Web应用防火墙（WAF）为什么需要WAF？WAF（web application firewall）的出现是由于传统防火墙无法对应用层的攻击进行有效抵抗，并且IPS也无法从根本上防护应用层的攻击。

因此出现了保护Web应用安全的Web应用防火墙系统(简称“WAF”)。

什么是WAF？WAF是一种基础的安全保护模块，通过特征提取和分块检索技术进行特征匹配，主要针对HTTP访问的Web程序保护。

WAF部署在Web应用程序前面，在用户请求到达Web 服务器前对用户请求进行扫描和过滤，分析并校验每个用户请求的网络包，确保每个用户请求有效且安全，对无效或有攻击行为的请求进行阻断或隔离。

通过检查HTTP流量，可以防止源自Web应用程序的安全漏洞（如SQL注入，跨站脚本（XSS），文件包含和安全配置错误）的攻击。

与传统防火墙的区别WAF区别于常规防火墙，因为WAF能够过滤特定Web应用程序的内容，而常规防火墙则充当服务器之间的安全门。

WAF不是全能的WAF不是一个最终的安全解决方案，而是它们要与其他网络周边安全解决方案（如网络防火墙和入侵防御系统）一起使用，以提供全面的防御策略。

入侵检测系统（IDS）什么是IDS？IDS是英文“Intrusion Detection Systems”的缩写，中文意思是“入侵检测系统”。

专业上讲就是依照一定的安全策略，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

跟防火墙的比较假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。

一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。

部署位置选择因此，对IDS的部署唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。

在这里，”所关注流量”指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。

因此，IDS在交换式网络中的位置一般选择在：尽可能靠近攻击源；这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上防火墙和IDS可以分开操作，IDS是个临控系统，可以自行选择合适的，或是符合需求的，比如发现规则或监控不完善，可以更改设置及规则，或是重新设置！主要组成部分事件产生器，从计算环境中获得事件，并向系统的其他部分提供此事件；事件分析器，分析数据；响应单元，发出警报或采取主动反应措施；事件数据库，存放各种数据。

主要任务主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式,向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。

工作流程（1）信息收集信息收集的内容包括系统、网络、数据及用户活动的状态和行为。

入侵检测利用的信息一般来自系统日志、目录以及文件中的异常改变、程序执行中的异常行为及物理形式的入侵信息4个方面。

（2）数据分析数据分析是入侵检测的核心。

它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。

数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。

前两种方法用于实时入侵检测，而完整性分析则用于事后分析。

可用5种统计模型进行数据分析：操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。

统计分析的最大优点是可以学习用户的使用习惯。

（3）实时记录、报警或有限度反击入侵检测系统在发现入侵后会及时做出响应，包括切断网络连接、记录事件和报警等。

响应一般分为主动响应（阻止攻击或影响进而改变攻击的进程）和被动响应（报告和记录所检测出的问题）两种类型。

主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动（如断开连接）、修正系统环境或收集有用信息；被动响应则包括告警和通知、简单网络管理协议（SNMP）陷阱和插件等。

另外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。

缺点（1）误报、漏报率高（2）没有主动防御能力（3）不能解析加密数据流入侵预防系统（IPS）什么是入侵预防系统入侵预防系统（Intrusion Prevention System，IPS），又称为入侵侦测与预防系统（intrusion detection and prevention systems，IDPS），是计算机网络安全设施，是对防病毒软件（Antivirus Softwares）和防火墙的补充。

入侵预防系统是一部能够监视网络或网络设备的网络数据传输行为的计算机网络安全设备，能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络数据传输行为。

为什么在存在传统防火墙和IDS时，还会出现IPS？虽然防火墙可以根据英特网地址（IP-Addresses）或服务端口（Ports）过滤数据包。

但是，它对于利用合法网址和端口而从事的破坏活动则无能为力。

因为，防火墙极少深入数据包检查内容。

在ISO/OSI网络层次模型（见OSI模型）中，防火墙主要在第二到第四层起作用，它的作用在第四到第七层一般很微弱。

而除病毒软件主要在第五到第七层起作用。

为了弥补防火墙和除病毒软件二者在第四到第五层之间留下的空档，几年前，工业界已经有入侵检测系统投入使用。

入侵侦查系统在发现异常情况后及时向网络安全管理人员或防火墙系统发出警报。

可惜这时灾害往往已经形成。

虽然，亡羊补牢，尤未为晚，但是，防卫机制最好应该是在危害形成之前先期起作用。

随后应运而生的入侵反应系统（IRS: Intrusion Response Systems）作为对入侵侦查系统的补充能够在发现入侵时，迅速做出反应，并自动采取阻止措施。

而入侵预防系统则作为二者的进一步发展，汲取了二者的长处。

IPS如何工作入侵预防系统专门深入网络数据内部，查找它所认识的攻击代码特征，过滤有害数据流，丢弃有害数据包，并进行记载，以便事后分析。

除此之外，更重要的是，大多数入侵预防系统同时结合考虑应用程序或网络传输层的异常情况，来辅助识别入侵和攻击。

比如，用户或用户程序违反安全条例、数据包在不应该出现的时段出现、操作系统或应用程序弱点的空子正在被利用等等现象。

入侵预防系统虽然也考虑已知病毒特征，但是它并不仅仅依赖于已知病毒特征。

应用入侵预防系统的目的在于及时识别攻击程序或有害代码及其克隆和变种，采取预防措施，先期阻止入侵，防患于未然。

或者至少使其危害性充分降低。

入侵预防系统一般作为防火墙和防病毒软件的补充来投入使用。

在必要时，它还可以为追究攻击者的刑事责任而提供法律上有效的证据（forensic）。

入侵预防技术异常侦查。

正如入侵侦查系统，入侵预防系统知道正常数据以及数据之间关系的通常的样子，可以对照识别异常。

在遇到动态代码（ActiveX，JavaApplet，各种指令语言script languages等等）时，先把它们放在沙盘内，观察其行为动向，如果发现有可疑情况，则停止传输，禁止执行。

有些入侵预防系统结合协议异常、传输异常和特征侦查，对通过网关或防火墙进入网络内部的有害代码实行有效阻止。

内核基础上的防护机制。

用户程序通过系统指令享用资源（如存储区、输入输出设备、中央处理器等）。

入侵预防系统可以截获有害的系统请求。

对Library、Registry、重要文件和重要的文件夹进行防守和保护。

与IDS相比，IPS的优势同时具备检测和防御功能IPS 不仅能检测攻击还能阻止攻击，做到检测和防御兼顾，而且是在入口处就开始检测，而不是等到进入内部网络后再检测，这样，检测效率和内网的安全性都大大提高。

可检测到IDS检测不到的攻击行为IPS是在应用层的内容检测基础上加上主动响应和过滤功能，弥补了传统的防火墙+IDS方案不能完成更多内容检查的不足，填补了网络安全产品基于内容的安全检查的空白IPS是一种失效既阻断机制当IPS被攻击失效后，它会阻断网络连接，就像防火墙一样，使被保护资源与外界隔断。

安全运营中心（SOC）什么是安全运营中心？SOC，全称是Security Operations Center，是一个以IT资产为基础，以业务信息系统为核心，以客户体验为指引，从监控、审计、风险和运维四个维度建立起来的一套可度量的统一业务支撑平台，使得各种用户能够对业务信息系统进行可用性与性能的监控、配置与事件的分析审计预警、风险与态势的度量与评估、安全运维流程的标准化、例行化和常态化，最终实现业务信息系统的持续安全运营。

本质上，SOC不是一款单纯的产品，而是一个复杂的系统，他既有产品，又有服务，还有运维(运营)，SOC是技术、流程和人的有机结合。

SOC产品是SOC系统的技术支撑平台，这是SOC产品的价值所在。

为什么会出现SOC？过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施，这主要是因为安全问题一般都发生在网络中非常具体的某个地点。

但是，现在的情况已经变化，安全问题已经不再像当年那么简单。

安全是一个动态的过程，因为敌方攻击手段在变，攻击方法在变，漏洞不断出现；我方业务在变，软件在变，人员在变，妄图通过一个系统、一个方案解决所有的问题是不现实的，也是不可能的，安全需要不断地运营、持续地优化。

安全措施应当被实施在应用层、网络层和存储层上。

它已经成为您的端对端应用服务中的一部分，与网络性能的地位非常接近。

安全管理平台在未来安全建设中的地位尤其重要，它能够站在管理者的角度去‘俯瞰’整个安全体系建设，对其中每一层产品都可以进行全面、集中、统一的监测、调度和指挥控制。

可以说，未来的态势感知的根基就是安全管理平台。

主要功能（以venustech公司的soc产品为例）面向业务的统一安全管理系统内置业务建模工具，用户可以构建业务拓扑，反映业务支撑系统的资产构成，并自动构建业务健康指标体系，从业务的性能与可用性、业务的脆弱性和业务的威胁三个维度计算业务的健康度，协助用户从业务的角度去分析业务可用性、业务安全事件和业务告警。

全面的日志采集可以通过多种方式来收集设备和业务系统的日志，例如Syslog、SNMP Trap、FTP、OPSEC LEA、NETBIOS、ODBC、WMI、Shell脚本、Web Service等等。

智能化安全事件关联分析借助先进的智能事件关联分析引擎，系统能够实时不间断地对所有范式化后的日志流进行安全事件关联分析。