数据中心Web应用安全解决方案

数据中心

Web应用安全解决方案

Fortinet.inc 2012年4月20日

Web应用安全解决方案

目 录

1. Web应用安全现状分析 ................................................................................................................................... 3 2. IPS无法识别和阻断Web应用层行为攻击..................................................................................................... 4 3. WAF可以实现对Web应用层攻击的全面分析和阻断 .................................................. 错误！未定义书签。 4. FortiWeb 提供IDC数据中心Web应用安全解决方案 ............................................................................... 5 4.1. 5.1. 5.2. 5.3. 5.4. 5.5. 5.6.

Web应用安全解决方案拓扑 .......................................................................................................................... 5 灵活部署的部署方式 ........................................................................................................................................ 6 防御已知Web攻击 ......................................................................................................................................... 8 未知Web攻击防御 ......................................................................................................................................... 8 智能动态学习、自动建模功能 ........................................................................................................................ 9 应用交付加速 .................................................................................................................................................... 9 先进的DDOS防御 .......................................................................................................................................... 9

5. FortiWeb产品简介 ......................................................................................................................................... 6

6. FortiWeb综述 ................................................................................................................................................11

本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。

Web应用安全解决方案

1. Web应用安全现状分析

随着互联网及计算机技术的高速发展，计算机已经几乎进入每个家庭，人们生活方式发生了重大改变，出现了宅男、宅女、网购、在线电影、在线音乐、在线聊天、在线视频、在线网银、在线营业厅等等时髦的生活娱乐方式，尤其以Web形式占到了主要份额，Web以其丰富多样的表现形式、易操作性、强大实用功能得到了广泛的应用，从日常生活中的交水电费、电话费到在线订购车票、在线转账汇款、在线购物、在线娱乐、再到工作时使用的OA、CMS、Wiki等等涉及到了人们生活的方方面面，已经和每个人密不可分，已经成为了一个民生问题。

近年来安全事件的频繁爆发引起人们关注甚至是恐慌，网站类攻击比例在所有安全事件中所占比重越来越大，网站安全攻击事件的爆发引起全民高度关注，究其原因有两方面： 与快速的Web应用发展速度相比，Web应用安全意识及技术发展较为滞后，我们很多的网络安全人员还停留在传统的网络安全时代，认为传统的网络防火墙和IPS就可以解决一切安全威胁。

对于IDC数据中心来说，服务器托管业务为其主要业务而Web服务器在其中占有较大比例，而Web服务器安全出现问题直接导致用户的满意度下滑，也就会严重影响数据中心的业绩。在市场竞争如此激烈的今天，客户的满意度直接决定公司的未来发展态势，因此加强服务器安全防护，拓展服务器托管的增值业务，对提高公司整体竞争力有着重要的战略意义。

本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。

Web应用安全解决方案

2. 传统IPS设备和WAF应用防火墙的区别

传统IPS防攻击原理：获得数据包，进行报文重组，利用协议分析器将数据包进行分析，提取出报文中关键特征，然后将所提取的报文特征与IPS攻击特征库进行对比，检验是否存在可以匹配的特征，换句话说就是将提取的关键字与IPS特征库中类正则特征表达式进行匹配测试，一旦匹配成功就判断为攻击，进而实施阻断。

综述：IPS是基于包检测，只能针对已知多种协议（包括HTTP、FTP、smtp等）的攻击类型进行基于关键字的特征匹配，而对于HTTPS的加密数据和基于行为的攻击，无法进行综合智能分析识别，因此就无法拦截Web应用层行为攻击，无法拦截HTTPS加密数据中的已知攻击和未知攻击。

WAF应用层安全防御工作原理:通过Web应用代理工作模式，针对特定待保护IP地址的HTTP/HTTPS事务交互内容进行状态记录和全面分析，如可以记录每个服务器网站上的Host（域名），每个Web页面（如所访问的网站的URL），Web页面之间所传递的变量名称及变量值（如 数据输入框的值），访问整个网站及每个页面的客户端IP地址、所使用的Cookies、会话状态、访问次数等。

综述：因此WAF是全面防护HTTP/HTTPS攻击的Web应用防火墙，不仅可以拦截已知类型的Web攻击，还可以防止用户提交非法数据到后台服务器、限制对指定URL的访问及认证，并对用户访问网站的所有行为进行全面记录和分析，防止基于用户行为的攻击如出现于Web应用中的CC攻击，对特定页面的暴力破解等。

本文档内容涉及客户网站秘密，不得以任何形式披露、传播或扩散。