[ホーム] > [間違えやすい類語 IT編一覧] > [Firewall、IDS、IPS、WAF、振る舞い検知比較表]
このページではインターネット側からシステムへの攻撃を防御するFirewall、IDS/IPS、WAF、振る舞いの違いに関して説明します。
(注意)分かりやすく簡単に記載しており、一部の環境や分野では記載内容が異なる可能性があります。あくまでも参考程度でお読みください。
| 説明 | Firewall | IDS/IPS | WAF | 振る舞い検知 |
| 概要 | 大昔から存在する防御機器。主にIPアドレス、ポート、プロトコル(TCP/UDP)レベルでパケットのフィルタを行う。 | 「不正侵入検知・防御システム」のこと。パケットをシグネチャ(パターン)でチェックし、攻撃を検知する。 IDSは通報のみ、IPSはパケットを遮断する。 | Webアプリケーションの脆弱性を狙う攻撃を防御する。 本来なら完璧なWebアプリケーションを構築すれば攻撃されることはない。しかし必ず設計誤りやOSやWebサーバに脆弱性が残存しており設計で100%完璧なwebアプリケーションを構築するのは無理、 よってWebアプリケーションの脆弱性を狙たパケットを途中のWAFで検知し防御する。 | メールの添付ファイルやインターネットからダウンロードしたファイルを仮想環境で動作させて、不正な動きをしないか確認する。仮想環境には仮想のDNSサーバなどを設置し添付ファイルが C&Cサーバと通信しないか、不正なサーバの名前解決をDNSに問い合わせないかなどを確認する、 |
| 主な検査対象 | IPヘッダやTCP/UDPヘッダ | パケットの中身。OSやミドルウェアレベルの攻撃を解析する。 | パケットの中身のパターン。アプリケーションレベルで解析する。 | メールの添付ファイルやWebからダウンロードしたファイル。あるいはDNSへのquery 先。また難読化されたパケットの解析も行う。 |
| 略称 | - | IDS は"Intrusion Detection System"の略称。IPSは"Intrusion Prevention System"の略称。 | WAFは"Web Application Firewall "の略称。 | - |
| 防御する主な攻撃 | ポートスキャン | DDos攻撃、Syn フラッドなどのTCP/IPの低レベルの攻撃 | SQLインジェクション、クロスサイトスクリプティング、インジェクション攻撃、パラメータ改ざん、ゼロディ攻撃(脆弱性発見からパッチリリースまでの間の攻撃)、パスワードを狙った攻撃。 | メール添付の標的型攻撃、ドライブバイダウンロード、水飲み場攻撃、標的型攻撃、ランサムウェア、C&Cサーバによりリモート制御 |
まず"Firewall"は必須です。どんな環境でもこれだけは欠くことはできません。さらに表にはありませんが、Proxyも必要でしょう。次にお勧めするのは「振る舞い検知」です。流行の標的型攻撃や身代金攻撃の対策となります。以前はかなり高価でしたが、最近は安価なエントリータイプもあるようです。ただし注意が必要なのは、必ず定義ファイルを毎日あるいは1時間ごとにダウンロード、適用することです。そうしないと全く意味がありません。攻撃は日に日に新しいパターンが発生しています。よってこられの攻撃に対抗するパターンも常に適用することが必須となります。
[ホーム] > [間違えやすい類語 IT編一覧]
,