一、Web應用安全需求特點

1.完整解析

傳統的網絡防火墻設備，主要工作在OSI模型三、四層，基于IP報文進行檢測。其產品設計無需理解HTTP會話，也就無法理解Web應用程序語言如HTML、SQL。因此，不能對HTTP通訊進行輸入驗證或攻擊規(guī)則分析。針對Web網站的惡意攻擊絕大部分都將封裝為HTTP請求，從80或443端口順利通過防火墻檢測。

一些定位比較綜合、提供豐富功能的防火墻，也具備一定程度的應用層防御能力，如能根據TCP會話異常性及攻擊特征阻止網絡層的攻擊，通過IP分拆和組合也能判斷是否有攻擊隱藏在多個數據包中，但從根本上說他仍然無法理解HTTP會話，難以應對如SQL注入、跨站腳本、cookie竊取、網頁篡改等應用層攻擊。

??

◆網絡防火墻檢測網絡攻擊

◆檢查IP地址和端口

◆IPS 只能檢測到已知攻擊

◆規(guī)避這種檢測方法是非常可能的

◆無法保護SSL流量

◆不能真正理解HTTP(如：HTTP頭，參數等等)

◆沒有應用識別能力

◆無法識別用戶

◆誤判率較高

要做到真正的Web應用交付安全防護，首先要做到的就是理解HTTP，因此不僅是識別IP、端口、HTTP header一部分、而是要解析整個HTTP報文、理解HTTP交互過程、參與整個HTTP的交互處理，解析和識別HTTPS中的加密數據，只有滿足這樣的首要前提之后，才有可能做到Web應用安全的真正防護。

2.雙向防御

不僅能識別和攔截黑客正向發(fā)起的HTTP請求方向的攻擊，還要能對服務器返回報文中的服務器敏感信息進行過濾和擦除。

3.延遲小

Web防護引用就會引入應用交付的延遲，造成應用業(yè)務的處理效率下降，尤其是對于HTTPS來說還需要對HTTP數據有一個加解密的過程，因此安全防御設備的HTTPS的加解密處理是一個不小的挑戰(zhàn)，要盡量減少對Web應用交付的延遲影響。

4.應用DDoS防御

傳統的四層DDoS防御機制無法對應用DDoS進行防御，HTTP從0.9-1.0-1.1三個版本，版本之間已經發(fā)生了較大變化，對于應用訪問層面1.1和以前的版本最明顯的區(qū)別就是"網絡連接的使用"。HTTP 0.9和HTTP1.0中客戶端每次發(fā)起的請求都是不同的源端口，而HTTP1.1中允許在同一個TCP連接中發(fā)起多次請求（源端口、源ip、目的ip、目的端口均不變），這樣傳統的基于IP和TCP連接數限制如Syn Flood攻擊的DDoS防御機制無法識別在同一個TCP中發(fā)起多次請求的類似攻擊，因此需要有新的應用DDoS防御機制來對這種攻擊進行。

5.可擴展性

隨著Web應用業(yè)務的增加，Web服務器性能要求越來越大，Web數據量會不斷增大，要求Web安全防護性能也提供相應的擴展性。#p#

二、Fortinet應用交付安全解決方案

為了滿足Web應用安全的需要，Fortinet自主研發(fā)了專業(yè)級的WAF（Web Application Firewall）-FortiWeb，通過智能自學習功能和FortiGuard攻擊簽名庫實現未知攻擊(又叫0day攻擊)和已知攻擊的有效攔截，除此之外FortiWeb提供了漏洞評估、網頁防篡改功能，最終實現事前進行Web應用安全評估，事中實時監(jiān)控攔截，事后恢復三維立體化的全方位應用交付安全解決方案。在應用交付效率方面，FortiWeb集成FortiASIC硬件芯片加速技術和TCP連接復用軟件優(yōu)化技術，實現服務器的SSL卸載減少TCP并發(fā)壓力，減輕服務器的負載從而實現加速應用交付，極大的提高了應用交付效率。

（一）、靈活部署、易于管理

1、FortiWeb多種靈活部署模式

為了適應客戶的不同規(guī)模及各種復雜的環(huán)境，提供了四種靈活的部署模式：透明檢測、純粹透明代理、反向代理、離線檢測。

??

二層-透明檢測和純粹透明代理

易于部署-對現有網絡結構物任何影響，實現完全透明無縫接入

出現故障時實現硬件BYPASS

反向代理

支持更改請求和響應內容

提供高級URL重寫功能

HTTPS卸載

強大的HTTP負載均衡功能

離線檢測- SPAN port

零網絡延遲Zero network latency

使用TCP reset進行攔截攻擊

非侵入性網絡部署，產品評估理想部署模式

2、高可用性

為了滿足用戶對Web安全高可用性及冗余性的需求，FortiWeb提供了A/P（主備HA）及A/A（雙A）兩種高可用性的解決方案。

3、實時儀表盤

FortiWeb沿用了FortiGate直觀簡單易懂便于操作的眾多優(yōu)點提供直觀、實時的儀表盤讓客戶輕松查看設備運行狀態(tài)、實時掌握安全現狀

◆每個應用的流量監(jiān)控

◆每個攻擊事件的歷史記錄

◆最新的告警

◆設備狀態(tài)

4、數據分析

FortiWeb提供了宏觀數據分析功能，Data Analytics - Geo IP 分析&安全

◆基于客戶端訪問所在的地域來分析Web訪問情況

◆根據點擊率，訪問數據及攻擊類型進行詳細分析

◆直接在地圖上右鍵禁止某個國家或者地區(qū)的用戶訪問被保護的網站

◆可以以地圖或者列表的方式顯示出來

◆提供圖形化的界面，可幫助組織了解應用的發(fā)展趨勢，無論是從用戶和服務器的角度

??

??

5、FortiAnalyzer集中管理平臺

FortiWeb可以結合FortiAnalyzer集中管理平臺實現集中日志分析，并生成相應的分析報告

??

（二）、Web應用安全防護及監(jiān)控

Web應用安全防護是一項極其考驗管理員耐心和技術的工作，即使管理員技術可以到達要求，通過手動方式進行應用安全加固和防護，那么需要通過手動方式實現：

◆手動定義每個URL,目錄,參數,字段長度和類型

◆為動態(tài)內容，JavaScript,XML等等配置正則表達式進行過濾

◆不斷更新白名單

要達到以上目的，首先管理員需要理解被保護的應用程序（應用程序架構：URL、參數、方法）、什么是正確的輸入，什么是異常輸入；了解流行的攻擊方法，工具和應用程序漏洞，區(qū)分應用程序的變化，人為錯誤和真正的攻擊之間的不同之處，還有應用DDOS攻擊等等這對于普通的管理員來說幾乎無法完成的任務。FortiWeb通過智能學習來防御未知攻擊，7*24小時的全球FortiGuard云網絡進行實時攻擊庫更新來對已知攻擊進行有效攔截，通過網絡/應用DDoS防御功能及FortiGuardIP信譽庫有效結合來攔截僵尸網絡，木馬主機等發(fā)起的網絡及應用DDoS攻擊。

1、FortiWeb自學習模式

FortiWeb通過自學習模塊理解應用結構從實際流量中學習到各種元素，建立URLs，參數，HTTP方法等正常基線，從而自動了解訪問者的行為如：表單字段/參數能否被用戶修改？表單每個字段的是什么類型？長度是多少？可以接受什么樣的字符?一個表單字段是必須的還是可選的？并且提供相應的建議和圖表分析，為企業(yè)自動建立量身定做的保護策略，防御未知攻擊，增加保護力度，減少誤判發(fā)生。

??

??

2、常見Web攻擊防護

FortiWeb提供了跨站攻擊、SQL注入、緩沖區(qū)溢出、遠程文件包含、拒絕服務，cookie中毒、schema中毒、和眾多的其他已知攻擊的威脅，保證Web應用程序的安全性并保護敏感的數據庫內容及Web服務器相關信息如操作系統類型、版本，Web應用軟件類型及版本等。對于每一個攻擊特征都提供了相應的攻擊實例及注釋，有利于管理員理解和認識各種攻擊，使管理員對于攔截的攻擊有一個正確的判斷。

??

FortiWeb通過強大的24×7×365的FortiGuard實時全球智能分析系統對攻擊特征進行實時更新。

3、FortiWeb 基于應用和網絡的DoS/DDoS防護

FortiWeb提供了網絡DDoS防護和專業(yè)的應用層DDoS防護功能，包含了各種精細化控制，從而可以滿足各種Web應用場景下產生的DDoS攻擊行為，同時還提供了FortiGuard IP信譽庫防止一些僵尸網絡，匿名代理，垃圾發(fā)起源等惡意IP的攻擊。

◆基于用戶的不同特征來分析請求數據如IP和Cookie

◆通過復雜的機制綜合判斷這些請求是真正的用戶請求還是自動工具的攻擊 (HOIC, LOIC tools)

4、文件上傳限制和病毒掃描

FortiWeb可以對上傳文件的類型進行限制，并對上傳文件進行木馬、病毒掃描，病毒庫由FortiGuard Antivirus服務7*24小時實時更新。

（三）、加速應用交付

1、網絡和應用加速

FortiWeb集成ASIC硬件芯片加速及硬件Bypass，對服務器性能影響較大的SSL加解密運算通過Fortinet自主研發(fā)的CP7芯片實現SSL卸載，減少服務器的性能消耗，從而達到優(yōu)化服務器處理性能的作用。

FortiASIC 的CP7可以實現：

◆基于硬件的密鑰交換和大量加解密運算

◆建立SSL處理

◆完整的證書管理

◆高級認證的驗證和撤銷功能

TCP連接復用

TCP連接復用技術通過將前端多個客戶的HTTP請求復用到后端與服務器建立的一個TCP連接上。這種技術能夠大大減小服務器的性能負載，減少與服務器之間新建TCP連接所帶來的延時，并最大限度的降低客戶端對后端服務器的并發(fā)連接數請求，減少服務器的資源占用。

2、數據壓縮

數據壓縮通過對內容進行優(yōu)化壓縮，以盡量減少對網絡資源和降低應用交付延遲的影響。

將從服務器取回的數據進行壓縮，實現高效的帶寬利用率和響應時間。壓縮率取決于數據的類型和字符冗余度。

3、負載均衡

FortiWeb支持HTTP/HTTPS智能7層應用負載分擔，并提供了豐富的負載均衡算法（輪循、權重輪循、最少連接、基于HTTP會話輪循），可以靈活設置連接超時時間、服務器健康檢查及Web Services負載均衡。

靈活的健康檢查

◆物理服務器檢查支持HTTPS, HTTP, TCP, Ping

◆支持利用正則表達式進行內容健康檢查

Web Services負載均衡

◆WSDL 或者內容路由

4、高級重寫功能

FortiWeb為滿足用戶對應用交付的高級需求提供了高級重寫功能包含：

◆基于ip、host、URL內容路由

◆基于host、URL、Reference等HTTP參數的重寫和重定向功能

◆重寫服務器返回給客戶的信息

（四）、專業(yè)的漏洞評估

漏洞評估功能可以輕松掃描你的應用程序Web漏洞如常見漏洞、SQL 注入、跨站攻擊、源碼泄露、OS 命令漏洞，為用戶提供了增強型/標準模式及認證選項,并提供精細控制掃描范圍選項允許用戶指定掃描范圍如網站的某個特定目錄。用戶還可以設定時間進行周期掃描或根據需要進行手動掃描掃描。

FortiWeb提供了專業(yè)的漏洞評估報告，報告內容包含：

◆掃描摘要

◆根據漏洞嚴重等級分類

◆根據攻擊種類分類

◆應用程序漏洞

◆常見漏洞

服務器信息

◆掃描引起收集的信息

◆接受輸入的URLs

◆外部鏈接

評估報告支持通過郵件自動發(fā)送至管理員郵箱，漏洞掃描特征通過FortiGuard不斷更新，從而幫助客戶滿足PCI DSS 6.6相關要求。

??

（五）、網頁防篡改

FortiWeb除了提供WAF必備的功能之外，還提供了網頁防篡改功能，防止黑客通過其他方法獲得服務器相應權限并對服務器上的網站進行破壞，一旦網站頁面被人篡改，將對其進行自動恢復，并發(fā)出郵件告警通知管理員。

（六）、Fortinet應用交付安全解決方案優(yōu)勢

FortiWeb是一款保護、負載平衡與加速Web應用、數據庫之間信息交換的Web應用層防火墻。無論是對大型企業(yè)、服務供應商、或云服務提供商，提供應用程序的保護，FortiWeb設備將會大大縮短部署時間，并簡化安全管理。FortiWeb 是通過ICSA認證的Web應用防火墻。ISCA實驗室Web應用防火墻認證的取得，標明FortiWeb具有業(yè)界最高的安全標準，以及業(yè)界用戶Web應用安全需求部署的最佳優(yōu)勢。

◆FortiWeb是唯一能夠提供全面的遵從PCI DSS（支付卡交付規(guī)定）6.6要求的具有漏洞掃描模塊的Web應用防火墻。

◆FortiWeb設備阻斷如跨站點腳本、SQL注入、緩沖區(qū)溢出、遠程文件包含、拒絕服務，cookie中毒、schema中毒、和無數的其他攻擊的威脅，保證Web應用程序的安全性并防止敏感的數據庫內容及Web服務器信息外泄。

◆防御OWASP 10大Web應用漏洞攻擊，從而協助實現PCI DSS 6.6合規(guī)。

◆自動與動態(tài)的用戶活動狀態(tài)檢測，建立允許會話的基線，為企業(yè)提供量身定做的保護策略。

◆基于應用與網絡的DDoS策略配置，通過復雜的機制綜合判斷精準識別和攔截應用DDoS攻擊，加上強大的全球化FortiGuard IP信譽功能可以以最高的效率攔截所有惡意的攻擊行為。

◆SSL加密協同處理加速應用交付；卸載加密功能，減少了Web服務器的CPU，內存等資源的消耗，增加了服務器處理效率。

◆服務器負載均衡和基于內容的路由，提高了應用程序的速度，以及服務器資源利用率和應用穩(wěn)定性。

◆數據壓縮功能提高了帶寬利用率和響應時間。

◆實時數據分析提供了分析接口，幫助企業(yè)機構組織分析來自多個載體與對各個地址位置的映射請求的Web應用的使用情況。