Bài viết so sánh và phân tích sự khác biệt giữa IPS, IDS, Firewalls và WAF vì chúng là những giải pháp rất phổ biến được sử dụng trong các mạng để bảo vệ an ninh mạng. Các thuật ngữ IPS, IDS, WAF Đầu tiên chúng ta hãy xem ý nghĩa của từng từ viết tắt: IPS = Intrusion Prevention System IDS = Intrusion Detection System WAF = Web Application Firewall Cách chúng hoạt động trong một mạng (Networking) Để biết nhanh về cách các giải pháp / thiết bị này có thể được sử dụng trong thiết kế mạng, hãy xem cấu trúc liên kết bên dưới bao gồm tất cả các giải pháp bảo mật trong mạng (tường lửa, IPS, IDS, WAF). Mục đích của sơ đồ dưới đây là minh họa cách các thiết bị bảo mật này thường được đặt trong mạng. Bây giờ chúng ta hãy mô tả ngắn gọn từng thiết bị bảo mật và sau đó so sánh chúng thêm bên dưới trong bài viết này. Firewall Có một số loại tường lửa nhưng phổ biến nhất là tường lửa mạng phần cứng. Như bạn có thể thấy từ tất cả các sơ đồ mạng trong bài viết này, tường lửa mạng được tìm thấy trong tất cả các thiết kế mạng vì nó là nền tảng của bảo mật mạng. Chức năng cốt lõi của tường lửa là cho phép hoặc chặn lưu lượng giữa các máy chủ / mạng nguồn và máy chủ / mạng đích. Tường lửa cơ bản hoạt động ở Lớp 3 và Lớp 4 của mô hình OSI, tức là chúng có thể cho phép hoặc chặn các gói IP dựa trên địa chỉ IP nguồn / đích và các cổng TCP / UDP nguồn / đích. Hơn nữa, một bức tường lửa mạng là trạng thái. Điều này có nghĩa là tường lửa theo dõi trạng thái của các kết nối đi qua nó. Ví dụ: nếu một máy nội bộ truy cập thành công một trang web Internet thông qua tường lửa, máy chủ sau sẽ giữ kết nối bên trong bảng kết nối của nó để các gói trả lời từ máy chủ web bên ngoài sẽ được phép chuyển đến máy chủ nội bộ vì chúng đã thuộc về một sự liên quan. Ngày nay, Tường lửa Thế hệ Tiếp theo hoạt động cho đến Lớp 7 của các mô hình OSI, có nghĩa là chúng có thể kiểm tra và kiểm soát lưu lượng truy cập ở cấp ứng dụng. IPS (Intrusion Prevention System) Như tên gọi, Hệ thống ngăn chặn xâm nhập (IPS) là một thiết bị bảo mật với nhiệm vụ chính là ngăn chặn các hành vi xâm nhập mạng. Đó là lý do tại sao IPS được kết nối nội dòng(in-line) với luồng gói. Như được hiển thị từ cấu trúc liên kết mạng ở trên (Tường lửa với IPS), thiết bị IPS thường được kết nối phía sau tường lửa nhưng nằm trong đường truyền liên lạc truyền các gói đến / từ mạng nội bộ. Vị trí trên là bắt buộc để thiết bị IPS chặn lưu lượng độc hại ngay lập tức trước khi đến các máy chủ nội bộ. Thông thường, IPS dựa trên chữ ký có nghĩa là nó có cơ sở dữ liệu về lưu lượng độc hại đã biết, các cuộc tấn công và khai thác và nếu nó thấy các gói phù hợp với chữ ký thì nó sẽ chặn luồng lưu lượng. Ngoài ra, IPS có thể hoạt động với phát hiện bất thường thống kê, các quy tắc do quản trị viên đặt ra, v.v. IDS (Intrusion Detection System) IDS (Hệ thống phát hiện xâm nhập) là tiền thân của IPS và có bản chất là thụ động. Như được hiển thị từ mạng ở trên (Tường lửa với IDS), thiết bị này không được đưa vào cùng dòng với lưu lượng mà nó nằm song song (placed out-of-band). Lưu lượng đi qua chuyển mạch cũng được gửi cùng lúc đến IDS để kiểm tra. Nếu phát hiện thấy sự bất thường về bảo mật trong lưu lượng mạng, IDS sẽ chỉ báo động (cho quản trị viên) nhưng nó sẽ không thể chặn lưu lượng đó. Tương tự như IPS, thiết bị IDS cũng sử dụng hầu hết các chữ ký của các cuộc tấn công và khai thác bảo mật đã biết để phát hiện một nỗ lực xâm nhập. Để gửi lưu lượng đến IDS, thiết bị chuyển mạch phải có cổng SPAN được cấu hình để sao chép lưu lượng và gửi đến nút IDS. Mặc dù IDS là thụ động trong mạng (tức là nó không thể chủ động chặn lưu lượng truy cập), nhưng có một số mô hình có thể hợp tác với tường lửa để ngăn chặn một cuộc tấn công bảo mật. Ví dụ: một IDS có thể gửi một lệnh tới tường lửa để chặn các gói tin cụ thể nếu IDS phát hiện ra một cuộc tấn công. WAF (Web Application Firewall) WAF (Tường lửa Ứng dụng Web) tập trung vào việc bảo vệ các trang web (hoặc các ứng dụng web nói chung). Nó hoạt động ở Lớp ứng dụng để kiểm tra lưu lượng truy cập web HTTP nhằm phát hiện các cuộc tấn công độc hại nhắm vào các trang web. Ví dụ: một WAF sẽ phát hiện các cuộc tấn công SQL Injection, Cross Site Scripting, các cuộc tấn công Javascript, các cuộc tấn công RFI / LFI, v.v. Vì hầu hết các trang web ngày nay sử dụng SSL (HTTPS), WAF cũng có thể cung cấp khả năng tăng tốc SSL và kiểm tra SSL bằng cách kết thúc phiên SSL và kiểm tra lưu lượng bên trong kết nối trên chính WAF. Như được hiển thị từ mạng ở trên (Tường lửa với WAF), nó được đặt trước một Web server (thông thường) trong vùng DMZ của tường lửa. Với WAF, quản trị viên có thể linh hoạt để hạn chế quyền truy cập web vào các phần cụ thể của trang web, cung cấp xác thực mạnh mẽ, kiểm tra hoặc giới hạn tải tệp lên trang web, v.v. Bây giờ chúng ta hãy xem một số bảng so sánh nhanh cho các giải pháp bảo mật ở trên. IPS vs IDS Firewall vs IPS/IDS WAF vs IPS/IDS Chúc các bạn có lựa chọn hợp lý!
