Assumi questo scenario:
Qualcuno sta cercando di hackerare un sito web. In poche parole: www.site.com/example.php?=<script>alert(1)</script>
Un HIDS vedrebbe questo tentativo nel log di accesso di Apache, un NIDS vedrebbe questo tentativo nella sezione HTTP del pacchetto e il WAF nell'URL.
Se tutti stanno rilevando l'attacco, perché sono necessari tutti su un'infrastruttura?
Hai ragione a pensare che queste tre tecnologie siano complementari e spesso rilevano gli stessi problemi. Tuttavia, questo di per sé non è un motivo per non usarli a strati. Uno può prendere cose che l'altro non può. Guarda scanner di virus - ecco un esempio in cui solo 14 % dei 37 scanner tentati hanno trovato il virus ! E questo ha lo stesso identico tipo di protezione!
I prodotti che hai elencato hanno più varianti rispetto al confronto con gli scanner di virus e in effetti presentano differenze architettoniche significative. Un HIDS vedrà spesso cose che superano il NIDS a causa della crittografia SSL. Un WAF avrà spesso firme specifiche per un'applicazione web che NIDS e HIDS non avranno. Il NIDS rileverà attacchi a livello di rete che WAF e HIDS non noterebbero mai.
In breve, complementare non significa uguale.
Leggi altre domande sui tag web-application attack-prevention ids waf