【.com 独家报道】21世纪的前3年中,Code Red、Nimda、sql Slammer等蠕虫的先后爆发,暴露了网络防火墙的不足,直接催生了IPS(入侵防御系统)。2008年开始,大规模SQL注入的出现,意味着Web开始成为黑客攻击的焦点。WAF(Web Application Firewall,Web应用防火墙)就在这时开始萌发。而IPS也在原有架构下开始加强对Web的防护。时至今天,WAF发展如何?IPS发展如何?
2010年10月,与国内专注网络安全的绿盟科技携手,做了一个有关WAF和IPS的辩论活动,暨“挑战安全技术专家,Web安全技术擂台赛”。
以前的网友们往往只有听的份,很少有机会反驳专家观点,最多发表一下自己的看法,更别谈自己的观点在首页展现了。这次的活动,关注网络安全产品的网友们不但可以反驳专家,还有机会将自己精彩的观点展示在活动专区中【活动专区地址】,专家、牛人,众生平等。
活动在论坛的地址:
接受挑战的擂主由绿盟科技的两位资深安全经理担任,他们分别是:
秦波:产品市场经理,安全资深专家,具有长期安全服务和产品规划经验,目前主要负责WAF产品规划和需求管理。
李从宇:具有长期安全产品营销推广经验,目前主要负责WAF产品营销推广。
擂台赛一开始,支持IPS的用户就向两位擂主发动了潮水般的进攻。忠于IPS入侵防护系统的正方选手pikalo、一剑倾城、经典ID、linfj、235898457、hblf或通过自身的使用经验,或通过自己的理论知识。抢先一步发难,让IPS的一方占了先手。
不过很快,WAF的支持者们开始反击。Dictator、ccfxny、小侠唐在飞几位站友和两位擂主一起。将战争维持在了”三八线”附近。双方你来我往,口气都不弱。
IPS支持方的一剑倾城甚至在其言论后面放出几只手持利器、面带不屑的火星蟹。充满了挑衅的意味。
接下来的一周,双方的辩论依然弥漫着火药味。期间虽然发生了QQ对决360这样的安全界大事件,但是”IPS VS WAF “这一web安全辩论依然进行的如火如荼。在11月2日之前,支持IPS入侵防护系统的朋友还稍占上风,11月8号早上一看,力挺WAF的票数已经以27:25反超,双方辩手数量对比为17:11,支持IPS的正方以多打少但略显颓势。
以下列出双方的精彩观点:
正方:
·hblf:在针对web的防御方面,我倾向于WAF会逐步替代IPS,但不是每个客户在WEB安全防护的需求与整体网络安全防护需求是相当的,因此从大的方面来说,WAF并不会对IPS构成威胁…… 11月03日
·rainyuers:按照您的说法,IPS在Web安全防御上无用武之地喽?可据我所知,目前很多企业仍然在使用IPS,而非WAF。这是市场目前的状况,按照你的思路发展下去,也就是说,WAF肯定会取代IPS,而IPS必顶会被时代淘汰。事情是这样发展的么? 11月02日
·pikalo:这些结果相对应的策略不一定非要用在产品的配置上,比如在部署Web应用之前实施安全测试,在部署之后用漏洞扫描工具和站点监视工具对网站进行测试。再比如,对于防御SQL注入攻击,检查网页代码是必要的,绝对不能忘记的事还有修补漏洞,我们可以选择修改源代码来过滤关键字,以上这些方法虽然都是一些手段,但是作为防御SQL注入和Web安全威胁来说,还是IPS显得更加专业一些,简单一句话的道理,威胁层出不穷,不管怎么防御,都要先检测出这些威胁,没有检测连防御什么都不知道,就更谈不上防御了。所以,Web安全防御可以选择使用专业的IPS产品。 11月02日
·hblf: 举个极端点的例子哈,如果我所在的企业,就一台web 服务器 ,日访问千余ip,只用来企业文化展示,企业动态宣传之用。且在其前端已经部署IPS,页面都已生成静态页面,那么这样的企业是否还有必要在WAF身上投入呢?答案应该是显然的吧。 其实我的一个感觉是,WAF从某种角度说,更合理的客户对象,不是企业,而是IDC…… 11月01日
·pikalo:不可否认,SQL攻击特征是千变万化的,但攻击造成某种现象却相对一致,所以无需对攻击特征设定策略,只需要对结果特征进行相应的策略,就能阻断这些看上去千变万化的攻击。显然,您是绿盟的人吧,不然ID不会是NSFOCUS,哈哈,我们单位用的IPS就是天清系列,和你们是竞争对手哦! 10月28日
·一剑倾城:更加适合Web安全防御?用IPS就行了。国内有公司已经做出WIPS了,即专门针对WEB的IPS入侵防御产品。10月27日
·hblf:”安全技术千千万,企业安全是否真的需要产品的堆叠?”、”说说自己的感受,不站在所谓正方or反方的立场”。web安全市场越来越火热,新技术和新产品层出不穷,各个厂商也纷纷在此市场投入研发经历完善产品或是推陈出新,当然,这一切对于企业的安全建设和安全保障来说,都是好事。企业安全管理人员的选择面会更广,技术可以把握的更细致。10月27日
反方:
·李从宇:防篡改,是一个不太标准的技术说法,有些厂商把能防一些攻击就叫作防篡改,有些厂商把静态页面操作权限监控叫作防篡改,这是个模糊的领域……11月05日
·李从宇:关于代码检查和修改,这的确是实现Web安全”更本质”的做法,但在实际的Web应用开发与维护中进行深度的代码检查是不现实的(对大部分场景来说),因为当代码检查达到一定深度时,更多的成本投入已经不能带来风险的明显降低,而此时由于Web应用系统不能上线所浪费的机会成本就大到不能接收了……11月02日
·李从宇:黑客可以尝试频繁地模拟错误条件,然后从服务器的响应中挖掘出关于应用程序、服务器程序或数据库的敏感信息。这些信息汇集在一起能被用作发起随后的专项攻击。而WAF可以遏制响应中的敏感信息,例如堆栈路径和测试信息,可以给Web应用程序罩上一个隐身斗篷。 11月01日#p#
·秦波:我们知道Web应用由多层架构组成:Network,OS/Web Server/application/Database等,IPS的定位是一英里宽,一寸厚,所以它必须支持多层协议,不仅包括IP、ICMP、UDP、TCP这几种网络层、传输层的协议,还有HTTP、TTPS、FTP、TFTP、SNMP、Telnet、SMTP、POP、DNS、RPC、LDAP、ICQ、MSN、Yahoo Messenger等众多的应用层协议,通常包括协议分析跟踪、特征匹配、流量统计分析、事件关联分析等技术,性能和功能决定了它不可能对所有应用深入去支持,而定位于防护这些层面的漏洞防护/攻击识别……11月01日
·biliw:我觉得还是需要用WAF的。至于上面有的朋友提到IPS够了,并且也说有厂商提出了WIPS的概念,但据我了解,这是厂商的市场策略,目的是在自己还没准备好的情况下先把水搅浑,把概念混淆,等自己做好准备后出了相应的专用产品时……10月28日
·老韩菜弟:WAF和IPS从功能实现上来说是完全不同的,但因不同厂商有自己的产品定义,所以市场推广方面有些混淆。一个简单的辨别其是否为真正WAF的方法是查看产品是否有流量模型自学习、自适应功能,传统的攻击特征库反倒不是特别重要。从市场接受程度看,真正的WAF还是应该先从金融、税务等实际要求较高的行业突破,这类用户也确实需要WAF,而不是传统的IPS。以上是菜弟的个人看法,才疏学浅,还要向绿盟的专家请教。……10月28日
·小侠唐在飞:IPS不是万能的。WEB安全还得另想办法,必须选择一个能解决深层次应用安全的产品。与现有的安全产品结合使用。WEB安全还得有专门 的WEB安全设备来解决! 10月27日
11月下旬,擂台赛进入高潮。除了绿盟科技的两位擂主以外,前来支持WAF的用户越来越多。
截至到投票功能关闭前,支持”WAF必须”的用户达到了38位,超过了”只用 IPS 就足矣”的33位。
WAF阵营的网友们守擂成功!
在热心的WAF粉丝支持下,绿盟科技的两位擂主也避免了成为炮灰的命运。而”WAF必须”这一观点能被大多数网友所认同。也让所有WAF(Web应用防火墙)的粉丝们颇感欣慰。
最终获得小礼品的几位用户分别是:solarix、hblf、ccfxny、小侠唐在飞、老韩菜弟(分别涵盖正方、反方、中立方,遗憾的是,ID位solarix的这位用户一直没有联系上)
从绿盟科技寄出的四份小礼品
【编辑推荐】
上哪找到1200字左右的高中军训文章呢?
炎阳。 暴雨。 我依旧轻扬嘴角,任奋进有力的音符汩汩流出,为属于我们的8月添上浓墨重彩的一笔!“这是一个晴朗的早晨,歌哨声伴着起床号音。 ”昏沉的天,连风都吝啬得一毛不拔,不肯露脸。 “站军姿20分钟!”传来的是教官不容置疑的命令。 20分钟?半节课都不到,怕什么?我这样安慰自己,便自信满满得直立了。 “双脚张开60度!拇指贴紧食指第二节,中指紧贴裤缝!不要动!”这样背向太阳,只感觉脖子火烧火燎得痛,我分明清晰地察觉到汗水从发际渗出,它卖力得淌过我粗重的眉毛,再一下子落在睫毛上,索性稍作停留,我用力得一眨眼,它便溶进眼睛里,酸痛的感觉一下子让我清醒了,我闭上眼睛,试图让泪水带走汗水,可就在一刹那,却觉得一阵晕眩,我赶紧睁开眼睛,尽量保持平衡,让自己稳稳地立住。 眼前短暂的黑暗渐渐消失了,我松了口气,随即不安起来,这看似短暂的20分钟究竟何时到头啊?用余光扫视了一下周围的“战友”,毫无表情,无奈,只得继续!可本绷直的心弦此刻却像是被拨动了一般,余音袅袅,再也无法安分了。 既不知道过去了几分钟,也不明确该如何打发剩下的时间,只好无聊地数对面看台的楼梯级数,一遍又一遍,反反复复。 1,2,3……“停!”教官的一声令下,让大家都松了口气,微微移动双脚,那刺骨的疼痛从脚底不顾一切得直冲向膝盖,我试着用手按动小腿,才发现已经麻木到无法动弹。 刚想偷偷坐下休息一会儿,耳边可恶的声音却又响起:“好了,立正!向右看齐!齐步走,121,121……”“胸前的红花映彩霞,愉快的歌儿满天飞。 ”8天的训练还是过去了,我们迎来了最后的汇报表演,不管这8天有多苦,也不在意这8天掺进了我们多少的汗水与埋怨,这一天,大家都会全力以赴。 看着一个个队列整齐地走过,齐步换正步,正步换齐步,齐步换跑步,有板有眼,丝毫不大意,我们都笑了!望着一张张黝黑的脸庞和8天来难得一露的牙齿,我们感受到的是一种军人的自豪与振奋!回头,原来,除了汗水,我们什么也没有损失……“为了胜利,我要勇敢前进!”这是我们对自己的一个郑重承诺,经过了炎阳的考验、暴雨的洗礼,这个承诺在蓝天下愈发显得熠熠生辉!军训生活让我们明白,所有的付出和辛劳,上天都会给我们一个公正的答复,这杆天平,永远不会向逃避的弱者倾斜!听,军歌嘹亮!看,嘴角轻扬!
辩论赛新闻稿 关于网络
2011年5月18日晚7点,校辩论赛总决赛在管院141圆满落幕。 担当正方的是管理学院的代表队,担任反方的是经济学院代表队。 本次辩论话题为“个人命运到底是由社会掌握还是由自己掌握”在经过激烈的唇枪舌战之后,最终由管理学院代表队略胜一筹,成功摘取冠军桂冠。 本次辩论赛首先由各方称述自己方的观点,用时3分钟,接下来由正反方提问,并且回答。 首先双方一辩用具有高度概括性的陈述为本场辩论开篇立论。 然后双方二辩彼此反驳。 双方二辩灵活的思维和缜密的逻辑推理,不时的赢得场下阵阵掌声。 而到了比赛的第三环节自由辩论阶段,可以说是本场辩论的高潮。 面对管理学院的引经据点,旁征博引,经济学院的辩手们则巧用四两拨千斤的方法,一次一次化险为夷,击破对手的观点。 更是赢得在场同学的阵阵掌声。 在经过激烈的言辞对抗之后,由各方派出代表来总结各自代表队的最后成词。 比赛结束后,由本场评委对本场辩论赛作出评论,肯定了双方辩手的风度,准备很充分,并且希望各辩手再接再厉争取更进一个台阶。
发表评论