##IPS, WAF, FW 차이
0. IPS, WAF, FW 의 공통사항
: 악의적인 의도를 가지고 전산시스템을 공격하는 사용자에 대한 탐지 및 차단
1. 침입방지 시스템(IPS: Instruction Protection System)
네트워크 Layer3 ~ Layer7 계층에서 IPS가 가지고 있는 취약점 패턴에 대해서만 탐지 및 차단
웹 방화벽의 일부 기능을 가지고 있으나, HTTP(80)에 대한 패턴이 미비 함
- 필요성: 전반적인 네트워크 트래픽에 대한 침해사고 대응(유해트레픽 차단)
- 보호대상: 모든 서버
**유해트레픽 종류
- 해당 트래픽으로 하여금 수신자 측에서 해당 트래픽을 수신하고 시스템이 이상 작동하게 되는 공격적 트래픽 혹은 공격 정보
- 정상적인 네트워크 흐름에 있어서 필요치 않은 트래픽 혹은 데이터 흐름
- 정상 패킷이지만 해당 패킷을 과도하게 발생하여 수신자의 정상적인 네트워크 소통의 흐름을 방해하거나 네트워크 연결을 중단 시키는 행위를 하기 위한 트래픽
- 수신자의 네트워크 상태나 각종 시스템의 정보를 알아내기 위해서 임의의 트래픽을 생성하여 수신자로 하여금 각종 네트워크 정보를 추출하기 위한 트래픽
- 각종 어플리케이션 레벨에서 비 정상적으로 생성하여 타 어플리케이션 혹은 타 운영체제운영을 방해하거나 비정상적인 행위를 유도하기 위한 트래픽
2. 웹 어플리케이션 방화벽(WAF: Web Application Firwall, 와프)
네트워크 Layer7(Application Level)계층에서 HTTP(80) 프로토콜을 베이스로하는 취약점 공격만 탐지 및 차단
실무에선 줄여서 WAF 또는 와프라고 부르기도 합니다.
HTTP(80)으로 시도되는 DOS, DDos 공격 차단
일반적인 네트워크 방화벽(Firewall)과는 달리 웹 애플리케이션 보안에 특화된 방화벽
- 필요성: 침해사고의 90%이상을 차지하고 있는 웹 침해사고 대응
- 보호대상: 웹 서비스를 하는 모든 웹서버
- KISA의 CASTLE
- ATRONIX의 WebKnight : 윈도우의 대표적인 웹 방화벽
- TrustWave의 ModSecurity : 리눅스의 대표적인 웹 방화벽
3. 침입 차단 시스템(FW: Firewall)
네트워크 Layer3(Network Level)계층에서 IP와 Port를 제어함으로써 인가된 사용자에 대해서만 전산시스템에 접근 허용
Routing Mode에서 NAT(주소 변환) 기능 제공
- 필요성: 보호 대상 시스템과 그 이외 다른 시스템들과의 경계선 역할
- 보호대상: 모든 서버