1. FortiWeb
Межсетевой экран для веб-приложений

2. Содержание
1 • Безопасность веб-приложений
2 • Развертывание и управление
3 • Доставка приложений
4 • Оценка уязвимостей
5 • Защита и мониторинг
6 • Совместимость

3. Линейка продукции Fortinet
Унифицированное Централизованное Безопасность
управление угрозами управление приложений
FortiManager FortiMail
FortiGate Безопасность обмена
Платформа сетевой Централизованное
управление сообщениями
безопасности
устройствами FortiWeb
FortiAP FortiAnalyzer Межсетевой экран веб-
Платформа сетевой Централизованный сбор приложений с
безопасности и предоставление интегрированным
балансировщиком нагрузки и
информации
сканером уязвимостей
Службы Защита
безопасности Хост защита данных
FortiClient
FortiGuard Сигнатурная
Службы безопасности в технология защиты FortiDB
режиме реального FortiScan Безопасность
баз данных
времени Управление степенью
защищенности ресурсов

4. Сложность защиты веб-приложений
 Что же такое веб-приложения?
 Веб-приложения - общедоступные и интернет-
направленные прикладные программы
 Доступ для пользования через стандартный
браузер, поддержка веб-мейл, розничная торговля
он-лайн, он-лайн аукционы, wiki и множество других
функций.
 Обеспечивают корпорациям основные
инструментальные программные средства для
электронной коммерции и бизнеса Периметр центра
обработки данных
 Веб-приложения написаны для эффективной
доставки контента
 В большинстве случаев веб-приложения Интерфейсная часть
веб-серверов
разрабатываются без учета требований по
безопасности
 Приложения остаются открытыми для эксплойтов
 Потенциальная возможность раскрытия значимой
информации
 Атаки могут ранжироваться от незначительного
нанесения ущерба до хищения конфиденциальных Сервера базы данных
данных, данных кредитных карт и персональной
идентификационной информации

5. Почему межсетевой экран веб-приложений?
• Приложения необходимы как никогда
• Но…
• 49% веб-приложений содержат уязвимости с высоким уровнем
риска, предрасположены к автоматическим инструментальным
средствам*
• 80%-96% уязвимы к обстоятельным неавтоматическим атакам
• 99% веб-приложений не соответствуют требованиям PCI DSS
• Наиболее распространенные уязвимости не адресуются
существующими технологиями межсетевых экранов
• Межсайтовый скриптинг
• SQL –инъекции
• Утечка информации
• Разделение НТТР-отклика
• Коммерческие последствия атак:
• Потери дохода – 300$ за украденную запись
• Взыскания за невыполнение требований законодательства
• Нанесение ущерба репутации компании
*Источник – Консорциум по безопасности веб-приложений (WASC)

6. Совет стандартов безопасности индустрии платѐжных карт
• Основан в декабре 2004г. пятью лидирующими компаниями в
сфере обслуживания кредитных карт
• Поддержал индивидуальные политики каждой компании и
выпустил стандарт безопасности данных индустрии платежных
карт (PCI DSS)
• Стандарт, который обеспечивает продавцам соответствие
минимальным требованиям безопасности в процессе хранения,
обработки и передачи данных владельца кредитной карточки
• Продавцы, обслуживающие кредитные карты, должны
соответствовать новым стандартам PCI
• В октябре 2008 была представлена версия стандарта 1.2
• Предотвращение общих уязвимостей кодирования, в частности
определенных в OWASP
• Проверка программы: “Убедиться, что перед общедоступным веб-
приложением установлен межсетевой экран прикладного уровня,
позволяющий обнаружить и предотвратить веб атаки”
• Соответствие стандарту улучшает репутацию и уменьшает риск
• Несоответствие может повлечь наложение взысканий и санкций
• Fortinet входит в состав Совета стандартов безопасности PCI
(PCI Security Standard Council) (6 окт. 2009)

7. Что являет собой ‘Защита приложений’ ?
• Жизненный цикл приложения: (смягчающий контроль)
• Разработка
• Усовершенствование
• Развѐртывание
• Модернизация
• Техническое обслуживание
• Идеально, но слишком поздно
• Сложно
• Длительно
• Дорого
• Унаследованные приложения?
• Кто ответственный?
• Проприетарное ПО
• Имеющийся в наличии
• Облачные предложения
• Прикладной модуль управления: (компенсационный
контроль)
• Подавление угроз – (технических/функциональных)
• Политика безопасности веб-приложений

8. Необходим новый подход к вопросу безопасности приложений
• Межсетевые экраны обнаруживают сетевые атаки Брандмауэр сети
• Проверяют IP и номер порта
• Продукты систем предотвращения вторжений Межсетевые экраны для
(IPS) выявляют только известные сигнатуры IPS/глубокого протокольного
анализа пакетов
• Возможен обход сигнатур
• Нет защиты SSL трафика
• Нет действительного понимания HTTP (заголовков, FortiWeb
параметров и пр.) межсетевой экран веб-приложений
• Нет учѐта особенностей используемых приложений
• Нет осведомлѐнности о пользователях Сетевой Прикладной
• Высокий уровень ложных срабатываний уровень уровень
(ВОС 1-3) (ВОС 4-7)
Только межсетевой экран веб-приложений
способен выявить и заблокировать атаки
уровня приложений!

9. Знакомство с межсетевым экраном веб-приложений FortiWeb
WAF Межсетевой экран веб-приложений - WAF
Обеспечивает защиту веб-приложений, которая позволяет клиентам
соответствовать требованиям
Сканер веб-уязвимостей
Сканирует, анализирует и выявляет уязвимости веб-приложений
Доставка приложений
Обеспечивает доступность и ускоряет производительность критических
веб-приложений
Защищает Сканирует и выявляет Оптимизирует доставку
веб-приложения уязвимости сети приложений

10. Мировые пользователи FortiWeb
Телекоммуникационные Розничная продажа/Технология/Финансы/Другие
Правительства
компании отрасли

11. Сервис подписки FortiGuard
Обеспечение безопасности в режиме
реального времени Глобальная распределенная сеть
 Подписка на службы обеспечения безопасности FortiWeb  100+ профессиональных исследователей угроз
автоматически загружает в FortiWeb последние обновления:
 Сотни сигнатур приложений  8 месторасположений деятельности по всему миру
 Обновленные списки новых сигнатур
приложений, вредоносных роботов, подозрительных URL  Автоматические обновления для пользователей
паттернов и паттерны сканера уязвимостей сети Fortinet
 Подписка на службы антивирусной поддержки FortiWeb –
автоматическое обновление контента для сканирования
загружаемых файлов
Надѐжная 24 x 7 x 365 глобальная интеллектуальная поддержка в режиме
реального времени

12. Содержание
1 • Безопасность веб-приложений
2 • Развертывание и управление
3 • Доставка приложений
4 • Оценка уязвимостей
5 • Защита и мониторинг
6 • Совместимость

13. Настраиваемые параметры развертывания FortiWeb
 Уровень II – Прозрачный контроль и
действительный прозрачный прокси FortiWeb
 Легкость развертывания – нет необходимости
реструктурировать сеть, полная прозрачность Сервера веб-приложений
 Открытый интерфейс отказа в работе
 Реверсивный прокси-сервер
 Поддерживает модификации контента как для запросов,
так и ответов из сервера
 Усовершенствованы возможности перезаписи URL
 HTTPS разгрузка
 Расширенные схемы балансирования загрузки FortiWeb
 Подключение в SPAN порт
 Нулевая сетевая задержка
 Возможность блокирования, используя TCP сбросы
 Идеально для начальных оценок продукта, сетевое
развертывание без вмешательств

14. Высокая доступность
• Активный/пассивный перехват
управления при отказе
• Полное конфигурирование синхронизации
• Плавное восстановление после отказа
• Никакого время простоя
• Синхронизация конфигурации
• Синхронизация устройств FortiWeb на разных
площадках сети
• Позволяет осуществлять политики управления
между множественными устройствами из
центрального местоположения
Группа
• Бесшовная интеграция в уже существующие FortiWeb
серверов
HA/LB окружения
Восстановление системы
в аварийных ситуациях

15. Cемейство продуктов FortiWeb
Решение для предприятий среднего масштаба
• 100 Мбит/с пропускная способность HTTP
FortiWeb-400C • 10,000 транзакций в секунду
Решение для больших корпораций
• Ускорение основанное на проблемно-ориентированной интегральной
микросхеме - FortiModule-CP7
FortiWeb-1000C • 500 Мбит/с пропускная способность HTTP
• 27,000 транзакций в секунду
Решение для больших корпораций /сервис-провайдеров
• Ускорение основанное на проблемно-ориентированной интегральной
микросхеме - FortiModule-CP7
• 1 Гбит/с пропускная способность HTTP
• 40,000 транзакций в секунду
FortiWeb-3000C/3000CFsx • Горячая замена резервного блока питания, 2 хранилища емкостью 1 Тбайт
• 6 x GbE медных интерфейсов (+ 2 x GbE SFP для 3000CFsx)
Решение для больших корпораций /сервис-провайдеров
• Ускорение основанное на проблемно-ориентированной интегральной
микросхеме - FortiModule-CP7
• Аппаратное ускорение ППД
• 2 Гбит/с пропускная способность HTTP
FortiWeb-4000C • 70,000 транзакций в секунду
• горячая замена резервного блока питания, 2 хранилища емкостью 1 Тбайт
• 6 x GbE медных интерфейсов, 2 x GbE SFP интерфейса

16. Виртуальное решение FortiWeb-VM
• Внедрите FortiWeb в виртуальной среде
• Уменьшает слепые сектора
• Защищает веб-приложения независимо от типа
подключения
• Так же обеспечивает видимость внутренних соединений Демилитаризованная Общественная
• Функциональные возможности те же, что и в зона (DMZ) зона
физическом устройстве
Требования Минимальные требуемые Серверы/ DMZ Виртуальное
характеристики для Desktops /
устройство
FortiWeb-VM Private
FortiWeb
Лицензии 2-vCPU, 4-vCPU, 8-vCPU
Гипервизор VMware ESXi/ESX
3.5/4.0/4.1/5.0
Объѐм памяти мин. 1024 Мбайт
Центральный процессор мин. 2 виртуальных ЦП Виртуализованный центр
10/100/1000 интерфейсы мин.- 2, макс. - 4 виртуальных
сетевых карт обработки и хранения данных
Объѐм жесткого диска мин. 40 Гбайт

17. Мониторинг в режиме реального времени
• FortiWeb предоставляет панель
мониторинга с событиями в режиме
реального времени
• Контроль трафика для каждого приложения
• История событий атак каждого приложения
• Последние предупреждения
• Состояние устройств

18. Анализ данных– исследование и
обеспечение безопасности ресурса Geo IP
• Анализирует использование веб-
приложений основанных на геолокации
и серверном доступе
• Разбивает трафик в зависимости от
типа обращения, информации и атак
• Легко блокирует доступ к ресурсам
конкретной страны используя лишь клик
правой клавишей мыши
• Представление в виде карты или списка
• Предоставляет графический интерфейс,
который позволяет организациям
понимать тенденции использования
приложений со стороны как
пользователя, так и сервера

19. Интегрирование FortiAnalyzer
• Централизованное протоколирование,
отчѐтность и анализ для множества
устройств FortiWeb
* начиная с FortiAnalyzer MR3

20. Содержание
1 • Безопасность веб-приложений
2 • Развертывание и управление
3 • Доставка приложений
4 • Оценка уязвимостей
5 • Защита и мониторинг
6 • Совместимость

21. Ускорение
• Аппаратное обеспечение с интегрированным ASIC-
процессором
• SSL разгрузка – разгружает ЦП осуществляя
передачу обрабатываемых SSL-вычислений от
сервера к FortiWeb
• Аппаратный обмен ключами и групповое шифрование
• Специализированная обработка протокола SSL
• Полное управление сертификатами
• Усовершенствована проверка валидности сертификатов и
возможность их отзывов
• Мультиплексирование TCP соединений
FortiWeb

22. Сжатие данных
• Сжимает плохо оптимизированный контент
с целью минимизации влияния на сетевые
ресурсы и уменьшения задержки доставки
приложений
• Предоставляет эффективную утилизацию
пропускной способности и времени отклика
для пользователей, сжимая полученные от
серверов данные
• Сжимает данные, используя формат gzip
• Степень сжатия зависит от типа данных
FortiWeb

23. Балансирование нагрузки
• Интеллектуальная балансировка нагрузки 7-уровня
с учѐтом особенностей используемых приложений
• Поддержка исключительно HTTP/HTTPS
• Множество алгоритмов балансировки нагрузки
• Round Robin
• Weighted Round Robin
• Least Connection
• HTTP Session Based Round Robin
• Поддержка состояния соединения
• Значение лимита времени поддержки состояния
• Настраиваемый контроль работоспособности
• Мониторинг физического сервера через HTTPS, HTTP, TCP,
Ping
• Контроль работоспособности, использующий контент с
поддержкой регулярных выражений
• Балансировка веб-сервисов
• Язык описания Web-сервисов или маршрутизация контента

24. Усовершенствованная возможность перезаписи
• Маршрутизация контента - маршрут
трафика на основе:
• IP-адреса
• Хоста
• URL-адреса
• Возможность перезаписи и
перенаправления
• Хост
• URL
• Ссылающийся домен HTTP
• Перезапись отклика контента
• Полные линки
• Любой запрашиваемый контент
• Поддержка многотипного контента

25. Содержание
1 • Безопасность веб-приложений
2 • Развертывание и управление
3 • Доставка приложений
4 • Оценка уязвимостей
5 • Защита и мониторинг
6 • Совместимость

26. Сканер веб-приложений
• Сканируйте с легкостью ваши
приложения на наличие
уязвимостей
• Общие уязвимости
• SQL-вторжение
• XSS-атаки
• Обнаружение исходного кода
• Системное командование
• Расширенный/базовый режим
• Опции аутентификации
• Возможность осуществления
гранулярного Веб-сканирования
• Запланированное сканирование
и сканирование по требованию FortiWeb

27. Сканер веб-приложений
• Отчеты уязвимостей
• Сводки сканирования
• Уязвимости по степени серьѐзности
• Уязвимости по категориям
• Уязвимости приложений
• Общие уязвимости
• Серверные данные
• Тщательное сканирование информации
• Допустимый ввод URL
• Внешние линки
• Автоотчѐтность на электронную почту
• Обновления с помощью FortiGuard
• Дополнительно WAF обеспечивает
соответствие требованиям PCI DSS 6.6

28. Содержание
1 • Безопасность веб-приложений
2 • Развертывание и управление
3 • Доставка приложений
4 • Оценка уязвимостей
5 • Защита и мониторинг
6 • Совместимость

29. Осуществление защиты приложений вручную
• Администраторы вручную определяют:
• Каждый URL, директорию, параметр, длину, тип
поля
• Регулярные выражения для динамически
изменяющегося контента, JavaScript, XML, и др.
• Постоянно обновление «белых
списков»
• Высокий уровень защиты от ложных
срабатываний – трафик, который не
соответствует «белым спискам»,
блокируется

30. Точная защита требует…
• Понимание защищаемых
приложений
• Структура приложения (URL,
параметры, методы)
• Чего можно ожидать и что вызывает
подозрения
• Понимание хакеров
• Современные методы атак,
инструментальные программные
средства, уязвимости приложений
• Умение отличать и проводить
разграничение между изменениями
в приложении, ошибками
пользователя и реальными атаками

31. Самообучение FortiWeb
• Понимает структуру приложений
• Моделирует элементы из реального трафика
• Создает базовый уровень основанный на URL, параметрах,
HTTP методах
• Автоматически определяет истинное поведение
• Могут ли пользователи изменять поля
заполнения/параметры?
• Какая длинна и тип каждого из полей заполнения?
• Какие символы приемлемы (мин., макс., среднее значение)? 

• Заполнение полей является обязательным или 

настраиваемым?
• Составляет рекомендации и графики

32. Самообучение FortiWeb
• Изучает защищаемую
структуру приложений
• URL
• Параметры
• Ожидаемое поведение
• Анализирует:
• Посещения
• Атаки
• Обеспечивает автоматически
выполняемые процедуры
• Экспортируемый в PDF

33. Как на счет веб-приложений, предназначенных для
выполнения DDoS атак?
• Возрастает количество приложений типа DDoS, чем объясняется
четверть всех DDoS-атак
• Под прицелом порог пропускной способности
• Прицел в большей степени на особые ошибки веб-
приложений/протоколов, чем на затраты пропускной способности
• SQL обращается с запросом к базе данных с большой загрузкой
процессора
• Запись на жесткий диск
• Специфическая работа с серверами
• Замедленная и законно запрошенная атака
• Slowloris – осуществляет легальную, но непрерывную отправку
незавершенных запросов
• Используют инструментальные средства, которые легко могут быть
загружены из Интернет, как HOIC и LOIC
• Использование ботнетов и автоматизированного инструментария
для достижения массового количества участников
• Иногда маскируют настоящие попытки утечки данных Зомби-ботнет
Многие становятся единым
• главным образом SQL-вторжения

34. FortiWeb защита от DoS/DDoS атак
на уровне приложений и сети
• Анализирует запросы инициированы различными
пользователями основываясь на таких характеристиках, как IP и
cookie
• Усовершенствованный механизм обработки информации
распознает реальных пользователей и автоматизированные
атаки (HOIC, LOIC средства)
• Прикладной уровень – 4 различные политики
• HTTP ограничение доступа – ограничивает количество HTTP запросов/сек с
определенного IP
• Вредоносные IP - ограничивает количество TCP соединений с той же cookie сессией
• Предотвращение атак типа HTTP Flood - ограничивает количество HTTP
запросов/сек с той же cookie сессией
• Форсирование реального браузера – устанавливает количество HTTP-
запросов на одно TCP соединение, в секунду, к определенному URL прежде, чем
FortiWeb выдаст сценарий клиенту, чтобы проверить, является ли это реальным
браузером или автоматизированным инструментом
• Сетевой уровень – 2 различные политики
• Предотвращение лавинной адресации пакетов по протоколу TCP
– ограничивает количество TCP соединений из одного исходного IP-адреса
• Синхронизация Cookie – защищает от синхронных атак

35. Антивирусное сканирование файлов и
ограничения загрузки файлов
• Сканируйте загрузочные файлы
используя антивирусные службы
Fortinet
• Стандартная и расширенная БД
вирусов
• Обновление через FortiGuard с
антивирусными службами
• Ограничение загрузки типа файла

36. Предотвращение утечки данных
• FortiWeb отслеживает весь
исходящий трафик и защищает
от:
• разглашения информации
• кражи и злоупотреблений с
кредитными картами

37. Защита веб-страниц от искажения WAF
• Исследует файлы
приложений в заданные
временные интервалы
• По мере обнаружения
внесенных в файл изменений
FortiWeb производит
• предупреждение
• автоматическое восстановление

38. FortiWeb обеспечивает безопасность на всех уровнях
Усовершенствованная защита – пользовательская политика безопасности
• Пользовательские политики для совпадения множественных элементов – URL, исходный IP, тип и значение заголовка, пороги
Антивирусное сканирование загрузочных файлов и предупреждение утечки данных
• Сканирует загружаемые файлы на наличие вирусов и вредоносного ПО (FortiGuard обновления)
• Обнаруживает раскрытие информации, credit card and PII leakage утечка конфиденциальной информации кредитных карт и персональных данных
Обеспечение защиты приложений и сети от атак типа "отказ в обслуживании" (DoS/DDos
защита)
• Обнаруживает и агрегирует DoS атаки из многочисленных векторов
Самообучение и правила верификации
• Отклонения от нормального пользовательского поведения, автоматизированные и потребительские правила
Сигнатуры атаки приложений
• Выявляет известные атаки приложений
• FortiGuard обновления
Проверка протокола
• проверяет HTTP на RFC соответствие

39. Обеспечение безопасности от наиболее WAF
распространенных угроз OWASP Top 10
• Топ-10 угроз OWASP • Защита FortiWeb
• Инъекции • FortiWeb использует множественные уровни безопасности
для защиты информации от Топ-10 угроз OWASP Top 10
• Межсайтовый скриптинг (XSS)
• Позитивная и негативная модели защиты системы от
• Ошибки в архитектуре аутентификации и
несанкционированного доступа
управления сессиями
• Исключительное обеспечение безопасности в соответствии
• Небезопасные прямые ссылки на объекты с ключевыми требованиями
• Подделка межсайтовых запросов (CSRF) • Современные профили самообучения позволяют
• Неверное конфигурирование систем идентифицировать нормальное поведение и устранять
безопасности доступ к неверно сконфигурированным серверам
небезопасным объектным ссылкам
• Незащищенность криптографического
хранилища • Предопределѐнные политики предупреждения утечки
данных защищают ненадежное криптографическое
• Разграничение URL доступа хранилище
• Недостаточная защита транспортного уровня • Защита от отравления cookie, управление сеансом и
• Неподтвержденные переадресации и управления потоком данных гарантируют безопасность от
пересылки ошибок в архитектуре аутентификации и атак сессий
Загружайте белый список “FortiWeb и Топ-10 угроз
OWASP” с ресурса fortinet.com

40. Визуальное представление журналов атак – Вид/белый
список/блокировка
• Журналы атак регистрируют
все HTTP-запросы
• Подсвечивание шаблонов атак
• Предупреждения
обеспечивают дополнительную
функциональность:
• Дополнительная информация об
атаке
• Простота добавления
исключений/белых списков в случае
ложного срабатывания
• Блокирование сигнатур в случае
поступления запроса
непосредственно из предупреждения

41. Извещения о событиях/атаках/трафике
• Предупреждения
об атаке
• Полный НТТР-запрос
• Извещения об
использовании
трафика
• Любой доступ к
приложениям
• Сигнализаторы
событий
• Уведомление о
любой деятельности
на устройстве
FortiWeb

42. Отчеты об атаках
• Исключительно полные
отчеты в графическом
представлении
• Пользовательские отчеты
• Плановая отчетность – раз в
день/неделю/месяц или по
запросу
• Форматы
PDF, HTML, Word, TXT, MHT

43. Отчѐты – трафик и события
• Составление отчетности о
каждом доступе к
приложениям
• Обращения к приложениям
• Использование типа сервиса
(HTTP/HTTPS)
• Ведущие источники
• Передача отчетов о
каждом доступе или
изменении на устройства
FortiWeb

44. Содержание
1 • Безопасность веб-приложений
2 • Развертывание и управление
3 • Доставка приложений
4 • Оценка уязвимостей
5 • Защита и мониторинг
6 • Совместимость

45. Fortinet соответствует требованиям PCI DSS
• FortiWeb полностью соответствует требованиям PCI 6.6
• Межсетевой экран веб-приложений – гарантированная защита от наиболее опасных атак OWASP
• Сканер веб-приложений
• Благодаря мониторингу информационной активности и оценке
уязвимостей баз данных FortiDB обеспечивает соответствие требованиям
PCI
• Требование 2 : Ни одному из вендоров не предоставляются значения по умолчанию к системным
паролям
• Требование 3 : Хранимая информация должна быть защищенной
• Требование 6 : Развивать и поддерживать системы информационной безопасности
• Требование 7 : Ограниченный доступ к конфиденциальной информации
• Требование 10 : Отслеживание и контроль доступа к информации владельца кредитной карточки
• Требование 11 : Регулярное системное тестирование
• Требование 12 : Поддержание политики информационной безопасности

46. FortiDB – оценка уязвимости, контроль и мониторинг БД
• Множественные методы сбора данных
• Модуль проверки текущего состояния (сниффер)
• “Родной” аудит
• Агенты
• Контроль и мониторинг
• Исключительные политики для привилегированных
пользователей, а также возможность изменять
оформление объектов/схемы данных
• Политики пользователя, сессий и обработки
данных, позволяющие осуществлять контроль
каждого запроса
• Предупреждения в реальном времени
• Предопределенные отчеты совместимости
• Уведомления о ролевых именах и полномочиях
• Оценка уязвимостей
• Распознает уязвимости и предоставляет
консультацию для исправлений
• Верифицирует конфигурации
• Использует передовой опыт
FortiDB

47. FortiWeb и FortiGate – сравнение функциональных
возможностей
Характеристики FortiWeb FortiGate Характеристики FortiWeb FortiGate
Черный/белый списки Политики перезаписи URL
HTTP хост 
“Черный список” IP-адресов  
НТТР-запрос URL 
“Белый список” IP-адресов   Ссылающийся домен HTTP 
“Черный список” URL паттернов   Безопасность прикладного уровня
Профилирование приложения 
“Белый список” URL паттернов   (самообучение)
Метод исключений  Безопасность скрытых полей 
Проверка достоверности параметров 
Атака методом подбора (bruteforce) 
Отравление Cookie 
Аутентификация, ускорение и SSL завершение
Правила страницы доступа/стартовой 
Разгрузка LDAP-аутентификации   страницы
Разгрузка NTLM -аутентификации   Защита от инъекций SQL 
Защита от XSS и XSRF атак 
Разгрузка локальной аутентификации  
Робот-контроль 
SSL завершение   Межсетевой экран XML 
SSL ускорение   Предотвращение утечки данных
Сервис FortiGuard Обнаружение кредитных карт  
Сигнатуры приложений  Раскрытие информации 
Подозрительные URL  Сканер веб-уязвимостей
Сканер веб-уязвимостей 
Сигнатуры роботов 

48. FortiWeb Value Add
• Значительно снижает риск потери
корпоративных данных.
Защита приложений
Совместимость Сигнатуры Самообучение
Предупреждение • Обеспечивает многоуровневую защиту от угроз
HTTP приложений утечки данных
• Интегрированный сканер веб-уязвимостей
• Защищает от самых актуальных веб-уязвимостей
OWASP Top 10
Доставка приложений • Автоматизированное управление с
Аутентификация Балансировка
нагрузки и
Сжатие автозапоминанием базового уровня
данных
ускорение • Легко развертывается с любом окружении
• Настраиваемое многоуровневое развертывание
FortiClient Desktop • Ускоряет работу приложений
• Выравнивание нагрузки с учѐтом особенностей
Оценка уязвимостей используемых приложений
• Сжатие
• SSL ускорение с помощью специализированного
процессора (ASIC)
• Позволяет обеспечить совместимость с (PCI)

49. Информация для заказа FortiWeb
Модель SKU Характеристики
FortiWeb-400C FortiWeb-400C, 4 x 10/100/1000 интерфейса, 1 x 1 Тбайт
FortiWeb-400C FWB-400С-BDL-EU
встроенной памяти
FortiWeb -1000C, 4 х 10/100/1000 RJ45 интерфейса, один жѐсткий диск с
FortiWeb-1000C FWB-1000C-E07S-BDL-EU
объемом памяти 1 Тбайт
FortiWeb-3000C, 6 х 10/100/1000 RJ45 интерфейсов, два жѐстких диска с
FortiWeb-3000C FWB-3000C-E02S-BDL-EU
объемом памяти 1 Тбайт
FORTIWEB-4000C, 6 х 10/100/1000 RJ45 интерфейсов, (2) 1G
FWB-4000C-BDL-EU
FortiWeb-4000C оптоволоконных интерфейса (SX) с байпасом, два жѐстких диска с
объемом памяти 1 Тбайт
• Доступные сервисы FortiGuard:
• Службы безопасности FortiWeb – сигнатуры приложений, вредоносные роботы, подозрительные
URL паттерны и паттерны сканера уязвимостей сети
• Антивирус FortiWeb – самые новые вирусы, шпионское и вредоносное ПО для сканирования
загрузочных файлов

50. Спасибо за внимание!
Мальчиков Сергей
sma@muk.ua