Comparación entre WAF e IPS / IDS

Como dice @schroeder, la mayor diferencia es dónde se sientan en la pila. Hablemos de esa diferencia.

El Servidor de seguridad de la aplicación web funciona en la capa de la aplicación. Eso implica que trata con el flujo de datos, no con el flujo de red, después de que el host lo haya recibido. Como resultado, generalmente se aplica después del descifrado *, por lo que tiene acceso completo al encabezado y cuerpo de la solicitud y respuesta. Y generalmente se puede esperar que un WAF se centre en firmas específicas de la aplicación, más que en un IDS / IPS. WAF también es más probable que vea cosas como la validación de formato JSON o XML; buscando cosas que no están bien en lugar de buscar cosas que están mal .

El IDS / IPS, por otro lado, opera en la capa de red. Si bien el descifrado es posible en algunas configuraciones, no se asume, como sucede con un WAF, y si no hay descifrado, el IDS / IPS puede ser bastante ciego a los ataques de aplicaciones web. El IDS / IPS es capaz de analizar todas las capas de red, permitiéndole buscar cosas como ataques de fragmentación que un WAF nunca verá. Y debido a que se espera que IDS / IPS controle todo el tráfico, no se limita a los protocolos de aplicaciones web, sino que tiene un espectro de firmas mucho más amplio. Por extensión, puede que no tenga un conjunto de firmas de aplicaciones web tan detallado como un WAF.

Las dos tecnologías son conjuntos de intersección: en un ataque, parte del tráfico activará tanto el WAF como el IDS / IPS; algunos solo activarán el WAF; algunos solo activarán el IDS / IPS. (Y algunos volarán más allá de los dos colores, ¿quién dice que no hay una carrera fácil?)

* A veces, el WAF está en el servidor de aplicaciones real; a veces es un dispositivo de hombre en el medio. De cualquier manera, se descodificará antes del análisis y se volverá a cifrar después si aún tiene un salto para ir a la caja.