一、Web应用安全需求特点
1.完整解析
传统的网络防火墙设备,主要工作在OSI模型三、四层,基于IP报文进行检测。其产品设计无需理解HTTP会话,也就无法理解Web应用程序语言如HTML、SQL。因此,不能对HTTP通讯进行输入验证或攻击规则分析。针对Web网站的恶意攻击绝大部分都将封装为HTTP请求,从80或443端口顺利通过防火墙检测。
一些定位比较综合、提供丰富功能的防火墙,也具备一定程度的应用层防御能力,如能根据TCP会话异常性及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中,但从根本上说他仍然无法理解HTTP会话,难以应对如SQL注入、跨站脚本、cookie窃取、网页篡改等应用层攻击。
◆网络防火墙检测网络攻击
◆检查IP地址和端口
◆IPS 只能检测到已知攻击
◆规避这种检测方法是非常可能的
◆无法保护SSL流量
◆不能真正理解HTTP(如:HTTP头,参数等等)
◆没有应用识别能力
◆无法识别用户
◆误判率较高
要做到真正的Web应用交付安全防护,首先要做到的就是理解HTTP,因此不仅是识别IP、端口、HTTP header一部分、而是要解析整个HTTP报文、理解HTTP交互过程、参与整个HTTP的交互处理,解析和识别HTTPS中的加密数据,只有满足这样的首要前提之后,才有可能做到Web应用安全的真正防护。
2.双向防御
不仅能识别和拦截黑客正向发起的HTTP请求方向的攻击,还要能对服务器返回报文中的服务器敏感信息进行过滤和擦除。
3.延迟小
Web防护引用就会引入应用交付的延迟,造成应用业务的处理效率下降,尤其是对于HTTPS来说还需要对HTTP数据有一个加解密的过程,因此安全防御设备的HTTPS的加解密处理是一个不小的挑战,要尽量减少对Web应用交付的延迟影响。
4.应用DDoS防御
传统的四层DDoS防御机制无法对应用DDoS进行防御,HTTP从0.9-1.0-1.1三个版本,版本之间已经发生了较大变化,对于应用访问层面1.1和以前的版本最明显的区别就是"网络连接的使用"。HTTP 0.9和HTTP1.0中客户端每次发起的请求都是不同的源端口,而HTTP1.1中允许在同一个TCP连接中发起多次请求(源端口、源ip、目的ip、目的端口均不变),这样传统的基于IP和TCP连接数限制如Syn Flood攻击的DDoS防御机制无法识别在同一个TCP中发起多次请求的类似攻击,因此需要有新的应用DDoS防御机制来对这种攻击进行。
5.可扩展性
随着Web应用业务的增加,Web服务器性能要求越来越大,Web数据量会不断增大,要求Web安全防护性能也提供相应的扩展性。#p#
二、Fortinet应用交付安全解决方案
为了满足Web应用安全的需要,Fortinet自主研发了专业级的WAF(Web Application Firewall)-FortiWeb,通过智能自学习功能和FortiGuard攻击签名库实现未知攻击(又叫0day攻击)和已知攻击的有效拦截,除此之外FortiWeb提供了漏洞评估、网页防篡改功能,最终实现事前进行Web应用安全评估,事中实时监控拦截,事后恢复三维立体化的全方位应用交付安全解决方案。在应用交付效率方面,FortiWeb集成FortiASIC硬件芯片加速技术和TCP连接复用软件优化技术,实现服务器的SSL卸载减少TCP并发压力,减轻服务器的负载从而实现加速应用交付,极大的提高了应用交付效率。
(一)、灵活部署、易于管理
1、FortiWeb多种灵活部署模式
为了适应客户的不同规模及各种复杂的环境,提供了四种灵活的部署模式:透明检测、纯粹透明代理、反向代理、离线检测。
二层-透明检测和纯粹透明代理
易于部署-对现有网络结构物任何影响,实现完全透明无缝接入
出现故障时实现硬件BYPASS
反向代理
支持更改请求和响应内容
提供高级URL重写功能
HTTPS卸载
强大的HTTP负载均衡功能
离线检测- SPAN port
零网络延迟Zero network latency
使用TCP reset进行拦截攻击
非侵入性网络部署,产品评估理想部署模式
2、高可用性
为了满足用户对Web安全高可用性及冗余性的需求,FortiWeb提供了A/P(主备HA)及A/A(双A)两种高可用性的解决方案。
3、实时仪表盘
FortiWeb沿用了FortiGate直观简单易懂便于操作的众多优点提供直观、实时的仪表盘让客户轻松查看设备运行状态、实时掌握安全现状
◆每个应用的流量监控
◆每个攻击事件的历史记录
◆最新的告警
◆设备状态
4、数据分析
FortiWeb提供了宏观数据分析功能,Data Analytics - Geo IP 分析&安全
◆基于客户端访问所在的地域来分析Web访问情况
◆根据点击率,访问数据及攻击类型进行详细分析
◆直接在地图上右键禁止某个国家或者地区的用户访问被保护的网站
◆可以以地图或者列表的方式显示出来
◆提供图形化的界面,可帮助组织了解应用的发展趋势,无论是从用户和服务器的角度
5、FortiAnalyzer集中管理平台
FortiWeb可以结合FortiAnalyzer集中管理平台实现集中日志分析,并生成相应的分析报告
(二)、Web应用安全防护及监控
Web应用安全防护是一项极其考验管理员耐心和技术的工作,即使管理员技术可以到达要求,通过手动方式进行应用安全加固和防护,那么需要通过手动方式实现:
◆手动定义每个URL,目录,参数,字段长度和类型
◆为动态内容,JavaScript,XML等等配置正则表达式进行过滤
◆不断更新白名单
要达到以上目的,首先管理员需要理解被保护的应用程序(应用程序架构:URL、参数、方法)、什么是正确的输入,什么是异常输入;了解流行的攻击方法,工具和应用程序漏洞,区分应用程序的变化,人为错误和真正的攻击之间的不同之处,还有应用DDOS攻击等等这对于普通的管理员来说几乎无法完成的任务。FortiWeb通过智能学习来防御未知攻击,7*24小时的全球FortiGuard云网络进行实时攻击库更新来对已知攻击进行有效拦截,通过网络/应用DDoS防御功能及FortiGuardIP信誉库有效结合来拦截僵尸网络,木马主机等发起的网络及应用DDoS攻击。
1、FortiWeb自学习模式
FortiWeb通过自学习模块理解应用结构从实际流量中学习到各种元素,建立URLs,参数,HTTP方法等正常基线,从而自动了解访问者的行为如:表单字段/参数能否被用户修改?表单每个字段的是什么类型?长度是多少?可以接受什么样的字符?一个表单字段是必须的还是可选的?并且提供相应的建议和图表分析,为企业自动建立量身定做的保护策略,防御未知攻击,增加保护力度,减少误判发生。
2、常见Web攻击防护
FortiWeb提供了跨站攻击、SQL注入、缓冲区溢出、远程文件包含、拒绝服务,cookie中毒、schema中毒、和众多的其他已知攻击的威胁,保证Web应用程序的安全性并保护敏感的数据库内容及Web服务器相关信息如操作系统类型、版本,Web应用软件类型及版本等。对于每一个攻击特征都提供了相应的攻击实例及注释,有利于管理员理解和认识各种攻击,使管理员对于拦截的攻击有一个正确的判断。
FortiWeb通过强大的24×7×365的FortiGuard实时全球智能分析系统对攻击特征进行实时更新。
3、FortiWeb 基于应用和网络的DoS/DDoS防护
FortiWeb提供了网络DDoS防护和专业的应用层DDoS防护功能,包含了各种精细化控制,从而可以满足各种Web应用场景下产生的DDoS攻击行为,同时还提供了FortiGuard IP信誉库防止一些僵尸网络,匿名代理,垃圾发起源等恶意IP的攻击。
◆基于用户的不同特征来分析请求数据如IP和Cookie
◆通过复杂的机制综合判断这些请求是真正的用户请求还是自动工具的攻击 (HOIC, LOIC tools)
4、文件上传限制和病毒扫描
FortiWeb可以对上传文件的类型进行限制,并对上传文件进行木马、病毒扫描,病毒库由FortiGuard Antivirus服务7*24小时实时更新。
(三)、加速应用交付
1、网络和应用加速
FortiWeb集成ASIC硬件芯片加速及硬件Bypass,对服务器性能影响较大的SSL加解密运算通过Fortinet自主研发的CP7芯片实现SSL卸载,减少服务器的性能消耗,从而达到优化服务器处理性能的作用。
FortiASIC 的CP7可以实现:
◆基于硬件的密钥交换和大量加解密运算
◆建立SSL处理
◆完整的证书管理
◆高级认证的验证和撤销功能
TCP连接复用
TCP连接复用技术通过将前端多个客户的HTTP请求复用到后端与服务器建立的一个TCP连接上。这种技术能够大大减小服务器的性能负载,减少与服务器之间新建TCP连接所带来的延时,并最大限度的降低客户端对后端服务器的并发连接数请求,减少服务器的资源占用。
2、数据压缩
数据压缩通过对内容进行优化压缩,以尽量减少对网络资源和降低应用交付延迟的影响。
将从服务器取回的数据进行压缩,实现高效的带宽利用率和响应时间。压缩率取决于数据的类型和字符冗余度。
3、负载均衡
FortiWeb支持HTTP/HTTPS智能7层应用负载分担,并提供了丰富的负载均衡算法(轮循、权重轮循、最少连接、基于HTTP会话轮循),可以灵活设置连接超时时间、服务器健康检查及Web Services负载均衡。
灵活的健康检查
◆物理服务器检查支持HTTPS, HTTP, TCP, Ping
◆支持利用正则表达式进行内容健康检查
Web Services负载均衡
◆WSDL 或者内容路由
4、高级重写功能
FortiWeb为满足用户对应用交付的高级需求提供了高级重写功能包含:
◆基于ip、host、URL内容路由
◆基于host、URL、Reference等HTTP参数的重写和重定向功能
◆重写服务器返回给客户的信息
(四)、专业的漏洞评估
漏洞评估功能可以轻松扫描你的应用程序Web漏洞如常见漏洞、SQL 注入、跨站攻击、源码泄露、OS 命令漏洞,为用户提供了增强型/标准模式及认证选项,并提供精细控制扫描范围选项允许用户指定扫描范围如网站的某个特定目录。用户还可以设定时间进行周期扫描或根据需要进行手动扫描扫描。
FortiWeb提供了专业的漏洞评估报告,报告内容包含:
◆扫描摘要
◆根据漏洞严重等级分类
◆根据攻击种类分类
◆应用程序漏洞
◆常见漏洞
服务器信息
◆扫描引起收集的信息
◆接受输入的URLs
◆外部链接
评估报告支持通过邮件自动发送至管理员邮箱,漏洞扫描特征通过FortiGuard不断更新,从而帮助客户满足PCI DSS 6.6相关要求。
(五)、网页防篡改
FortiWeb除了提供WAF必备的功能之外,还提供了网页防篡改功能,防止黑客通过其他方法获得服务器相应权限并对服务器上的网站进行破坏,一旦网站页面被人篡改,将对其进行自动恢复,并发出邮件告警通知管理员。
(六)、Fortinet应用交付安全解决方案优势
FortiWeb是一款保护、负载平衡与加速Web应用、数据库之间信息交换的Web应用层防火墙。无论是对大型企业、服务供应商、或云服务提供商,提供应用程序的保护,FortiWeb设备将会大大缩短部署时间,并简化安全管理。FortiWeb 是通过ICSA认证的Web应用防火墙。ISCA实验室Web应用防火墙认证的取得,标明FortiWeb具有业界最高的安全标准,以及业界用户Web应用安全需求部署的最佳优势。
◆FortiWeb是唯一能够提供全面的遵从PCI DSS(支付卡交付规定)6.6要求的具有漏洞扫描模块的Web应用防火墙。
◆FortiWeb设备阻断如跨站点脚本、SQL注入、缓冲区溢出、远程文件包含、拒绝服务,cookie中毒、schema中毒、和无数的其他攻击的威胁,保证Web应用程序的安全性并防止敏感的数据库内容及Web服务器信息外泄。
◆防御OWASP 10大Web应用漏洞攻击,从而协助实现PCI DSS 6.6合规。
◆自动与动态的用户活动状态检测,建立允许会话的基线,为企业提供量身定做的保护策略。
◆基于应用与网络的DDoS策略配置,通过复杂的机制综合判断精准识别和拦截应用DDoS攻击,加上强大的全球化FortiGuard IP信誉功能可以以最高的效率拦截所有恶意的攻击行为。
◆SSL加密协同处理加速应用交付;卸载加密功能,减少了Web服务器的CPU,内存等资源的消耗,增加了服务器处理效率。
◆服务器负载均衡和基于内容的路由,提高了应用程序的速度,以及服务器资源利用率和应用稳定性。
◆数据压缩功能提高了带宽利用率和响应时间。
◆实时数据分析提供了分析接口,帮助企业机构组织分析来自多个载体与对各个地址位置的映射请求的Web应用的使用情况。
