作用，原理，部署位置

一、WF

基础防火墙

主要是可实现基本包过滤策略的防火墙，限制对IP:port的访问。

基本上的实现都是默认情况下关闭所有的通过型访问，只开放允许访问的策略。FW可以拦截低层攻击行为，但对应用层的深层攻击行为无能为力。

FW部署位置一般为外联出口或者区域性出口位置，对内外流量进行安全隔离。

公共网络<-边界路由器与核心交换机之间->(用户工作区、服务器组群)

二、WAF

作用

WAF对请求的内容进行规则匹配、行为分析等识别出恶意行为，并执行相关动作，这些动作包括阻断、记录、告警等。

流量识别、攻击检测、攻击响应、日志记录

位置

部署时要使WAF尽量靠近WEB服务器，对基于HTTP协议的通信进行检测和识别。通俗的说，WAF类似于地铁站的安检，对于HTTP请求进行快速安全检查，通过解析HTTP数据，在不同的字段分别在特征、规则等维度进行判断，判断的结果作为是否拦截的依据从而决定是否放行。

sqlmap可以识别waf种类。

透明代理模式、反向代理模式、路由代理模式及端口镜像模式。

前三种模式为线上，串行部署web服务器前端，检测并阻断异常流量。

端口镜像模式将WAF旁路接在WEB服务器上游的交换机上，只用于检测异常流量。

三、IDS(被动)

IDS（入侵检测系统）就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性

特点是不阻断任何网络访问，主要以提供报告和事后监督为主

以旁路为主

作用

实时监测、安全审计、主动响应

原理

1.信息收集

收集的内容包括系统、网络、数据及用户活动的状态和行为

2.数据分析

模式匹配：收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为

统计分析：统计正常使用时的一些测量属性（如访问次数、操作失败 次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比 较，任何观察值如果超过了正常值范围，就认为有入侵发生

完整性分析：主要关注某个文件或对象是否被更改，这经常包括文件和 目录的内容及属性，它在发现被修改成类似特洛伊木马的应用程序方面特 别有效。

四、IPS（主动）

解决了IDS无法阻断的问题，基本上以在线模式为主，系统提供多个端口，以透明模式工作。本质是增强入侵行为库，检测出后自动进行防御(主要为模式匹配)

缺点在于不能主动的学习攻击方式，对于模式库中不能识别出来的攻击，默认策略是允许访问的。

常被串接在主干路上

作用

通过直接嵌入到网络流量中，利用一个网络端口接收外部流量，经过检查确认其中不包含异常活动或可疑内容，再通过另一个端口转发给内部系统（实际是对恶意流量进行清洗）。

原理

过滤器，能够防止各种攻击