• 締切済み

IDS/IPSとWAFの違いについて

IDS/IPSとWAFの違いを調べております。 IDS/IPSとWAFでは対象が異なるといった説明をよく見ます(IDS/IPSは対象がOSやL4まわりで、WAFは対象がL7のwebアプリ)。 しかし、IDS/IPSもWAFもパケットをスキャンしてシグネチャと照らして不正を検知する という動作の中で何が対象の違いを生んでいるのか? IDS/IPSでWAFと同じことがなぜできないのか? といったことがいまいち理解できず、質問させていただきたいです。 この点について現在では以下のように考えているのですが、この認識であっているでしょうか? 間違っておりましたらポイントを教えていただきたいです。 ・IDS/IPSもWAFもパケットの内容をスキャンして不正なパターンがないか  シグネチャに基づいてチェックしている。やっていることは同じ。 ・IDS/IPSもWAFもハードウェアリソース的に利用できるシグネチャ数に限度があるため、  ターゲットを制限する必要がある。 ・IDS/IPSはHTTPやFTPなど特定のアプリケーションに依存しない部分を  メインターゲットとし、その部分のシグネチャを充実させている。 ・WAFはHTTPをメインターゲットとし、HTTP関連のシグネチャを充実させている。

みんなの回答

  • notnot
  • ベストアンサー率47% (4900/10359)
回答No.1

>(IDS/IPSは対象がOSやL4まわりで、WAFは対象がL7のwebアプリ)。 という事に尽きます。 >IDS/IPSでWAFと同じことがなぜできないのか? IDS/IPSではHTTPレベルのデータを見ないからです。 >この点について現在では以下のように考えているのですが、この認識であっているでしょうか? ということで、間違ってます。 もちろん、物理的に1つの筐体でIDS/IPSとWAFを詰め込むことは可能でしょう。

komasu
質問者

お礼

ご回答ありがとうございました。 >IDS/IPSではHTTPレベルのデータを見ないからです。 >物理的に1つの筐体でIDS/IPSとWAFを詰め込むことは可能でしょう。 なんとなくわかってきました。 しつこくて恐縮なのですが、よろしければ以下についてもご回答いただくことはできないでしょうか? 「HTTPレベルのデータを見ない」 というのは、 「HTTPヘッダやメッセージボディに書かれる内容に関するシグネチャを持たない」 ということではなく、 「パケットをチェックする際に、パケットのHTTPヘッダやメッセージボディに関する領域はチェックしない(TCPヘッダまでしかチェックしない)」と言うことでしょうか? (例) IDS/IPSのカスタムシグネチャで「パケット内に”post”があること」といった意味のシグネチャを作ったとしても、IDS/IPSではHTTPヘッダは見ないので、実際にHTTPでpostメソッドが使われているパケットが来たとしてもIDS/IPSは検知しない。

関連するQ&A