Supongamos este escenario:
Alguien que intenta hackear un sitio web. Simplemente coloque: www.site.com/example.php?=<script>alert(1)</script>
Una HIDS vería este intento en el registro de acceso de Apache, a NIDS vería este intento en la sección HTTP del paquete y la WAF en la URL.
Si todos ellos están detectando el ataque, ¿por qué se necesitan todos ellos en una infraestructura?
Es correcto pensar que estas tres tecnologías son complementarias y que a menudo detectarán los mismos problemas. Sin embargo, eso en sí mismo no es razón para no usarlos en capas. Uno puede atrapar cosas y el otro no. Mire escáneres de virus : aquí hay un ejemplo en el que solo 14 % de los 37 escáneres intentaron encontrar el virus ! ¡Y eso es exactamente con el mismo tipo de protección!
Los productos que has listado tienen más variaciones que los antivirus, y de hecho tienen diferencias arquitectónicas significativas. Un HIDS a menudo verá cosas que pasaron el NIDS debido al cifrado SSL. Un WAF a menudo tendrá firmas específicas para una aplicación web que el NIDS y el HIDS no tendrán. El NIDS detectará ataques de capa de red que el WAF y el HIDS nunca notarán.
En resumen, complementario no significa igual.
Lea otras preguntas en las etiquetas web-application attack-prevention ids waf