一、Web應(yīng)用安全需求特點

1.完整解析

傳統(tǒng)的網(wǎng)絡(luò)防火墻設(shè)備，主要工作在OSI模型三、四層，基于IP報文進行檢測。其產(chǎn)品設(shè)計無需理解HTTP會話，也就無法理解Web應(yīng)用程序語言如HTML、SQL。因此，不能對HTTP通訊進行輸入驗證或攻擊規(guī)則分析。針對Web網(wǎng)站的惡意攻擊絕大部分都將封裝為HTTP請求，從80或443端口順利通過防火墻檢測。

一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應(yīng)用層防御能力，如能根據(jù)TCP會話異常性及攻擊特征阻止網(wǎng)絡(luò)層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中，但從根本上說他仍然無法理解HTTP會話，難以應(yīng)對如SQL注入、跨站腳本、cookie竊取、網(wǎng)頁篡改等應(yīng)用層攻擊。

??

◆網(wǎng)絡(luò)防火墻檢測網(wǎng)絡(luò)攻擊

◆檢查IP地址和端口

◆IPS 只能檢測到已知攻擊

◆規(guī)避這種檢測方法是非常可能的

◆無法保護SSL流量

◆不能真正理解HTTP(如：HTTP頭，參數(shù)等等)

◆沒有應(yīng)用識別能力

◆無法識別用戶

◆誤判率較高

要做到真正的Web應(yīng)用交付安全防護，首先要做到的就是理解HTTP，因此不僅是識別IP、端口、HTTP header一部分、而是要解析整個HTTP報文、理解HTTP交互過程、參與整個HTTP的交互處理，解析和識別HTTPS中的加密數(shù)據(jù)，只有滿足這樣的首要前提之后，才有可能做到Web應(yīng)用安全的真正防護。

2.雙向防御

不僅能識別和攔截黑客正向發(fā)起的HTTP請求方向的攻擊，還要能對服務(wù)器返回報文中的服務(wù)器敏感信息進行過濾和擦除。

3.延遲小

Web防護引用就會引入應(yīng)用交付的延遲，造成應(yīng)用業(yè)務(wù)的處理效率下降，尤其是對于HTTPS來說還需要對HTTP數(shù)據(jù)有一個加解密的過程，因此安全防御設(shè)備的HTTPS的加解密處理是一個不小的挑戰(zhàn)，要盡量減少對Web應(yīng)用交付的延遲影響。

4.應(yīng)用DDoS防御

傳統(tǒng)的四層DDoS防御機制無法對應(yīng)用DDoS進行防御，HTTP從0.9-1.0-1.1三個版本，版本之間已經(jīng)發(fā)生了較大變化，對于應(yīng)用訪問層面1.1和以前的版本最明顯的區(qū)別就是"網(wǎng)絡(luò)連接的使用"。HTTP 0.9和HTTP1.0中客戶端每次發(fā)起的請求都是不同的源端口，而HTTP1.1中允許在同一個TCP連接中發(fā)起多次請求（源端口、源ip、目的ip、目的端口均不變），這樣傳統(tǒng)的基于IP和TCP連接數(shù)限制如Syn Flood攻擊的DDoS防御機制無法識別在同一個TCP中發(fā)起多次請求的類似攻擊，因此需要有新的應(yīng)用DDoS防御機制來對這種攻擊進行。

5.可擴展性

隨著Web應(yīng)用業(yè)務(wù)的增加，Web服務(wù)器性能要求越來越大，Web數(shù)據(jù)量會不斷增大，要求Web安全防護性能也提供相應(yīng)的擴展性。#p#

二、Fortinet應(yīng)用交付安全解決方案

為了滿足Web應(yīng)用安全的需要，F(xiàn)ortinet自主研發(fā)了專業(yè)級的WAF（Web Application Firewall）-FortiWeb，通過智能自學(xué)習(xí)功能和FortiGuard攻擊簽名庫實現(xiàn)未知攻擊(又叫0day攻擊)和已知攻擊的有效攔截，除此之外FortiWeb提供了漏洞評估、網(wǎng)頁防篡改功能，最終實現(xiàn)事前進行Web應(yīng)用安全評估，事中實時監(jiān)控攔截，事后恢復(fù)三維立體化的全方位應(yīng)用交付安全解決方案。在應(yīng)用交付效率方面，F(xiàn)ortiWeb集成FortiASIC硬件芯片加速技術(shù)和TCP連接復(fù)用軟件優(yōu)化技術(shù)，實現(xiàn)服務(wù)器的SSL卸載減少TCP并發(fā)壓力，減輕服務(wù)器的負載從而實現(xiàn)加速應(yīng)用交付，極大的提高了應(yīng)用交付效率。

（一）、靈活部署、易于管理

1、FortiWeb多種靈活部署模式

為了適應(yīng)客戶的不同規(guī)模及各種復(fù)雜的環(huán)境，提供了四種靈活的部署模式：透明檢測、純粹透明代理、反向代理、離線檢測。

??

二層-透明檢測和純粹透明代理

易于部署-對現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)物任何影響，實現(xiàn)完全透明無縫接入

出現(xiàn)故障時實現(xiàn)硬件BYPASS

反向代理

支持更改請求和響應(yīng)內(nèi)容

提供高級URL重寫功能

HTTPS卸載

強大的HTTP負載均衡功能

離線檢測- SPAN port

零網(wǎng)絡(luò)延遲Zero network latency

使用TCP reset進行攔截攻擊

非侵入性網(wǎng)絡(luò)部署，產(chǎn)品評估理想部署模式

2、高可用性

為了滿足用戶對Web安全高可用性及冗余性的需求，F(xiàn)ortiWeb提供了A/P（主備HA）及A/A（雙A）兩種高可用性的解決方案。

3、實時儀表盤

FortiWeb沿用了FortiGate直觀簡單易懂便于操作的眾多優(yōu)點提供直觀、實時的儀表盤讓客戶輕松查看設(shè)備運行狀態(tài)、實時掌握安全現(xiàn)狀

◆每個應(yīng)用的流量監(jiān)控

◆每個攻擊事件的歷史記錄

◆最新的告警

◆設(shè)備狀態(tài)

4、數(shù)據(jù)分析

FortiWeb提供了宏觀數(shù)據(jù)分析功能，Data Analytics - Geo IP 分析&安全

◆基于客戶端訪問所在的地域來分析Web訪問情況

◆根據(jù)點擊率，訪問數(shù)據(jù)及攻擊類型進行詳細分析

◆直接在地圖上右鍵禁止某個國家或者地區(qū)的用戶訪問被保護的網(wǎng)站

◆可以以地圖或者列表的方式顯示出來

◆提供圖形化的界面，可幫助組織了解應(yīng)用的發(fā)展趨勢，無論是從用戶和服務(wù)器的角度

??

??

5、FortiAnalyzer集中管理平臺

FortiWeb可以結(jié)合FortiAnalyzer集中管理平臺實現(xiàn)集中日志分析，并生成相應(yīng)的分析報告

??

（二）、Web應(yīng)用安全防護及監(jiān)控

Web應(yīng)用安全防護是一項極其考驗管理員耐心和技術(shù)的工作，即使管理員技術(shù)可以到達要求，通過手動方式進行應(yīng)用安全加固和防護，那么需要通過手動方式實現(xiàn)：

◆手動定義每個URL,目錄,參數(shù),字段長度和類型

◆為動態(tài)內(nèi)容，JavaScript,XML等等配置正則表達式進行過濾

◆不斷更新白名單

要達到以上目的，首先管理員需要理解被保護的應(yīng)用程序（應(yīng)用程序架構(gòu)：URL、參數(shù)、方法）、什么是正確的輸入，什么是異常輸入；了解流行的攻擊方法，工具和應(yīng)用程序漏洞，區(qū)分應(yīng)用程序的變化，人為錯誤和真正的攻擊之間的不同之處，還有應(yīng)用DDOS攻擊等等這對于普通的管理員來說幾乎無法完成的任務(wù)。FortiWeb通過智能學(xué)習(xí)來防御未知攻擊，7*24小時的全球FortiGuard云網(wǎng)絡(luò)進行實時攻擊庫更新來對已知攻擊進行有效攔截，通過網(wǎng)絡(luò)/應(yīng)用DDoS防御功能及FortiGuardIP信譽庫有效結(jié)合來攔截僵尸網(wǎng)絡(luò)，木馬主機等發(fā)起的網(wǎng)絡(luò)及應(yīng)用DDoS攻擊。

1、FortiWeb自學(xué)習(xí)模式

FortiWeb通過自學(xué)習(xí)模塊理解應(yīng)用結(jié)構(gòu)從實際流量中學(xué)習(xí)到各種元素，建立URLs，參數(shù)，HTTP方法等正?；€，從而自動了解訪問者的行為如：表單字段/參數(shù)能否被用戶修改？表單每個字段的是什么類型？長度是多少？可以接受什么樣的字符?一個表單字段是必須的還是可選的？并且提供相應(yīng)的建議和圖表分析，為企業(yè)自動建立量身定做的保護策略，防御未知攻擊，增加保護力度，減少誤判發(fā)生。

??

??

2、常見Web攻擊防護

FortiWeb提供了跨站攻擊、SQL注入、緩沖區(qū)溢出、遠程文件包含、拒絕服務(wù)，cookie中毒、schema中毒、和眾多的其他已知攻擊的威脅，保證Web應(yīng)用程序的安全性并保護敏感的數(shù)據(jù)庫內(nèi)容及Web服務(wù)器相關(guān)信息如操作系統(tǒng)類型、版本，Web應(yīng)用軟件類型及版本等。對于每一個攻擊特征都提供了相應(yīng)的攻擊實例及注釋，有利于管理員理解和認識各種攻擊，使管理員對于攔截的攻擊有一個正確的判斷。

??

FortiWeb通過強大的24×7×365的FortiGuard實時全球智能分析系統(tǒng)對攻擊特征進行實時更新。

3、FortiWeb 基于應(yīng)用和網(wǎng)絡(luò)的DoS/DDoS防護

FortiWeb提供了網(wǎng)絡(luò)DDoS防護和專業(yè)的應(yīng)用層DDoS防護功能，包含了各種精細化控制，從而可以滿足各種Web應(yīng)用場景下產(chǎn)生的DDoS攻擊行為，同時還提供了FortiGuard IP信譽庫防止一些僵尸網(wǎng)絡(luò)，匿名代理，垃圾發(fā)起源等惡意IP的攻擊。

◆基于用戶的不同特征來分析請求數(shù)據(jù)如IP和Cookie

◆通過復(fù)雜的機制綜合判斷這些請求是真正的用戶請求還是自動工具的攻擊 (HOIC, LOIC tools)

4、文件上傳限制和病毒掃描

FortiWeb可以對上傳文件的類型進行限制，并對上傳文件進行木馬、病毒掃描，病毒庫由FortiGuard Antivirus服務(wù)7*24小時實時更新。

（三）、加速應(yīng)用交付

1、網(wǎng)絡(luò)和應(yīng)用加速

FortiWeb集成ASIC硬件芯片加速及硬件Bypass，對服務(wù)器性能影響較大的SSL加解密運算通過Fortinet自主研發(fā)的CP7芯片實現(xiàn)SSL卸載，減少服務(wù)器的性能消耗，從而達到優(yōu)化服務(wù)器處理性能的作用。

FortiASIC 的CP7可以實現(xiàn)：

◆基于硬件的密鑰交換和大量加解密運算

◆建立SSL處理

◆完整的證書管理

◆高級認證的驗證和撤銷功能

TCP連接復(fù)用

TCP連接復(fù)用技術(shù)通過將前端多個客戶的HTTP請求復(fù)用到后端與服務(wù)器建立的一個TCP連接上。這種技術(shù)能夠大大減小服務(wù)器的性能負載，減少與服務(wù)器之間新建TCP連接所帶來的延時，并最大限度的降低客戶端對后端服務(wù)器的并發(fā)連接數(shù)請求，減少服務(wù)器的資源占用。

2、數(shù)據(jù)壓縮

數(shù)據(jù)壓縮通過對內(nèi)容進行優(yōu)化壓縮，以盡量減少對網(wǎng)絡(luò)資源和降低應(yīng)用交付延遲的影響。

將從服務(wù)器取回的數(shù)據(jù)進行壓縮，實現(xiàn)高效的帶寬利用率和響應(yīng)時間。壓縮率取決于數(shù)據(jù)的類型和字符冗余度。

3、負載均衡

FortiWeb支持HTTP/HTTPS智能7層應(yīng)用負載分擔(dān)，并提供了豐富的負載均衡算法（輪循、權(quán)重輪循、最少連接、基于HTTP會話輪循），可以靈活設(shè)置連接超時時間、服務(wù)器健康檢查及Web Services負載均衡。

靈活的健康檢查

◆物理服務(wù)器檢查支持HTTPS, HTTP, TCP, Ping

◆支持利用正則表達式進行內(nèi)容健康檢查

Web Services負載均衡

◆WSDL 或者內(nèi)容路由

4、高級重寫功能

FortiWeb為滿足用戶對應(yīng)用交付的高級需求提供了高級重寫功能包含：

◆基于ip、host、URL內(nèi)容路由

◆基于host、URL、Reference等HTTP參數(shù)的重寫和重定向功能

◆重寫服務(wù)器返回給客戶的信息

（四）、專業(yè)的漏洞評估

漏洞評估功能可以輕松掃描你的應(yīng)用程序Web漏洞如常見漏洞、SQL 注入、跨站攻擊、源碼泄露、OS 命令漏洞，為用戶提供了增強型/標準模式及認證選項,并提供精細控制掃描范圍選項允許用戶指定掃描范圍如網(wǎng)站的某個特定目錄。用戶還可以設(shè)定時間進行周期掃描或根據(jù)需要進行手動掃描掃描。

FortiWeb提供了專業(yè)的漏洞評估報告，報告內(nèi)容包含：

◆掃描摘要

◆根據(jù)漏洞嚴重等級分類

◆根據(jù)攻擊種類分類

◆應(yīng)用程序漏洞

◆常見漏洞

服務(wù)器信息

◆掃描引起收集的信息

◆接受輸入的URLs

◆外部鏈接

評估報告支持通過郵件自動發(fā)送至管理員郵箱，漏洞掃描特征通過FortiGuard不斷更新，從而幫助客戶滿足PCI DSS 6.6相關(guān)要求。

??

（五）、網(wǎng)頁防篡改

FortiWeb除了提供WAF必備的功能之外，還提供了網(wǎng)頁防篡改功能，防止黑客通過其他方法獲得服務(wù)器相應(yīng)權(quán)限并對服務(wù)器上的網(wǎng)站進行破壞，一旦網(wǎng)站頁面被人篡改，將對其進行自動恢復(fù)，并發(fā)出郵件告警通知管理員。

（六）、Fortinet應(yīng)用交付安全解決方案優(yōu)勢

FortiWeb是一款保護、負載平衡與加速Web應(yīng)用、數(shù)據(jù)庫之間信息交換的Web應(yīng)用層防火墻。無論是對大型企業(yè)、服務(wù)供應(yīng)商、或云服務(wù)提供商，提供應(yīng)用程序的保護，F(xiàn)ortiWeb設(shè)備將會大大縮短部署時間，并簡化安全管理。FortiWeb 是通過ICSA認證的Web應(yīng)用防火墻。ISCA實驗室Web應(yīng)用防火墻認證的取得，標明FortiWeb具有業(yè)界最高的安全標準，以及業(yè)界用戶Web應(yīng)用安全需求部署的最佳優(yōu)勢。

◆FortiWeb是唯一能夠提供全面的遵從PCI DSS（支付卡交付規(guī)定）6.6要求的具有漏洞掃描模塊的Web應(yīng)用防火墻。

◆FortiWeb設(shè)備阻斷如跨站點腳本、SQL注入、緩沖區(qū)溢出、遠程文件包含、拒絕服務(wù)，cookie中毒、schema中毒、和無數(shù)的其他攻擊的威脅，保證Web應(yīng)用程序的安全性并防止敏感的數(shù)據(jù)庫內(nèi)容及Web服務(wù)器信息外泄。

◆防御OWASP 10大Web應(yīng)用漏洞攻擊，從而協(xié)助實現(xiàn)PCI DSS 6.6合規(guī)。

◆自動與動態(tài)的用戶活動狀態(tài)檢測，建立允許會話的基線，為企業(yè)提供量身定做的保護策略。

◆基于應(yīng)用與網(wǎng)絡(luò)的DDoS策略配置，通過復(fù)雜的機制綜合判斷精準識別和攔截應(yīng)用DDoS攻擊，加上強大的全球化FortiGuard IP信譽功能可以以最高的效率攔截所有惡意的攻擊行為。

◆SSL加密協(xié)同處理加速應(yīng)用交付；卸載加密功能，減少了Web服務(wù)器的CPU，內(nèi)存等資源的消耗，增加了服務(wù)器處理效率。

◆服務(wù)器負載均衡和基于內(nèi)容的路由，提高了應(yīng)用程序的速度，以及服務(wù)器資源利用率和應(yīng)用穩(wěn)定性。

◆數(shù)據(jù)壓縮功能提高了帶寬利用率和響應(yīng)時間。

◆實時數(shù)據(jù)分析提供了分析接口，幫助企業(yè)機構(gòu)組織分析來自多個載體與對各個地址位置的映射請求的Web應(yīng)用的使用情況。