IDS/IPSとWAFの違いを調べております。 IDS/IPSとWAFでは対象が異なるといった説明をよく見ます(IDS/IPSは対象がOSやL4まわりで、WAFは対象がL7のwebアプリ)。 しかし、IDS/IPSもWAFもパケットをスキャンしてシグネチャと照らして不正を検知する という動作の中で何が対象の違いを生んでいるのか? IDS/IPSでWAFと同じことがなぜできないのか? といったことがいまいち理解できず、質問させていただきたいです。 この点について現在では以下のように考えているのですが、この認識であっているでしょうか? 間違っておりましたらポイントを教えていただきたいです。 ・IDS/IPSもWAFもパケットの内容をスキャンして不正なパターンがないか シグネチャに基づいてチェックしている。やっていることは同じ。 ・IDS/IPSもWAFもハードウェアリソース的に利用できるシグネチャ数に限度があるため、 ターゲットを制限する必要がある。 ・IDS/IPSはHTTPやFTPなど特定のアプリケーションに依存しない部分を メインターゲットとし、その部分のシグネチャを充実させている。 ・WAFはHTTPをメインターゲットとし、HTTP関連のシグネチャを充実させている。
↧