Firewall、IDS、IPS、WAF、振る舞い検知比較表

スポンサード リンク

このページではインターネット側からシステムへの攻撃を防御するFirewall、IDS/IPS、WAF、振る舞いの違いに関して説明します。

スポンサード リンク

(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。

比較表

比較は以下の表の通りとなります。

説明FirewallIDS/IPSWAF振る舞い検知
概要大昔から存在する防御機器。主にIPアドレス、ポート、プロトコル(TCP/UDP)レベルでパケットのフィルタを行う。「不正侵入検知・防御システム」のこと。パケットをシグネチャ(パターン)でチェックし、攻撃を検知する。

IDSは通報のみ、IPSはパケットを遮断する。

Webアプリケーションの脆弱性を狙う攻撃を防御する。

本来なら完璧なWebアプリケーションを構築すれば攻撃されることはない。しかし必ず設計誤りやOSやWebサーバに脆弱性が残存しており設計で100%完璧なwebアプリケーションを構築するのは無理、

よってWebアプリケーションの脆弱性を狙たパケットを途中のWAFで検知し防御する。
メールの添付ファイルやインターネットからダウンロードしたファイルを仮想環境で動作させて、不正な動きをしないか確認する。仮想環境には仮想のDNSサーバなどを設置し添付ファイルが C&Cサーバと通信しないか、不正なサーバの名前解決をDNSに問い合わせないかなどを確認する、
主な検査対象IPヘッダやTCP/UDPヘッダパケットの中身。OSやミドルウェアレベルの攻撃を解析する。パケットの中身のパターン。アプリケーションレベルで解析する。メールの添付ファイルやWebからダウンロードしたファイル。あるいはDNSへのquery 先。また難読化されたパケットの解析も行う。
略称-IDS は"Intrusion Detection System"の略称。IPSは"Intrusion Prevention System"の略称。WAFは"Web Application Firewall "の略称。-
防御する主な攻撃ポートスキャンDDos攻撃、Syn フラッドなどのTCP/IPの低レベルの攻撃SQLインジェクション、クロスサイトスクリプティング、インジェクション攻撃、パラメータ改ざん、ゼロディ攻撃(脆弱性発見からパッチリリースまでの間の攻撃)、パスワードを狙った攻撃。メール添付の標的型攻撃、ドライブバイダウンロード、水飲み場攻撃、標的型攻撃、ランサムウェア、C&Cサーバによりリモート制御

まず"Firewall"は必須です。どんな環境でもこれだけは欠くことはできません。さらに表にはありませんが、Proxyも必要でしょう。次にお勧めするのは「振る舞い検知」です。流行の標的型攻撃や身代金攻撃の対策となります。以前はかなり高価でしたが、最近は安価なエントリータイプもあるようです。ただし注意が必要なのは、必ず定義ファイルを毎日あるいは1時間ごとにダウンロード、適用することです。そうしないと全く意味がありません。攻撃は日に日に新しいパターンが発生しています。よってこられの攻撃に対抗するパターンも常に適用することが必須となります。







【注意】本ページは著作権で保護されています。内容は何人も補償しません。時間的あるいは金銭的損失等、一切保証しません。

理解しやすく記載されており、一部不正確な記載がある可能性があります。ご自身の責任で参考にしてください。