IT Security

Web Application Firewall von Fortinet

Web-Anwendungen nutzt nahezu jeder wie selbstverständlich – und es ist ebenso selbstverständlich, dass sie auch funktionieren. War in der Vergangenheit oft nur die Rede von E-Mail-Portalen, CRM Portalen und ähnlichem – also reinen Business Anwendungen für Mitarbeiter – so haben wir es inzwischen im Alltag eines jeden Internetnutzers damit zu tun.

Das Programmieren von Web-Anwendungen ist in der Regel fokussiert auf eine bestimmte Funktionalität und auf eine möglichst schnelle Verfügbarkeit, sowie geringe Kosten. Das Einbinden der notwendigen Sicherheits-Algorithmen erfordert einen mit zunehmender Komplexität der Anwendungen immens steigenden Programmieraufwand – und erzeugt damit Kosten sowie eine Verzögerung der Auslieferung. Gleiches gilt für die ständigen Updates der Anwendung, die nur noch selten statisch und unverändert bleibt.

Security in einer Web-Anwendung einzubinden stellt somit nicht nur eine große Herausforderung dar, es wird in den meisten Fällen schlicht vernachlässigt oder nur oberflächlich umgesetzt.

Web Services und „normale“ Firewalls

Eine normale Firewall – auch wenn sie über IPS und Applikationskontrolle verfügt – ist nicht in der Lage, Web Service-based Angriffe zu erkennen und abzuwehren. Ein Beispiel hierfür sind sogenannte XDoS-Attacken, die auf nur einem einzigen System mit wenigen Byte Code erzeugt werden können, da XML rekursive Strukturen erlaubt. Mit einem simplen Eingriff ist so z.B. eine Endlosschleife „programmierbar“, die denselben Effekt erzeugt, wie ein „normaler“ DoS Angriff, für den i.d.R. mehrere tausend Systeme manipuliert und fremdgesteuert werden müssen.

Sicherheit mit FortiWeb

Die FortiWeb Produktfamilie repräsentiert eine solche integrierte Web-Security Appliance-Serie. FortiWeb stellt neben den Modulen Web Application Firewall, XML Firewall und Web Traffic Optimizer auch ein Applikations-basierendes Load Balancing sowie einen leistungsfähigen Schwachstellenscanner bereit.

Mit der Möglichkeit des Auto-Learning ist es überdies möglich, den Traffic zu Web Anwendungen regelmäßig zu analysieren und entsprechende Security Profile automatisiert zu erstellen – ohne Eingriff in die vorhandene Netzwerkinfrastruktur oder die zu schützende Applikation. Ein Policy Wizard sowie voreingestellte Regelwerke erleichtern den Einsatz und die Inbetriebnahme der FortiWeb Appliances ebenso wie die verschiedenen Anwendungsszenarien als Transparent Inspection, Reverse oder True Transparent Proxy, sowie Offline Sniffing.

  • Web Application Firewall
    Schützt Web Applikationen zur Einhaltung von Compliance Richtlinien
  • Web Vulnerability Scanner
    Scannt, analysiert und entdeckt Schwachstellen in Web Applikation
  • Application Delivery
    Stellt Verfügbarkeit kritischer Web Applikationen sicher und optimiert deren Performance

FortiWeb Highlights

  • ICSA WAF zertifiziert
  • DoS Schutz auf Netzwerk- und Application Layer
  • User Verhaltensanalyse
  • User-unabhängige Lizensierung
  • Geo-IP Analyse
  • Schutz gegen OWASP Top10
  • Schwachstellen Management von Web-Applikationen

Weitere Features

  • Beschleunigung kritischer Web-Anwendungen
  • Unterstützung bei PCI DSS 6.6 Compliance Anforderungen
  • Flexible Einsatzmöglichkeiten durch Inline, Transparent- oder Reverse-Proxy und Offline Sniffer
  • Schnelles Setup durch Auto-Learn Security Profiling, Policy Wizard und voreingestellte Policies
  • Anti Web Defacement
  • Data Loss Prevention
  • Application Load Balancing
  • SSL Offloading
  • Data Compression