一、Web應(yīng)用安全需求特點(diǎn)

1.完整解析

傳統(tǒng)的網(wǎng)絡(luò)防火墻設(shè)備，主要工作在OSI模型三、四層，基于IP報(bào)文進(jìn)行檢測。其產(chǎn)品設(shè)計(jì)無需理解HTTP會(huì)話，也就無法理解Web應(yīng)用程序語言如HTML、SQL。因此，不能對(duì)HTTP通訊進(jìn)行輸入驗(yàn)證或攻擊規(guī)則分析。針對(duì)Web網(wǎng)站的惡意攻擊絕大部分都將封裝為HTTP請(qǐng)求，從80或443端口順利通過防火墻檢測。

一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，如能根據(jù)TCP會(huì)話異常性及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個(gè)數(shù)據(jù)包中，但從根本上說他仍然無法理解HTTP會(huì)話，難以應(yīng)對(duì)如SQL注入、跨站腳本、cookie竊取、網(wǎng)頁篡改等應(yīng)用層攻擊。

??

◆網(wǎng)絡(luò)防火墻檢測網(wǎng)絡(luò)攻擊

◆檢查IP地址和端口

◆IPS 只能檢測到已知攻擊

◆規(guī)避這種檢測方法是非?？赡艿?/p>

◆無法保護(hù)SSL流量

◆不能真正理解HTTP(如：HTTP頭，參數(shù)等等)

◆沒有應(yīng)用識(shí)別能力

◆無法識(shí)別用戶

◆誤判率較高

要做到真正的Web應(yīng)用交付安全防護(hù)，首先要做到的就是理解HTTP，因此不僅是識(shí)別IP、端口、HTTP header一部分、而是要解析整個(gè)HTTP報(bào)文、理解HTTP交互過程、參與整個(gè)HTTP的交互處理，解析和識(shí)別HTTPS中的加密數(shù)據(jù)，只有滿足這樣的首要前提之后，才有可能做到Web應(yīng)用安全的真正防護(hù)。

2.雙向防御

不僅能識(shí)別和攔截黑客正向發(fā)起的HTTP請(qǐng)求方向的攻擊，還要能對(duì)服務(wù)器返回報(bào)文中的服務(wù)器敏感信息進(jìn)行過濾和擦除。

3.延遲小

Web防護(hù)引用就會(huì)引入應(yīng)用交付的延遲，造成應(yīng)用業(yè)務(wù)的處理效率下降，尤其是對(duì)于HTTPS來說還需要對(duì)HTTP數(shù)據(jù)有一個(gè)加解密的過程，因此安全防御設(shè)備的HTTPS的加解密處理是一個(gè)不小的挑戰(zhàn)，要盡量減少對(duì)Web應(yīng)用交付的延遲影響。

4.應(yīng)用DDoS防御

傳統(tǒng)的四層DDoS防御機(jī)制無法對(duì)應(yīng)用DDoS進(jìn)行防御，HTTP從0.9-1.0-1.1三個(gè)版本，版本之間已經(jīng)發(fā)生了較大變化，對(duì)于應(yīng)用訪問層面1.1和以前的版本最明顯的區(qū)別就是"網(wǎng)絡(luò)連接的使用"。HTTP 0.9和HTTP1.0中客戶端每次發(fā)起的請(qǐng)求都是不同的源端口，而HTTP1.1中允許在同一個(gè)TCP連接中發(fā)起多次請(qǐng)求（源端口、源ip、目的ip、目的端口均不變），這樣傳統(tǒng)的基于IP和TCP連接數(shù)限制如Syn Flood攻擊的DDoS防御機(jī)制無法識(shí)別在同一個(gè)TCP中發(fā)起多次請(qǐng)求的類似攻擊，因此需要有新的應(yīng)用DDoS防御機(jī)制來對(duì)這種攻擊進(jìn)行。

5.可擴(kuò)展性

隨著Web應(yīng)用業(yè)務(wù)的增加，Web服務(wù)器性能要求越來越大，Web數(shù)據(jù)量會(huì)不斷增大，要求Web安全防護(hù)性能也提供相應(yīng)的擴(kuò)展性。#p#

二、Fortinet應(yīng)用交付安全解決方案

為了滿足Web應(yīng)用安全的需要，F(xiàn)ortinet自主研發(fā)了專業(yè)級(jí)的WAF（Web Application Firewall）-FortiWeb，通過智能自學(xué)習(xí)功能和FortiGuard攻擊簽名庫實(shí)現(xiàn)未知攻擊(又叫0day攻擊)和已知攻擊的有效攔截，除此之外FortiWeb提供了漏洞評(píng)估、網(wǎng)頁防篡改功能，最終實(shí)現(xiàn)事前進(jìn)行Web應(yīng)用安全評(píng)估，事中實(shí)時(shí)監(jiān)控?cái)r截，事后恢復(fù)三維立體化的全方位應(yīng)用交付安全解決方案。在應(yīng)用交付效率方面，F(xiàn)ortiWeb集成FortiASIC硬件芯片加速技術(shù)和TCP連接復(fù)用軟件優(yōu)化技術(shù)，實(shí)現(xiàn)服務(wù)器的SSL卸載減少TCP并發(fā)壓力，減輕服務(wù)器的負(fù)載從而實(shí)現(xiàn)加速應(yīng)用交付，極大的提高了應(yīng)用交付效率。

（一）、靈活部署、易于管理

1、FortiWeb多種靈活部署模式

為了適應(yīng)客戶的不同規(guī)模及各種復(fù)雜的環(huán)境，提供了四種靈活的部署模式：透明檢測、純粹透明代理、反向代理、離線檢測。

??

二層-透明檢測和純粹透明代理

易于部署-對(duì)現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)物任何影響，實(shí)現(xiàn)完全透明無縫接入

出現(xiàn)故障時(shí)實(shí)現(xiàn)硬件BYPASS

反向代理

支持更改請(qǐng)求和響應(yīng)內(nèi)容

提供高級(jí)URL重寫功能

HTTPS卸載

強(qiáng)大的HTTP負(fù)載均衡功能

離線檢測- SPAN port

零網(wǎng)絡(luò)延遲Zero network latency

使用TCP reset進(jìn)行攔截攻擊

非侵入性網(wǎng)絡(luò)部署，產(chǎn)品評(píng)估理想部署模式

2、高可用性

為了滿足用戶對(duì)Web安全高可用性及冗余性的需求，F(xiàn)ortiWeb提供了A/P（主備HA）及A/A（雙A）兩種高可用性的解決方案。

3、實(shí)時(shí)儀表盤

FortiWeb沿用了FortiGate直觀簡單易懂便于操作的眾多優(yōu)點(diǎn)提供直觀、實(shí)時(shí)的儀表盤讓客戶輕松查看設(shè)備運(yùn)行狀態(tài)、實(shí)時(shí)掌握安全現(xiàn)狀

◆每個(gè)應(yīng)用的流量監(jiān)控

◆每個(gè)攻擊事件的歷史記錄

◆最新的告警

◆設(shè)備狀態(tài)

4、數(shù)據(jù)分析

FortiWeb提供了宏觀數(shù)據(jù)分析功能，Data Analytics - Geo IP 分析&安全

◆基于客戶端訪問所在的地域來分析Web訪問情況

◆根據(jù)點(diǎn)擊率，訪問數(shù)據(jù)及攻擊類型進(jìn)行詳細(xì)分析

◆直接在地圖上右鍵禁止某個(gè)國家或者地區(qū)的用戶訪問被保護(hù)的網(wǎng)站

◆可以以地圖或者列表的方式顯示出來

◆提供圖形化的界面，可幫助組織了解應(yīng)用的發(fā)展趨勢，無論是從用戶和服務(wù)器的角度

??

??

5、FortiAnalyzer集中管理平臺(tái)

FortiWeb可以結(jié)合FortiAnalyzer集中管理平臺(tái)實(shí)現(xiàn)集中日志分析，并生成相應(yīng)的分析報(bào)告

??

（二）、Web應(yīng)用安全防護(hù)及監(jiān)控

Web應(yīng)用安全防護(hù)是一項(xiàng)極其考驗(yàn)管理員耐心和技術(shù)的工作，即使管理員技術(shù)可以到達(dá)要求，通過手動(dòng)方式進(jìn)行應(yīng)用安全加固和防護(hù)，那么需要通過手動(dòng)方式實(shí)現(xiàn)：

◆手動(dòng)定義每個(gè)URL,目錄,參數(shù),字段長度和類型

◆為動(dòng)態(tài)內(nèi)容，JavaScript,XML等等配置正則表達(dá)式進(jìn)行過濾

◆不斷更新白名單

要達(dá)到以上目的，首先管理員需要理解被保護(hù)的應(yīng)用程序（應(yīng)用程序架構(gòu)：URL、參數(shù)、方法）、什么是正確的輸入，什么是異常輸入；了解流行的攻擊方法，工具和應(yīng)用程序漏洞，區(qū)分應(yīng)用程序的變化，人為錯(cuò)誤和真正的攻擊之間的不同之處，還有應(yīng)用DDOS攻擊等等這對(duì)于普通的管理員來說幾乎無法完成的任務(wù)。FortiWeb通過智能學(xué)習(xí)來防御未知攻擊，7*24小時(shí)的全球FortiGuard云網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)攻擊庫更新來對(duì)已知攻擊進(jìn)行有效攔截，通過網(wǎng)絡(luò)/應(yīng)用DDoS防御功能及FortiGuardIP信譽(yù)庫有效結(jié)合來攔截僵尸網(wǎng)絡(luò)，木馬主機(jī)等發(fā)起的網(wǎng)絡(luò)及應(yīng)用DDoS攻擊。

1、FortiWeb自學(xué)習(xí)模式

FortiWeb通過自學(xué)習(xí)模塊理解應(yīng)用結(jié)構(gòu)從實(shí)際流量中學(xué)習(xí)到各種元素，建立URLs，參數(shù)，HTTP方法等正?；€，從而自動(dòng)了解訪問者的行為如：表單字段/參數(shù)能否被用戶修改？表單每個(gè)字段的是什么類型？長度是多少？可以接受什么樣的字符?一個(gè)表單字段是必須的還是可選的？并且提供相應(yīng)的建議和圖表分析，為企業(yè)自動(dòng)建立量身定做的保護(hù)策略，防御未知攻擊，增加保護(hù)力度，減少誤判發(fā)生。

??

??

2、常見Web攻擊防護(hù)

FortiWeb提供了跨站攻擊、SQL注入、緩沖區(qū)溢出、遠(yuǎn)程文件包含、拒絕服務(wù)，cookie中毒、schema中毒、和眾多的其他已知攻擊的威脅，保證Web應(yīng)用程序的安全性并保護(hù)敏感的數(shù)據(jù)庫內(nèi)容及Web服務(wù)器相關(guān)信息如操作系統(tǒng)類型、版本，Web應(yīng)用軟件類型及版本等。對(duì)于每一個(gè)攻擊特征都提供了相應(yīng)的攻擊實(shí)例及注釋，有利于管理員理解和認(rèn)識(shí)各種攻擊，使管理員對(duì)于攔截的攻擊有一個(gè)正確的判斷。

??

FortiWeb通過強(qiáng)大的24×7×365的FortiGuard實(shí)時(shí)全球智能分析系統(tǒng)對(duì)攻擊特征進(jìn)行實(shí)時(shí)更新。

3、FortiWeb 基于應(yīng)用和網(wǎng)絡(luò)的DoS/DDoS防護(hù)

FortiWeb提供了網(wǎng)絡(luò)DDoS防護(hù)和專業(yè)的應(yīng)用層DDoS防護(hù)功能，包含了各種精細(xì)化控制，從而可以滿足各種Web應(yīng)用場景下產(chǎn)生的DDoS攻擊行為，同時(shí)還提供了FortiGuard IP信譽(yù)庫防止一些僵尸網(wǎng)絡(luò)，匿名代理，垃圾發(fā)起源等惡意IP的攻擊。

◆基于用戶的不同特征來分析請(qǐng)求數(shù)據(jù)如IP和Cookie

◆通過復(fù)雜的機(jī)制綜合判斷這些請(qǐng)求是真正的用戶請(qǐng)求還是自動(dòng)工具的攻擊 (HOIC, LOIC tools)

4、文件上傳限制和病毒掃描

FortiWeb可以對(duì)上傳文件的類型進(jìn)行限制，并對(duì)上傳文件進(jìn)行木馬、病毒掃描，病毒庫由FortiGuard Antivirus服務(wù)7*24小時(shí)實(shí)時(shí)更新。

（三）、加速應(yīng)用交付

1、網(wǎng)絡(luò)和應(yīng)用加速

FortiWeb集成ASIC硬件芯片加速及硬件Bypass，對(duì)服務(wù)器性能影響較大的SSL加解密運(yùn)算通過Fortinet自主研發(fā)的CP7芯片實(shí)現(xiàn)SSL卸載，減少服務(wù)器的性能消耗，從而達(dá)到優(yōu)化服務(wù)器處理性能的作用。

FortiASIC 的CP7可以實(shí)現(xiàn)：

◆基于硬件的密鑰交換和大量加解密運(yùn)算

◆建立SSL處理

◆完整的證書管理

◆高級(jí)認(rèn)證的驗(yàn)證和撤銷功能

TCP連接復(fù)用

TCP連接復(fù)用技術(shù)通過將前端多個(gè)客戶的HTTP請(qǐng)求復(fù)用到后端與服務(wù)器建立的一個(gè)TCP連接上。這種技術(shù)能夠大大減小服務(wù)器的性能負(fù)載，減少與服務(wù)器之間新建TCP連接所帶來的延時(shí)，并最大限度的降低客戶端對(duì)后端服務(wù)器的并發(fā)連接數(shù)請(qǐng)求，減少服務(wù)器的資源占用。

2、數(shù)據(jù)壓縮

數(shù)據(jù)壓縮通過對(duì)內(nèi)容進(jìn)行優(yōu)化壓縮，以盡量減少對(duì)網(wǎng)絡(luò)資源和降低應(yīng)用交付延遲的影響。

將從服務(wù)器取回的數(shù)據(jù)進(jìn)行壓縮，實(shí)現(xiàn)高效的帶寬利用率和響應(yīng)時(shí)間。壓縮率取決于數(shù)據(jù)的類型和字符冗余度。

3、負(fù)載均衡

FortiWeb支持HTTP/HTTPS智能7層應(yīng)用負(fù)載分擔(dān)，并提供了豐富的負(fù)載均衡算法（輪循、權(quán)重輪循、最少連接、基于HTTP會(huì)話輪循），可以靈活設(shè)置連接超時(shí)時(shí)間、服務(wù)器健康檢查及Web Services負(fù)載均衡。

靈活的健康檢查

◆物理服務(wù)器檢查支持HTTPS, HTTP, TCP, Ping

◆支持利用正則表達(dá)式進(jìn)行內(nèi)容健康檢查

Web Services負(fù)載均衡

◆WSDL 或者內(nèi)容路由

4、高級(jí)重寫功能

FortiWeb為滿足用戶對(duì)應(yīng)用交付的高級(jí)需求提供了高級(jí)重寫功能包含：

◆基于ip、host、URL內(nèi)容路由

◆基于host、URL、Reference等HTTP參數(shù)的重寫和重定向功能

◆重寫服務(wù)器返回給客戶的信息

（四）、專業(yè)的漏洞評(píng)估

漏洞評(píng)估功能可以輕松掃描你的應(yīng)用程序Web漏洞如常見漏洞、SQL 注入、跨站攻擊、源碼泄露、OS 命令漏洞，為用戶提供了增強(qiáng)型/標(biāo)準(zhǔn)模式及認(rèn)證選項(xiàng),并提供精細(xì)控制掃描范圍選項(xiàng)允許用戶指定掃描范圍如網(wǎng)站的某個(gè)特定目錄。用戶還可以設(shè)定時(shí)間進(jìn)行周期掃描或根據(jù)需要進(jìn)行手動(dòng)掃描掃描。

FortiWeb提供了專業(yè)的漏洞評(píng)估報(bào)告，報(bào)告內(nèi)容包含：

◆掃描摘要

◆根據(jù)漏洞嚴(yán)重等級(jí)分類

◆根據(jù)攻擊種類分類

◆應(yīng)用程序漏洞

◆常見漏洞

服務(wù)器信息

◆掃描引起收集的信息

◆接受輸入的URLs

◆外部鏈接

評(píng)估報(bào)告支持通過郵件自動(dòng)發(fā)送至管理員郵箱，漏洞掃描特征通過FortiGuard不斷更新，從而幫助客戶滿足PCI DSS 6.6相關(guān)要求。

??

（五）、網(wǎng)頁防篡改

FortiWeb除了提供WAF必備的功能之外，還提供了網(wǎng)頁防篡改功能，防止黑客通過其他方法獲得服務(wù)器相應(yīng)權(quán)限并對(duì)服務(wù)器上的網(wǎng)站進(jìn)行破壞，一旦網(wǎng)站頁面被人篡改，將對(duì)其進(jìn)行自動(dòng)恢復(fù)，并發(fā)出郵件告警通知管理員。

（六）、Fortinet應(yīng)用交付安全解決方案優(yōu)勢

FortiWeb是一款保護(hù)、負(fù)載平衡與加速Web應(yīng)用、數(shù)據(jù)庫之間信息交換的Web應(yīng)用層防火墻。無論是對(duì)大型企業(yè)、服務(wù)供應(yīng)商、或云服務(wù)提供商，提供應(yīng)用程序的保護(hù)，F(xiàn)ortiWeb設(shè)備將會(huì)大大縮短部署時(shí)間，并簡化安全管理。FortiWeb 是通過ICSA認(rèn)證的Web應(yīng)用防火墻。ISCA實(shí)驗(yàn)室Web應(yīng)用防火墻認(rèn)證的取得，標(biāo)明FortiWeb具有業(yè)界最高的安全標(biāo)準(zhǔn)，以及業(yè)界用戶Web應(yīng)用安全需求部署的最佳優(yōu)勢。

◆FortiWeb是唯一能夠提供全面的遵從PCI DSS（支付卡交付規(guī)定）6.6要求的具有漏洞掃描模塊的Web應(yīng)用防火墻。

◆FortiWeb設(shè)備阻斷如跨站點(diǎn)腳本、SQL注入、緩沖區(qū)溢出、遠(yuǎn)程文件包含、拒絕服務(wù)，cookie中毒、schema中毒、和無數(shù)的其他攻擊的威脅，保證Web應(yīng)用程序的安全性并防止敏感的數(shù)據(jù)庫內(nèi)容及Web服務(wù)器信息外泄。

◆防御OWASP 10大Web應(yīng)用漏洞攻擊，從而協(xié)助實(shí)現(xiàn)PCI DSS 6.6合規(guī)。

◆自動(dòng)與動(dòng)態(tài)的用戶活動(dòng)狀態(tài)檢測，建立允許會(huì)話的基線，為企業(yè)提供量身定做的保護(hù)策略。

◆基于應(yīng)用與網(wǎng)絡(luò)的DDoS策略配置，通過復(fù)雜的機(jī)制綜合判斷精準(zhǔn)識(shí)別和攔截應(yīng)用DDoS攻擊，加上強(qiáng)大的全球化FortiGuard IP信譽(yù)功能可以以最高的效率攔截所有惡意的攻擊行為。

◆SSL加密協(xié)同處理加速應(yīng)用交付；卸載加密功能，減少了Web服務(wù)器的CPU，內(nèi)存等資源的消耗，增加了服務(wù)器處理效率。

◆服務(wù)器負(fù)載均衡和基于內(nèi)容的路由，提高了應(yīng)用程序的速度，以及服務(wù)器資源利用率和應(yīng)用穩(wěn)定性。

◆數(shù)據(jù)壓縮功能提高了帶寬利用率和響應(yīng)時(shí)間。

◆實(shí)時(shí)數(shù)據(jù)分析提供了分析接口，幫助企業(yè)機(jī)構(gòu)組織分析來自多個(gè)載體與對(duì)各個(gè)地址位置的映射請(qǐng)求的Web應(yīng)用的使用情況。