假设这种情况:
有人试图入侵网站。简单的说:www.site.com/example.php?=<script>alert(1)</script>
HIDS会在 Apache 的访问日志中看到此尝试,NIDS会在数据包的 HTTP 部分和URL 中的WAF中看到此尝试。
如果所有这些都在检测攻击,为什么基础设施上需要所有这些?
HIDS、NIDS和WAF不是互补的吗?
信息安全
Web应用程序
攻击预防
身份证
华夫
2021-08-22 08:05:23
1个回答
您认为这三种技术是互补的并且通常会检测到相同的问题是正确的。然而,这本身并不是不分层使用它们的理由。一个可能会捕捉到另一个可能不会捕捉到的东西。看看病毒扫描仪- 这是一个示例,其中37 次扫描仪中只有 14% 的尝试发现了病毒!那是具有相同类型的保护!
您列出的产品比比较病毒扫描程序有更多的变化,实际上有显着的架构差异。由于 SSL 加密,HIDS 经常会看到直接通过 NIDS 的内容。WAF 通常具有 NIDS 和 HIDS 没有的 Web 应用程序的特定签名。NIDS 将检测 WAF 和 HIDS 永远不会注意到的网络层攻击。
总之,互补不等于平等。