTO首页展现了。这次的活动,关注网络安全产品的网友们不但可以反驳专家,还有机会将自己精彩的观点展示在活动专区中【活动专区地址】,专家、牛人,众生平等。
活动在论坛的地址:http://bbs.51cto.com/thread-794236-1.html
接受挑战的擂主由绿盟科技的两位资深安全经理担任,他们分别是:
秦波:产品市场经理,安全资深专家,具有长期安全服务和产品规划经验,目前主要负责WAF产品规划和需求管理。
李从宇:具有长期安全产品营销推广经验,目前主要负责WAF产品营销推广。
擂台赛一开始,支持IPS的用户就向两位擂主发动了潮水般的进攻。忠于IPS入侵防护系统的正方选手pikalo、一剑倾城、经典ID、linfj、235898457、hblf或通过自身的使用经验,或通过自己的理论知识。抢先一步发难,让IPS的一方占了先手。
不过很快,WAF的支持者们开始反击。Dictator、ccfxny、小侠唐在飞几位51CTO站友和两位擂主一起。将战争维持在了"三八线"附近。双方你来我往,口气都不弱。
IPS支持方的一剑倾城甚至在其言论后面放出几只手持利器、面带不屑的火星蟹。充满了挑衅的意味。
接下来的一周,双方的辩论依然弥漫着火药味。期间虽然发生了QQ对决360这样的安全界大事件,但是"IPS VS WAF "这一web安全辩论依然进行的如火如荼。在11月2日之前,支持IPS入侵防护系统的朋友还稍占上风,11月8号早上一看,力挺WAF的票数已经以27:25反超,双方辩手数量对比为17:11,支持IPS的正方以多打少但略显颓势。
以下列出双方的精彩观点:
正方:
·hblf:在针对web的防御方面,我倾向于WAF会逐步替代IPS,但不是每个客户在WEB安全防护的需求与整体网络安全防护需求是相当的,因此从大的方面来说,WAF并不会对IPS构成威胁…… 11月03日
·rainyuers:按照您的说法,IPS在Web安全防御上无用武之地喽?可据我所知,目前很多企业仍然在使用IPS,而非WAF。这是市场目前的状况,按照你的思路发展下去,也就是说,WAF肯定会取代IPS,而IPS必顶会被时代淘汰。事情是这样发展的么? 11月02日
·pikalo:这些结果相对应的策略不一定非要用在产品的配置上,比如在部署Web应用之前实施安全测试,在部署之后用漏洞扫描工具和站点监视工具对网站进行测试。再比如,对于防御SQL注入攻击,检查网页代码是必要的,绝对不能忘记的事还有修补漏洞,我们可以选择修改源代码来过滤关键字,以上这些方法虽然都是一些手段,但是作为防御SQL注入和Web安全威胁来说,还是IPS显得更加专业一些,简单一句话的道理,威胁层出不穷,不管怎么防御,都要先检测出这些威胁,没有检测连防御什么都不知道,就更谈不上防御了。所以,Web安全防御可以选择使用专业的IPS产品。 11月02日
·hblf: 举个极端点的例子哈,如果我所在的企业,就一台web服务器,日访问千余ip,只用来企业文化展示,企业动态宣传之用。且在其前端已经部署IPS,页面都已生成静态页面,那么这样的企业是否还有必要在WAF身上投入呢?答案应该是显然的吧。 其实我的一个感觉是,WAF从某种角度说,更合理的客户对象,不是企业,而是IDC…… 11月01日
·pikalo:不可否认,SQL攻击特征是千变万化的,但攻击造成某种现象却相对一致,所以无需对攻击特征设定策略,只需要对结果特征进行相应的策略,就能阻断这些看上去千变万化的攻击。显然,您是绿盟的人吧,不然ID不会是NSFOCUS,哈哈,我们单位用的IPS就是天清系列,和你们是竞争对手哦! 10月28日
·一剑倾城:更加适合Web安全防御?用IPS就行了。国内有公司已经做出WIPS了,即专门针对WEB的IPS入侵防御产品。10月27日
·hblf:"安全技术千千万,企业安全是否真的需要产品的堆叠?"、"说说自己的感受,不站在所谓正方or反方的立场"。web安全市场越来越火热,新技术和新产品层出不穷,各个厂商也纷纷在此市场投入研发经历完善产品或是推陈出新,当然,这一切对于企业的安全建设和安全保障来说,都是好事。企业安全管理人员的选择面会更广,技术可以把握的更细致。10月27日
反方:
·李从宇:防篡改,是一个不太标准的技术说法,有些厂商把能防一些攻击就叫作防篡改,有些厂商把静态页面操作权限监控叫作防篡改,这是个模糊的领域……11月05日
·李从宇:关于代码检查和修改,这的确是实现Web安全"更本质"的做法,但在实际的Web应用开发与维护中进行深度的代码检查是不现实的(对大部分场景来说),因为当代码检查达到一定深度时,更多的成本投入已经不能带来风险的明显降低,而此时由于Web应用系统不能上线所浪费的机会成本就大到不能接收了……11月02日
·李从宇:黑客可以尝试频繁地模拟错误条件,然后从服务器的响应中挖掘出关于应用程序、服务器程序或数据库的敏感信息。这些信息汇集在一起能被用作发起随后的专项攻击。而WAF可以遏制响应中的敏感信息,例如堆栈路径和测试信息,可以给Web应用程序罩上一个隐身斗篷。 11月01日#p#
·秦波:我们知道Web应用由多层架构组成:Network,OS/Web Server/application/Database等,IPS的定位是一英里宽,一寸厚,所以它必须支持多层协议,不仅包括IP、ICMP、UDP、TCP这几种网络层、传输层的协议,还有HTTP、TTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等众多的应用层协议,通常包括协议分析跟踪、特征匹配、流量统计分析、事件关联分析等技术,性能和功能决定了它不可能对所有应用深入去支持,而定位于防护这些层面的漏洞防护/攻击识别……11月01日
·biliw:我觉得还是需要用WAF的。至于上面有的朋友提到IPS够了,并且也说有厂商提出了WIPS的概念,但据我了解,这是厂商的市场策略,目的是在自己还没准备好的情况下先把水搅浑,把概念混淆,等自己做好准备后出了相应的专用产品时……10月28日
·老韩菜弟:WAF和IPS从功能实现上来说是完全不同的,但因不同厂商有自己的产品定义,所以市场推广方面有些混淆。一个简单的辨别其是否为真正WAF的方法是查看产品是否有流量模型自学习、自适应功能,传统的攻击特征库反倒不是特别重要。从市场接受程度看,真正的WAF还是应该先从金融、税务等实际要求较高的行业突破,这类用户也确实需要WAF,而不是传统的IPS。以上是菜弟的个人看法,才疏学浅,还要向绿盟的专家请教。……10月28日
·小侠唐在飞:IPS不是万能的。WEB安全还得另想办法,必须选择一个能解决深层次应用安全的产品。与现有的安全产品结合使用。WEB安全还得有专门 的WEB安全设备来解决! 10月27日
11月下旬,擂台赛进入高潮。除了绿盟科技的两位擂主以外,前来支持WAF的用户越来越多。
截至到投票功能关闭前,支持"WAF必须"的用户达到了38位,超过了"只用 IPS 就足矣"的33位。
WAF阵营的网友们守擂成功!
在热心的WAF粉丝支持下,绿盟科技的两位擂主也避免了成为炮灰的命运。而"WAF必须"这一观点能被大多数网友所认同。也让所有WAF(Web应用防火墙)的粉丝们颇感欣慰。
最终获得小礼品的几位用户分别是:solarix、hblf、ccfxny、小侠唐在飞、老韩菜弟(分别涵盖正方、反方、中立方,遗憾的是,ID位solarix的这位用户一直没有联系上)
从绿盟科技寄出的四份小礼品
【编辑推荐】