FortiWeb应用防火墙.ppt

构建安全WEB应用系统Fortiweb,FortinetSEHunkyan,议程,Web威胁概述,FortiWEB介绍,FortinetWeb威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,Web的发展,网络安全事件类型分布,数据来源：CNCERT/CC,安全事件回顾,WEB的开放性带来丰富资源、高效率、新工作方式的同时，传统网络边界正逐消失，机构的重要资产暴露在越来越多的威胁中。现今WEB安全问题对人们来说屡见不先,以下是收录于国际安全组织记录的安全事件1.2009年5月26日，法国移动运营商OrangeFrance提供照片管理的网站频道被曝存在SQL注入漏洞，黑客利用此漏洞获取到245,000条用户记录（包括E-mail、姓名及明文方式的密码）。2.2009年1月26日，土耳其黑客采用SQL注入攻击，篡改了美国军方两台重要服务器的网页。3.2009年1月26日，印度驻西班牙使馆网站被挂马（通过iFrame攻击植入恶意代码）,中国安全报告,近期各类媒体（如新浪）对网页来自中国互联网网络安全报告篡改问题也进行了曝光，从侧面表明日前国内对该问题的关注度。数据显示：网页篡改事件特别是我国大陆地区政府网页被篡改事件呈现大幅增长趋势。,35113,41%,67%,国内针对WEB攻击的法律法规,发改委、公安部、国家保密局联合下发通知，要求加强和规范国家电子政务工程建设项目信息安全风险评估工作。3部委要求，国家的电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目，必须进行完整信息安全风险评估工作。评估的主要内容包括：分析信息系统资产的重要程度，评估信息系统面临的安全威胁、存在的脆弱性、已有的安全措施和残余风险的影响等电子政务项目涉密信息系统的信息安全风险评估，由国家保密局涉密信息系统安全保密测评中心承担。非涉密信息系统的信息安全风险评估，由国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担,中华人民共和国公安部令-第82号第九条提供互联网信息服务的单位除落实本规定第七条规定的互联网安全保护技术措施外，还应当落实具有以下功能的安全保护技术措施：（一）在公共信息服务中发现、停止传输违法信息，并保留相关记录；（二）提供新闻、出版以及电子公告等服务的，能够记录并留存发布的信息内容及发布时间（四）开办电子公告服务的，具有用户注册信息和发布信息审计功能；（五）开办电子邮件和网上短信息服务的，能够防范、清除以群发方式发送伪造、隐匿信息发送者真实标记的电子邮件或者短信息。,（三）开办门户网站、新闻网站、电子商务网站的，能够防范网站攻击、网页被篡改，被篡改后能够自动恢复；,当前的Web威胁,Web威胁”就是利用Internet对Web服务执行各种恶意活动，如身份窃取、私密信息窃取、带宽资源占用等。,面对Web威胁的快速增长，传统的安全防护技术对Web威胁越来越感到无能为力,几乎所有的Web威胁都无法被防病毒软件发现,层出不穷的WEB攻击,发现漏洞,扫描系统,注入代码,修改系统,获得信息,消灭证据,渗透结束,为什么应用系统系统中会存在那么多漏洞之一,开发人员的重视程度大部分应用系统开发人员，关注的是客户对业务系统的应用需求，可用性需求，扩展性需求，甚至系统的维护便捷度都有很好的认识，但是对于系统的安全漏洞，如果客户不提起，开发人员并不重视,为什么应用系统系统中会存在那么多漏洞之二,客户对于应用系统的安全防护意识很多客户过于依赖传统的FW、IPS等安全设备，殊不知这些传统的设备无法抵挡渗透者看似正常的访问。,渗透者直接穿越FW,IDS本身不阻止攻击,深层的http渗透IPS无法识别,为什么应用系统系统中会存在那么多漏洞之三,HTTP协议缺陷HTTP协议最大的弊端在于缺乏一个可靠的会话管理机制，http本身是短连接应用，client会同时发出很多链接进行http业务交互，很多渗透者可以利用这个缺陷进行cookie篡改及会话劫持攻击等攻击动作。,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,Fortinet（飞塔）公司概况,第一个基于ASIC硬件技术的多层安全技术提供商专业网络安全厂商2000年成立1100+名员工/超过500+名工程技术人员发展最快的专业安全公司全球化的销售服务体系(美国，欧洲，亚洲)全球装机量达45万多台权威的安全认证6项ICSA认证25项专利技术，100多项待批专利技术最高级政府安全认证(FIPS-2,CommonCriteriaEAL4+)80+安全行业认证美国病毒专业评测试VB100认证欧洲专业IPS安全评测NSS认证,全球超过250,000客户全球最大电信安全管理服务提供商遍及政府、教育、电信，金融，医疗能源，及零售机构,分布全球各行业的客户举例,全球金融业界部分客户,在美国的部分认证,众多国内安全获奖,国家公安部国家反病毒认证试验室计算机世界中国计算机报网络世界,FortiWeb多功能Web应用平台,访问控制：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式WEB应用加固：保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患，抵御各种注入、跨站攻击应用加速对基于Web的内容进行加速并保证及时发送审计功能：用来截获所有HTTP数据，按照法律规范或客户定制规范回复数据给客户,Fortiweb是真正的针对第七层处理HTTP服务的Web应用防火墙,TheFortiFamilySeuritySolution,硬件加速Web应用防火墙XML“UTM”负载均衡SSLOffload多个保护内容表,漏洞扫描监控和审计支持多数据库,硬件加速虚拟域网络防火墙VPN内容检查UTM解决方案,透明模式部署无用户数限制统一邮件归档全球最大anti-spamDATABASE内置邮件服务器,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,国内某省教委案例,6,FortiWeb功能,Web应用防火墙技术签名库及模板检测引擎基于阈值的限制会话管理及流强制自定义输入参数验证规则参数、表单篡改及表单或元数据验证威胁防御跨站脚本SQL及OS命令注入HTTP请求走私缓存溢出远程文件包含攻击编码攻击Cookie篡改/中毒会话劫持中断访问控制强制浏览/目录遍历/站点侦察/GoogleHackingOWASPTop10,XML防火墙技术基于内容的XML路由XML防火墙XMLIPSXMLSchema验证WSDL检查XML表现式限制源IP策略威胁防御SQL注入缓存溢出拒绝服务攻击Schema中毒XML参数篡改WSDL扫描超大负载递归负载外部实体攻击,应用加速HTTPSOffloadTCP优化XML安全验证offloadXML加/解密处理offload负载均衡最大限度提高Web应用及服务的有效性,FortiWeb签名库技术,由全球Fortiguard维护，发现漏洞后，自动更新签名库规则，维护简单，内置6000条HTTP访问规则，对于传统WEB应用程序，即使维护团队不再，仍可以得到防护。,FortiWeb强制规则,FortWEB可对受保护的WEB站点进行URL级别控制，针对各种页面定制个性化规则，支持条自定义页面规则,5000-8000,网页上未加限制的字符输入框，容易受到脚本及注入攻击,FortiWeb页面规则定义,FortWEB针对电子商务类型需要强制用户访问顺序的Web站点，可以根据Web应用定义远程客户访问顺序，抵御强制攻击,FortiWeb黑白名单,FortWEB可以灵活生成黑白名单，针对个别网页实施独立策略,FortiWeb防御暴力破解,FortWEB可以针对指定网页的访问频率，超过阈值将被阻止，有效的防止渗透者对关键页面暴力破解。,FortiWeb防止网站被恶意抓取,设置来自单个IP或多个IP的Robot程序的访问频率，超过阈值将被阻止(保护网站资源),SynFlood攻击防御,通过SynCookier技术高效防御SynFlood攻击,自学习功能,根据自学习结果，自动生成配置,学习到的网站结构,网页各项参数,网络防篡改,FortiWeb可以发现被入侵或篡改的网页被篡改的网页可以自动或手动恢复,FortiWeb实现高可用性,FortWEB具备完整的负载均衡功能可对WEB服务器实现高可用性，并行处理，充分提供服务器群的冗余，和相应速度。,FortiWeb安全加密,FortiWeb可对原有明文HTTP流量进行SSL加密，SSL加密密钥支持内置及客户自生成证书，服务器运行原有HTTP业务，由FortWEB“装载”了SSL协商过，此过程FortiASICCP6芯片进行SSL的加/解密运算，,WebServers,Client,HTTPS,SSLComputation,FortiWebTCPMultiplexing,WebServer,Clients,PersistentTCPconnection,HTTP/HTTPS,在FortiWEB上维持和客户端的大量连接，而在FortiWEB和服务器之间建立少量常开的连接最小化TCP会话的建立，减少服务器的资源消耗，提高服务器的处理性能。针对国际链路以及延迟较大的Internet链路，TCP复用可以提升服务器与客户端的响应速度,FortiWeb业界XML防火墙,唯一,FortiWebXML防火墙功能,FortiWebXML保护机制,FortiWeb业界高性能WAF,WAF作为安全设备部署在WEB服务器前，大部分用户关心的是对于攻击防护的能力，但如果inline模式部署，WAF本身的转发性能确是客户首先要关心的事情，Fortiweb经由SMARTBIT测试，64b-256b转发能力均达到设备标称指标。,OtherVendorsPerformanceArea,OWASPTop102007,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,1,2,3,4,国内某银行门户案例,5,FortiWeb-1000C详细产品信息,硬件4x10/100/1000接口2USB接口1x1TBSATA硬盘(可选2x1TB)1RU高度机架设备,吞吐量500MbpsHTTP30,000并发会话10,000每秒新建会话FirmwareFortiWebOS3.1,FortiWeb-3000C,高性能FortiWeb模块XML安全WebApplicationfirewall专用硬件SSL加速热插拔硬盘存储1x1TBHDD(标准)可选第二硬盘(共2TB)接口4x10/100/10002xUSB1xconsole性能是Fortiweb1000C的2倍,议程,Web威胁概述,FortiWeb介绍,FortiWeb威胁防御技术,FortiWeb产品线,国内某银行门户案例,1,2,3,4,5,客户需求,中国的网上银行起步比较早的是深圳招商银行，他们开发过第一个面向最终用户的网银系统。随着网络的大规模普及，中国各个银行也都逐步开启自己的网银系统，有些银行的系统仅局限在账户信息查询方面，有些则包含转账付款等功能，还有的已经涉及贷款、投资等方面的内容。随着网银的普及，网银的安全性成为整个系统中最为至关重要的部分了。近年以来，大量的关于网上银行发生骗盗的报道不断见诸报端。不法分子通过窃取用户的卡号和密码，大量盗窃资金和冒用消费，因此虽然网银对于银行和用户都有不少好处，但是发生这些情况使得银行在推广网银面临非常巨大的风险，提高网银的安全性也是刻不容缓。国内某知名银行为了提高网银系统的安全性，抵御各种基于web应用程序的威胁，增强web应用程序的保护，特选定FortiWeb1000B应用防火墙的旁路连接模式，对web应用程序进行攻击防御监测。,部署模式,风险分析,系统部署在互联网区域使用独立互联网带外管理地址。不占用原有生产业务地址。系统采用旁路部署，对镜像流量进行分析处理，不会对目前生产业务产生影响保留系统和设备原有配置，保证异常系统回退。物理拓扑和网络配置无需改变，回退时间为零。,攻击拦截日志,QUESTIONS?,谢谢!,更多信息请访问,