使用 IPS（入侵防御系统）增强 WAF（Web 应用程序防火墙）是否有意义？

问题：在这种情况下，是否有任何附加价值也有一个 IPS / 深度包装检测解决方案？据我所知：没有。但我没有找到任何明确的答案。

要回答这个问题，首先让我们解开它们的关键术语“价值”。我们在这里所做的是询问“安全控制的价值是什么？”。

实施安全控制（WAF、IPS、SPI 防火墙是技术安全控制的示例）来管理风险。通常不会实施成本高于没有控制的预期损失的安全控制，而成本低于预期随时间损失的安全控制将实施。

当防火墙限制在一个端口和 WAF 就位时，是否有任何价值，实际上是在问这个问题：预期损失是否基于目前所有设置的方式减去 IPS 后的预期损失实施的成本大于 IPS 的成本。如果答案是，yes那么安装 IPS 就没有任何价值，因为安装它的成本大于它提供的收益。这是一个实际的风险管理过程的例子。

当涉及到这种特殊情况时，没有足够的信息来明确回答这个问题。给出的任何技术答案都不会这样做。即使我们掌握了所有信息，这将是广泛的，但人们计算风险的方式有足够的变化，我们肯定无法做任何事情，除了给出“一种方法”，并且可能是有史以来最长的 Serverfault 答案:-)

不过，一般而言，这些领域是 IPS（为简单起见，我们将在此将 HIPS 和 NIPS 混为一谈）在与现有解决方案一起实施时提供价值机会：

1. 对于功能交叉的情况，作为辅助控制，如果防火墙或 WAF 配置错误或受到威胁，无法检测到威胁，或通过不同的方法检测到威胁，从而增加检测到检测规避技术的可能性。
2. 对于 IPS 提供尚未提供的额外保护的情况。这取决于产品和实现，但可能包括...
   • 阻止已知的恶意 IP 地址
   • 基于事件相关性的阻塞 - 例如。在发送 HTTP 请求之前已被视为端口扫描的 IP
   • 防止/检测未经授权的进程对文件的修改
   • 好多其它的
3. 为了增加可见度。IPS 通常能够让您更清楚地了解威胁形势，因为它可以查看更多环境中正在发生的事情，而不仅仅是 Web 流量。

总之，IPS 是否有价值将取决于风险。在某些情况下，即使它只提供冗余而没有额外的功能，人们也会选择在这种情况下安装 IPS——“腰带和大括号”方法。如果保护个人网站，可能不值得，如果保护价值数十亿美元的知识产权，则更可能有价值。

如果您正确设置防火墙，则不需要使用数据包检查。但是即使您只有一台具有最少服务的简单服务器，您仍然需要 IPS/IDS 和完整性检查。
考虑这些情况：

• 如果您的 WAF 存在未知的攻击方法/签名，那么实际上您的 WAF 对这种威胁（特别是零日漏洞）毫无用处。在这种情况下，监控用户的活动并检查系统的完整性是明智之举。使用审计工具可能会帮助并警告您可疑（但未知）的威胁。然而，它需要更多的资源、定制的审计规则和不断的检查。
• 绕过WAF不是想象的。在这一个中，IPS/IDS 或任何其他扫描机制作为第二层防御提高了您的安全级别。即使您的 WAF 失败。
  
  如果您担心自己的设置，但又不想使用复杂或昂贵的解决方案，您可以将“iptables”自定义规则等非常基本的工具与“SElinux”和“AIDE”结合起来，以获得更强大的安全计划。

您可以在 DMZ 中设置 WAF 以保护互联网流量。此外，IDS/IPS 加 DPI 可用于内部网络，主动或被动（内联或非内联）。