问WAF与IPS/IDS的比较

EN

正如@schroeder所说，最大的区别在于它们在堆栈中的位置。让我们来谈谈这个区别。

Web应用程序防火墙在应用层工作。这意味着在主机接收到数据流之后，它将处理数据流，而不是网络流。因此，它通常是在解密*之后应用的，因此它可以完全访问请求和响应头和正文。而WAF通常会集中在特定于应用程序的签名上，而不是IDS/IPS。WAF也更倾向于查看诸如JSON或XML格式验证之类的内容；寻找不正确的东西，而不是仅仅寻找错误的东西。

另一方面，IDS/IPS在网络层运行。虽然解密在某些配置中是可能的，但并不是假设的，就像使用WAF的方式一样--如果没有解密，IDS/IPS很可能对Web应用程序的攻击视而不见。IDS/IPS能够分析所有网络层，允许它查找WAF从未见过的碎片攻击。而且，由于IDS/IPS预期将监视所有通信量，因此它不仅限于web应用协议，而且还具有更广泛的签名范围。通过扩展，它可能没有WAF那样详细的一组Web应用程序签名。

这两种技术是相交的--在一次攻击中，一些通信量将同时触发WAF和IDS/IPS；一些将只触发WAF；另一些将只触发IDS/IPS。(有些人会飞驰而过--谁说跑起来不容易？)

*有时WAF在实际的应用服务器上，有时是中间人设备。不管是哪种方式，它都会在分析之前解密，如果它还需要跳到盒子上，则会在分析后重新加密。