《FortiWeb应用防火墙》由会员分享,可在线阅读,更多相关《FortiWeb应用防火墙(48页珍藏版)》请在金锄头文库上搜索。
1、构建安全WEB应用系统Fortiweb Fortinet SE Hunk yan议程Web威胁概述FortiWEB介绍Fortinet Web威胁防御技术FortiWeb产品线1234国内某银行门户案例5Web的发展网络安全事件类型分布数据来源:CNCERT/CC安全事件回顾WEB的开放性带来丰富资源、高效率、新工作方式的同时,传统网络边界正逐消失,机构的重要资产暴露在越来越多的威胁中。现今WEB安全问题对人们来说屡见不先,以下是收录于国际安全组织记录的安全事件1. 2009年5 月 26 日,法国移动运营商Orange France 提供照片管理的网站频道被曝存在SQL注入漏洞,黑客利用此漏
2、洞获取到245,000 条用户记录(包括E-mail、姓名及明文方式的密码)。2. 2009年1 月26 日,土耳其黑客采用 SQL 注入攻击,篡改了美国军方两台重要服务器的网页。 3. 2009年1月26日,印度驻西班牙使馆网站被挂马(通过iFrame攻击植入恶意代码)中国安全报告近期各类媒体(如新浪)对网页来自中国互联网网络安全报告篡改问题也进行了曝光,从侧面表明日前国内对该问题的关注度。 数据显示:网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。3511341%67%国内针对WEB攻击的法律法规发改委、公安部、国家保密局联合下 发通知,要求加强和规范国家电子政务工 程建
3、设项目信息安全风险评估工作。3部委要求,国家的电子政务网络、重 点业务信息系统、基础信息库以及相关支 撑体系等国家电子政务工程建设项目,必 须进行完整信息安全风险评估工作。 评估的主要内容包括:分析信息系统 资产的重要程度,评估信息系统面临的安 全威胁、存在的脆弱性、已有的安全措施 和残余风险的影响等电子政务项目涉密信息系统的信息安 全风险评估,由国家保密局涉密信息系统 安全保密测评中心承担。非涉密信息系统 的信息安全风险评估,由国家信息技术安 全研究中心、中国信息安全测评中心、公 安部信息安全等级保护评估中心等三家专 业测评机构承担中华人民共和国公安部令-第82号第九条 提供互联网信息服务的
4、单位除落实本 规定第七条规定的互联网安全保护技术措 施外,还应当落实具有以下功能的安全保 护技术措施:(一)在公共信息服务中发现、停止 传输违法信息,并保留相关记录;(二)提供新闻、出版以及电子公告 等服务的,能够记录并留存发布的信息内 容及发布时间(四)开办电子公告服务的,具有用 户注册信息和发布信息审计功能;(五)开办电子邮件和网上短信息服 务的,能够防范、清除以群发方式发送伪 造、隐匿信息发送者真实标记的电子邮件 或者短信息。(三)开办门户网站、新闻网站、 电子商务网站的,能够防范网站攻击 、网页被篡改,被篡改后能够自动恢 复;当前的Web威胁Web威胁”就是利用 Internet 对W
5、eb服务 执行各种恶意活动 ,如身份窃取、私 密信息窃取、带宽 资源占用等。面对Web威胁的快速 增长,传统的安全防 护技术对Web威胁越 来越感到无能为力几乎所有的Web威胁都 无法被防病毒软件发现层出不穷的WEB攻击修改系统获得信息渗透结束为什么应用系统系统中会存在那么多漏洞之一开发人员的重视程度大部分应用系统开发人员,关注的是客户对业务系统的应用需求,可用性需求,扩展性需求,甚至系统的维护便捷度都有很好的认识,但是对于系统的安全漏洞,如果客户不提起,开发人员并不重视为什么应用系统系统中会存在那么多漏洞之二客户对于应用系统的安全防护意识很多客户过于依赖传统的FW、IPS等安全设备,殊不知这
6、些传统的设备无法抵挡渗透者看似正常的访问。渗透者直接穿越FWIDS本身不阻止攻击深层的http渗透IPS无法识别为什么应用系统系统中会存在那么多漏洞之三HTTP协议缺陷HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制,http本身是短连接应用,client会同时发出很多链接进行http业务交互,很多渗透者可以利用这个缺陷进行cookie篡改及会话劫持攻击 等攻击动作。议程Web威胁概述FortiWeb介绍FortiWeb威胁防御技术FortiWeb产品线1234国内某银行门户案例5Fortinet (飞塔)公司概况l第一个基于ASIC硬件技术的多层安全技术提供商l专业网络安全厂商2000年
7、成立1100+名员工 / 超过500+名工程 技术人员发展最快的专业安全公司全球化的销售服务体系( 美国,欧洲,亚洲)全球装机量达45万多台l权威的安全认证6项ICSA认证25项专利技术,100多项待批专利技术最高级政府安全认证 (FIPS-2, Common Criteria EAL4+)80+ 安全行业认证美国病毒专业评测试VB 100认证 欧洲专业IPS安全评测NSS认证n 全球超过250,000 客户n 全球最大电信安全管理服务提供商n 遍及政府、教育、 电信,金融,医疗 能源,及零售机构分布全球各行业的客户举例全球金融业界部分客户在美国的部分认证众多国内安全获奖 国家公安部 国家反病
8、毒认证试验室 计算机世界 中国计算机报 网络世界FortiWeb多功能Web应用平台 访问控制:用来控制对访问控制:用来控制对WebWeb应用的访问,既包括主动安全模应用的访问,既包括主动安全模 式也包括被动安全模式式也包括被动安全模式 WEB应用加固:保护Web应用的安全性,它不仅能够屏蔽 WEB应用固有弱点,而且能够保护WEB应用编程错误导致的 安全隐患,抵御各种注入、跨站攻击 应用加速 对基于Web的内容进行加速并保证及时发送 审计功能:用来截获所有HTTP数据,按照法律规范或客户定 制规范回复数据给客户The FortiFamily Seurity SolutionWEB SERVER
9、DATABASE硬件加速 Web应用防火墙 XML “UTM” 负载均衡 SSL Offload 多个保护内容表漏洞扫描 监控和审计 支持多数据库硬件加速 虚拟域 网络防火墙 VPN 内容检查 UTM解决方案NETWORKEMAIL SERVER透明模式部署 无用户数限制 统一邮件归档 全球最大anti-spam DATABASE 内置邮件服务器议程Web威胁概述FortiWeb介绍FortiWeb威胁防御技术FortiWeb产品线1234国内某银行门户案例5国内某省教委案例6FortiWeb功能Web应用防火墙技术 签名库及模板检测引擎 基于阈值的限制 会话管理及流强制 自定义输入参数验证规
10、则 参数、表单篡改及表单或元数据验 证 威胁防御 跨站脚本 SQL及OS命令注入 HTTP请求走私 缓存溢出 远程文件包含攻击 编码攻击 Cookie篡改/中毒 会话劫持 中断访问控制 强制浏览/目录遍历/站点侦察 /Google Hacking OWASP Top 10XML防火墙技术 基于内容的XML路由 XML防火墙 XML IPS XML Schema验证 WSDL 检查 XML 表现式限制 源IP策略威胁防御 SQL 注入 缓存溢出 拒绝服务攻击 Schema中毒 XML参数篡改 WSDL扫描 超大负载 递归负载 外部实体攻击应用加速HTTPS Offload TCP优化 XML安全
11、验证offload XML加/解密处理offload 负载均衡 最大限度提高Web应用及服 务的有效性FortiWeb 签签名库库技术术由全球Fortiguard维护,发现漏洞后,自动更新签名库规则,维护 简单,内置6000条HTTP访问规则,对于传统WEB应用程序,即使 维护团队不再,仍可以得到防护。FortiWeb 强制规则规则FortWEB可对受保护的WEB站点进行URL级别控制,针对各种页面定制个性化规则,支持 条自定义页面规则5000-8000网页上未加限制的字符输 入框,容易受到脚本及注 入攻击FortiWeb 页页面规则规则定义义FortWEB针对电子商务类型需要强制用户访问顺序
12、的Web站点,可以根据 Web应用定义远程客户访问顺序,抵御强制攻击FortiWeb 黑白名单单FortWEB可以灵活生成黑白名单,针对个别网页实施独立策略FortiWeb 防御暴力破解FortWEB可以针对指定网页的访问频率,超过阈值将被阻止,有效的防止 渗透者对关键页面暴力破解。FortiWeb 防止网站被恶恶意抓取 设置来自单个IP或多个IP的Robot程序的访问频率,超 过阈值将被阻止(保护网站资源)Syn Flood攻击防御 通过Syn Cookier技术高效防御Syn Flood攻击自学习功能根据自学习结果,自 动生成配置学习到的网站结构网页各项参数网络防篡改FortiWeb可以发
13、现被入侵或篡改的网页 被篡改的网页可以自动或手动恢复FortiWeb 实现实现高可用性FortWEB具备完整的负载均衡功能可对WEB服务器实现高可用性,并行处理, 充分提供服务器群的冗余,和相应速度。FortiWeb 安全加密FortiWeb可对原有明文HTTP流量进行SSL加密,SSL加密密钥支持内置及客户 自生成证书,服务器运行原有HTTP业务,由FortWEB “装载”了SSL协商过 ,此过程FortiASIC CP6 芯片进行SSL的加/解密运算,Web ServersClientHTTPSSSL ComputationFortiWeb TCP MultiplexingWeb Serv
14、erClientsPersistent TCP connectionHTTP/HTTPS在FortiWEB上维持和客户端的大量连接,而在FortiWEB和 服务器之间建立少量常开的连接 最小化TCP会话的建立,减少服务器的资源消耗,提高服务器 的处理性能。 针对国际链路以及延迟较大的Internet链路,TCP复用可以提 升服务器与客户端的响应速度FortiWeb 业界 XML防火墙唯一 FortiWeb XML防火墙功能FortiWeb XML保护护机制技术描述保护 FortiWebSchema病毒操纵XML Schema改变处理信 息通过依靠信任的WSDL文档和 XML Schema防御S
15、chema病毒保护内容表中的Schema病毒 选项可阻止使用外部 schema 引用XML 参数篡改恶意脚本或内容注入到请求参 数中参数值验证确保参数与WSDL 和XML Schema中指定的一致保护内容表中Schema验证无意造成的 XML DoS错误的SOAP编码消息造成应 用程序失效根据WSDL、XML Schema和入 侵保护规则,内容检查确保 SOAP消息正确构建保护内容表中的Schema验证 、WSDL确认及入侵保护规则 外部实体攻击从非信任源解析XML输入的应 用程序上的攻击禁止外部URI引用,防御恶意 数据源和程序,依靠已知的和 经认证的URI同 Schema病毒SQL注入SQ
16、L注入使命令在数据库中直 接执行,实现未经认证的数据 读取及更改依靠不健康词汇搜索、限制性 的上下文关联过滤及数据验证 技术XML保护内容表选项从XML文 档中过滤SQL处理WSDL扫描扫描WSDL接口可能暴露调用 模板等敏感信息、底层技术及 相关漏洞Web服务伪装可对客户隐藏 Web服务真实的位置可基于每IP/时间配置WSDL扫 描选项及过滤服务功能FortiWeb 业业界高性能WAFWAF作为安全设备部署在WEB服务器前,大部分用户关心的是对于攻击防护的 能力,但如果inline模式部署,WAF本身的转发性能确是客户首先要关心的事情, Fortiweb经由SMARTBIT测试,64b-256b转发能力均达到设备标称指标。Other Vendors Perfor
