對啦我又加班了

網路架構層

• 先來聊一下網路架構層
• 
  • 來源(https://www.slideshare.net/ssuserd7440a/ais8)

| | OSI | TCP | |
|:--------------------------- | ------------------------------------------------------------------ |:--- |
| 應用層(application layer) | 針對特定應用協議(smtp、ssh、ftp、http)及用戶接口 | 應用、展示、會議在TCP/IP是應用層 ex:smtp、ssh、ftp、http |
| 展示層(presentation layer) | 設備與網路標準數據間的轉換 ex: 文字、圖檔、聲音等都轉換成統一格式 | 應用、展示、會議在TCP/IP是應用層 ex:smtp、ssh、ftp、http|
| 會議層(session layer) | 建立、管理、中斷兩個主機間的通訊 | 應用、展示、會議在TCP/IP是應用層 ex:smtp、ssh、ftp、http |
| 運輸層(transport layer) | 建立可靠或不可靠的傳輸 ex: tcp、udp | MAC + IP + 端口號 |
| 網路層(network layer) | 透過IP傳送封包 | MAC + IP |
| 資料鏈結層(data link layer) | 確定0和1的分組方式，並使用MAC(Media Access Control)傳遞資料 | 以太網 |
| 實體層(physical layer) | 定義設備間的元資料傳輸 ex: 腳位、網卡、主機介面卡等 |

Firewall

• 傳統防火牆
  • linux系統通常用firewall or ufw功能作為防火牆
  • 管制進出口的網路封包，可阻擋駭客下載未經授權的封包
  • 但是呢，如果使用者授權下載的話防火牆是不會擋的
    • ex 盜版軟體、釣魚網站上的惡意程式
  • 只能檢查到網路架構層3~4層，畢竟只有檢查IP跟PORT

IPS

• 入侵防護(Intrusion Prevention System)
• 可檢查至應用層(第7層)
• 掃描攻擊特徵，比對後攔截
  • 可成功預防已知的駭客攻擊
  • 特徵比對法(Signature based) & 異常行為比對法(Anomaly based)
• 因為是檢查應用層的資料，對於網站或非網站的防護能力較高

WAF

• 網站應用程式防火牆(Web Application Firewall)
• 可檢查至應用層http/https的資料
• 看字面意思就知道主要是應用程式的防護
• 對流量來源進行分析過濾，比對攻擊特徵及行為模式檢查
• 可追蹤cookie,解密ssl封包檢查

Q&A

Q: 為什麼系統沒有加裝IPS防護，但是好像我的系統有IDS\IPS防護呢
A: 目前的防火牆都是混合式的，具有部分IDS\IPS內容，但是跟專業的IDS\IPS不能比

Q: 系統需要裝WAF嗎？還是只要裝IPS就好了？
A: 如果資金足夠並且需要WAF防護，那才需要裝

IPS因為沒有針對SSL解密及只能防護已知的網路攻擊，如果是變種的攻擊很難抵擋下來，這時就需要WAF作後續的防護
但是IPS也是防護系統中重要的一環，能將大部分的網路攻擊攔截下來，客製的、變種的交由WAF處理