Обычный фаервол контролирует трафик на сетевом, канальном и сеансовом уровнях модели OSI. Он защищает локальную предприятия, отделяя ее от Интернета.

Но веб-приложениям необходим для работы доступ и к внутренней сети, и к Интернету. Если фаервол начнет контролировать трафик от приложений, то нарушит их работу. Для такого контроля необходим Web Application Firewall (WAF) — фаервол веб-приложений.

WAF проверяет трафик между веб-ресурсом и Интернетом на прикладном уровне модели OSI и защищает веб-сервер от атак.

Фаервол пропускает HTTP/HTTPS трафик от приложений, авторизованных в локальной сети, а WAF выявляет в нем потенциальные угрозы.

WAF FortiWeb от Fortinet контролирует трафик, шифрует и дешифрует его, анализирует аномальные запросы и распределяет нагрузку между несколькими веб-серверами.

Он подходит для сложных сетей с большим числом высоконагруженных веб-ресурсов: файлообменников, банковских приложений, крупных баз данных с онлайн доступом.

В 2019 году консалтинговая компания Гартнер включила Fortinet в квадрант Challengers по рынку фаерволов для веб-приложений. Подробнее о положении на рынке, конкурентах и разработках Fortinet читайте в нашей статье. Также FortiWeb соответствует общим критериям безопасности Common Criteria и сертифицирован независимой лабораторией ICSA Labs.

Магический квадрант Гартнера (сентябрь 2019 года) для рынка WAF. Fortinet отнесли к «кандидатам» — это компании с хорошими показателями по маркетингу и продажам.

Причины покупки

1. Сетевые интеграторы предлагают сервисы контроля трафика клиентам как услугу. Для этого они приобретают полный физическое решение с максимальной производительностью.
2. Защита собственных онлайн-площадок. Наиболее востребованные функции FortiWeb в этом случае: аутентификация, работа с контентом, балансировка трафика и разгрузка локальных веб-серверов.
3. Обновление устаревшего оборудования и модернизация сети. Старое оборудование не защищает сеть от новых угроз, поэтому компания ищет новые решения.
4. Фрагментарность сети. Устройства и сервисы разных вендоров плохо работают друг с другом: не передают информацию об угрозах и используют разные форматы данных, поэтому безопасность сети снижается. Устройства Fortinet интегрируются в единую систему, управляются с одного экрана и повышают прозрачность сети.

Возможности

Чтобы быстро реагировать на угрозы, нужна хорошая аналитика данных. Инструмент анализа FortiView визуализирует уровень защиты сети в формате таблиц и графиков, регистрирует атаки и выводит предупреждения.

Графики показывают статистику приложений по угрозам, числу сессий и трафику. Администратор настраивает фильтры, частоту обновления и способ отображения (график, диаграмма, таблица).

Доступна детализация по приложениям: объем трафика, количество заблокированных сессий и риск.

В программе настраиваются виджеты: географии атак, анализ данных с отдельных устройств безопасности, анализ пользователей и безопасности приложений.

Инспектирование трафика

FortiWeb проверяет трафик на наличие вредоносного кода, используя антивирусные и сигнатурные базы, запрещает доступ к веб-серверу пользователям с иностранным или скомпрометированным IP-адресом. Он использует базу знаний FortiGuard для проверки репутации IP-адресов, с которых приходят запросы к веб-приложению.

FortiGuard Labs — это исследовательская лаборатория Fortinet, где анализируют информацию с миллионов сетевых устройств компании. Если одно из них подвергается атаке с зараженного компьютера или ботнета, все остальные получат данные об этом в течение одного дня.

Фильтрация IP по геолокации искусственно ограничивает доступ к веб-ресурсу для отдельных регионов или стран. Это важно для компаний, которые работают в одном регионе и не хотят получать трафик из другого.

Сигнатуры типа One-to-Many содержат информацию об участках кода, идентичных для разных вирусов. Поэтому одна сигнатура выявляет десятки или сотни похожих атак. Это ускоряет проверку трафика на устройстве.

Входящий трафик дополнительно проверяется по антивирусным базам, которые обновляются ежедневно. Если пользователи загружают документы, фото или другие данные на сайт, каждый файл сканируется до попадания на сервер.

Например, антивирус определит файл, замаскированный под резюме, но содержащий вредоносный код. Такой файл будет заблокирован, а администратор получит уведомление об инциденте.

Интеграция в систему безопасности

FortiWeb интегрируется с продуктами ведущих представителей рынка: Acunetix, HP WebInspect, IBM AppScan, Qualys, IBM QRadar, WhiteHat и анализирует сигнатурные базы сторонних поставщиково. Если компания выявит новый вид атак, то соответствующая сигнатура будет включена в FortiWeb в течение 1–2 недель.

Продукты Fortinet интегрированы в единую экосистему Fortinet Security Fabric: FortiGate, FortiSandbox, FortiMail и так далее.

Такой подход решает проблему с фрагментарностью сети информационной безопасности, когда каждое устройство требует отдельной настройки, передача данных между ними затруднена из-за разных форматов, а обновление против новой угрозы занимает несколько месяцев.

Устройства фабрики безопасности Fortinet постоянно обмениваются данными. Сигналы поступают в единый центр и анализируется вместе.

По подписке доступна FortiSandBox — локальная или облачная «песочница» для безопасной работы с подозрительными данными и аномалиями.

FortiSandBox — это виртуальная копия веб-сервера, не связанная с реальным. В ней внешний трафик взаимодействует с файлами и меняет настройки как угодно, потому что это никак не затрагивает реальную сеть. Подозрительное поведение выдаст злоумышленника или вирус.

Если атака на компанию будет идти по неизвестному сценарию, в песочнице обнаружат нестандартное поведение и заблокируют доступ к сети компании.

Обработка чувствительной информации

FortiWeb использует две функции для работы с чувствительной информацией:

Application Delivery модифицирует контент, независимо от направления передачи. Например, номера банковской карты и телефон будут замаскированы, в запросе от сервера к пользователю или от пользователя к серверу.

Anti-Defacement контролирует целостность и корректность данных на веб-сервере. Система сигнализирует о несанкционированном изменении и может оперативно заменить скомпрометированные файлы их верными копиями. Это значит, что веб-приложение будет быстро восстановлено при взломе или саботаже, а компания не понесет репутационные убытки из-за неработающего сайта или приложения. Например, если злоумышленник попытается нарушить работу интернет-магазина, удалив часть страниц с сервера, WAF заметит это и восстановит удаленные файлы из резервной копии.

Снижение нагрузки на веб-сервер

FortiWeb балансирует запросы, дешифрует SSL-трафик, проверяет пользователей и защищает веб-сервер от DDoS-атак. Эти функции выполняются аппаратно на отдельном устройстве, что снижает нагрузку на сервер.

В безопасной зоне МЭ расшифровывает и проверяет внешний SSL-трафик. Затем пересылает его по локальной сети к веб-серверу в открытом виде, либо снова кодирует упрощенным шифром. Так веб-сервер тратит меньше ресурсов на расшифровку.

Поиск скрытых атак в дешифрованном трафике.

FortiWeb распределяет и балансирует запросы между веб-серверами, поэтому отдельный балансировщик не нужен.

Authentication offloading генерирует внутренние сертификаты для доступа административного персонала в закрытую сеть, ограничивает доступ к настройкам и функционалу устройства, отвечает за двухфакторную аутентификацию пользователей.

Также возможна аутентификация по HTTP/HTTPS трафику до того, как пользователю будет разрешен доступ к веб-странице.

FortiWeb защищает от DDoS-атак. Вредоносные массовые запросы для перегрузки сервера блокируются на транспортном и прикладном уровнях модели OSI.

Выявление аномального поведения с помощью искусственного интеллекта

Для отслеживание аномального поведения FortiWeb изучает пользователей веб-ресурса, запоминает их действия и создает модель нормального поведения, используя искусственный интеллект и машинное обучение.

Нормальный трафик перенаправляется к веб-серверу. Аномалии анализируются с помощью математической статистики, теории вероятности и данных о множестве вариантов использования приложения.

На примере:

1. Андрей вводит в форму корректные данные. Система пропускает их, как безопасные.

2.1. Василий случайно или намеренно вводит некорректную информацию. Например, добавляет в поле имени специальный символ или цифру. Если такая ошибка уже была и скорее всего это опечатка, то пользователь получит предупреждение об ошибке, а его трафик не будет заблокирован.

2.2. Если ошибка происходит впервые, то трафик будет помечен как аномальный и заблокирован. Администратор получит сообщение о происшествии.

3. Данные от Марии похожи на SQL-инъекцию. Такой будет заблокирован как вредоносный, а администратор получит сигнал о попытке атаки.

Работа интеллектуального аналитического алгоритма на примере заполнения текстовой формы. Вредоносные запросы блокируются, а сомнительные помечаются как аномальные.

Режимы работы

FortiWeb работает в сети в 4-х режимах: обратный прокси-сервер, сниффер, в прозрачном режиме и режиме перенаправления контента.

Режим обратного прокси-сервера применяют наиболее часто, на устройстве он включен по-умолчанию. FortiWeb размещается внутри локальной сети между фаерволом и веб-серверами. Так выше защита: трафик анализируется одновременно двумя устройствами.

FortiWeb в режиме обратного прокси сканирует HTTP/HTTPS трафик и балансирует его между двумя веб-серверами.

В прозрачном режиме трафик проверяется асинхронно, без балансировки или работы с SSL. Аутентификация пользователей возможна только по HTTP трафику.

В прозрачном режиме FortiWeb работает как мост. Из-за асинхронной проверки сервер может получить нежелательный трафик до того, как он будет заблокирован.

Режим сниффера выявляет угрозы по копии трафика. Устройство подключается в сеть параллельно и не блокирует трафик, а только запрашивает у веб-сервера разрыв соединения с пользователем при обнаружение угрозы.

В таком режиме не меняется топология сети, и чаще всего его используют для предварительного анализа угроз до полноценной интеграции.

FortiWeb не взаимодействует с запросами пользователей к веб-серверам, не балансирует и не модифицирует трафик. Порт запроса на разрыв опасного соединения выбирается в настройках.

Режим перенаправления контента также не требует интеграции оборудования в сеть безопасности. В этом режиме FortiWeb получает от фаервола веб-трафик, сканирует его и перенаправляет обратно только разрешенные запросы.

В режиме перенаправления контента FortiWeb взаимодействует только с фаерволом.

Физические решения, виртуальная и облачная версия

FortiWeb разворачивается как:

• полноценное физическое решение, интегрированное в сеть информационной безопасности компании;
• виртуальный комплекс FortiWeb-VM — программное решение без приобретения железной части, работающее на мощностях предприятия;
• виртуальный комплекс в облаках Amazon Web Services, Microsoft Azure или Google Cloud;
• подписка FortiWeb Clоud без покупки программного обеспечения.

Для покупки доступны 10 моделей оборудования, 4 варианта виртуальной лицензии и облачный сервис FortiWeb Cloud.

Выбор конкретной формы зависит от задач компании, архитектуры сети, бюджета и наличия технических и человеческих ресурсов.

Гибкость решения позволяет подобрать оптимальный вариант для крупных и небольших компаний.

Физическое решение FortiWeb подходит для организаций, где требуется гарантированная производительность. Физическое решение справится с трафиком от множества веб-серверов и приложений. Подходит для работы с большими объемами информации, например, в банковской сфере.

При этом оборудование устанавливается в дата-центре компании и доступно только админам и специалистам по ИБ.

Младшие модели для установки в офисах на 15 человек, старшие — для провайдеров.

Модели отличаются по производительности, типу обработки SSL-трафика и некоторым другим параметрам. При этом число веб-ресурсов, которые обрабатывает FortiWeb,ограничено только пропускной способностью устройства.

Младшие модели 100D, 400D, 600D имеют пропускную способность 25–250 Мбит/с и обрабатывают SSL только программно.

FortiWeb 100D. Младшая модель линейки, подходит для малого бизнеса, стартапов. Выпускается в настольном форм-факторе и не требует монтажа в стойку. Два порта USB, четыре гигабитных RJ45.

Модели от 1000E и выше оборудованы отдельным чипом ASIC для обработки SSL. Их производительность начинается от 1.3 Гбит/с.

FortiWeb 1000E. Модель в исполнении 2U устанавливается в серверную стойку с фланцами. Необходим двойной источник питания. Порты: по четыре GE RJ45 bypass и GE SFP, по два GE RJ45 и 10G SFP+.

Пропускная способность флагманской модели 4000E составляет 20 Гбит/с.

FortiWeb 4000E. Модель с максимальной производительностью, подходит для сетевых интеграторов. Форм-фактор — 2U, монтаж в стойку. Необходим двойной источник питания. Порты: восемь GE RJ45 bypass, четыре GE SFP, по два 10G SFP+ bypass и 10G SFP+.

Подробные характеристики в официальном DataSheet-е. В виртуальных и облачных версиях доступны только программные средства работы с трафиком.

Виртуальная версия подойдет компаниям с собственным парком веб-серверов и тем, кто не решил, стоит ли покупать физическое решение. FortiWeb разворачивается на виртуальной машине без покупки дополнительного оборудования.

Виртуальную версию с полным набором функций один месяц доступна бесплатно. В конце пробного периода можно её выкупить или приобрести физическое решение и перенести туда настройки с тестового стенда.

Лицензии на FortiWeb-VM отличаются по числу виртуальных центральных процессоров (vCPU), которые использует виртуальная машина. Их количество определяет последняя цифра в названии лицензии: один, два, четыре или восемь.

Виртуальная версия будет использовать столько процессоров, на сколько куплена лицензия. Даже если на виртуальной машине выделено 10 CPU, FortiWeb-VM02 задействует только два.

Покупка FortiWeb Cloud подойдет для стартапов, малого бизнеса и тех, кому нужно готовое решение, важна скорость внедрения и минимальные трудозатраты на развертку.

Решение защищает от атак веб-приложения, загруженные в облако, без установки дополнительного оборудования или ПО. Функционал доступен сразу после быстрой настройки и не требует отдельного обслуживания.

Есть бесплатный пробный период 14 дней. Далее на выбор два тарифных плана: 0,03$ за час работы или 0,3$ за 1 Гб трафика от веб-приложений. Отписка в любой момент через сервис, на котором развернуто облако: Amazon Web Services, Microsoft Azure или Google Cloud.

Подписная модель не предполагает владения продуктом и не требует покупки дополнительных лицензий, но при этом быстро разворачивается. Для старта нужно:

• добавить приложение в облако;
• выбрать, какие порты будет слушать FortiWeb Cloud;
• прописать IP-адрес сервера;
• выбрать протокол для соединения между сервером и облаком;
• включить режим блокировки вредоносных запросов.

После настройки FortiWeb Cloud начнет блокировать атаки в автоматическом режиме.

При использовании подписки внешний трафик направляется сначала в облако, обрабатывается и сканируется там, и после этого пересылается на веб-сервер. Решение легко масштабировать: новые веб-приложения добавляются в облако в любой момент.

Заключение

Значимые конкурентные преимущества WAF FortiWeb:

• продвинутая система машинного обучения для работы с аномальными запросами;
• широкие возможности модификации контента, его шифрования и сжатия;
• контроль целостности и корректности файлов, хранящихся на веб-сервере;
• функционал Authentication Offloading;
• графический инструмент FortiView.

Бесплатный вебинар «Защита веб-приложений на базе FortiWeb с применением ML»

Узнайте за 60 минут обо всех преимуществах FortiWeb для защиты веб-приложений

Узнать больше