Kết hợp với FortiGate
FortiWeb được thiết kế để sử dụng kết hợp với FortiGate, các hệ thống không "dẫm chân lên nhau" mà thực sự cần thiết vào bổ sung cho nhau.
Triển khai
FortiWeb cho phép triển khai linh hoạt và nhanh chóng vào hạ tầng mạng hiện hữu với ít thay đổi nhất. Hầu như bạn chỉ việc "thẩy" FortiWeb vào để bảo vệ cho các ứng dụng Web của mình.1. Proxy mode
Hình 1. Chế độ hoạt động "Reverse Proxy Mode"
Đây là chế độ hoạt động mặc định và thông dụng nhất trong các bối
cảnh triển khai thực tế cho Web Application Firewall. Hầu hết các đặc
tính của FortiWeb đều được hỗ trợ trong chế độ triển khai này.Các yêu cầu được gởi tới một địa chỉ ảo VIP được cấu hình trên FWB mà không phải gởi trực tiếp tới Máy chủ ứng dụng thực, ở đây FWB có thể thực hiện NAT cho máy chủ thực sự sử dụng bên trong mạng
FWB đầu tiên sẽ thực thi một chính sách bảo mật, sau đó chuyển tiếp lưu lượng được phép tới máy chủ. FWB sẽ thực hiện Kết xuất, Chặn, hoặc hoặc thực hiện tác vụ Thay đổi cho các Vi phạm tương ứng các chính sách bảo mật đã thiết lập.
Trong hình vẽ trên, FWB hoạt động trong chế độ "Reverse Proxy": một Client từ Internet truy cập web server qua FWB. Một Firewall cần thiết được đặt giữa FWB và Internet để lọc/điều chỉnh các lưu lượng không phải HTTP/HTTPS.
- Port1 được dùng với mục đích quản trị mạng
- Port2 được kết nối với FW
- Port3 được kết nối tới Switch, tại đó kết nối cho các máy chủ, giả sử ta có 2 web server.
- FWB vừa thực hiện Bảo mật cho Ứng dụng Web, vừa Cân bằng tải cho các máy chủ ứng dụng này.
2. Transparent mode
Hình 2. Chế độ hoạt động "Transparent Mode"
Hình 2 mô trả một ví dụ triển khai cho 2 trường hợp "true transparent proxy" hoặc "transparent inspection" mode.Một người dùng truy cập web server từ Internet qua FWB. Một Firewall được lắp đặt giữa Internet và FWB dùng để lọc ra các lưu lượng không phải HTTP/HTTPS.
- Port1 được dùng với mục đích quản trị mạng
- Port3 được kết nối với FW
- Port4 được kết nối tới Switch, tại đó kết nối cho các máy chủ, giả sử ta có 2 web server.
- FWB vừa thực hiện Bảo mật cho Ứng dụng Web, vừa Cân bằng tải cho các máy chủ ứng dụng này.
Các chế độ "true transparent proxy" và "transparent inspection" là như nhau về Topo mạng nhưng khác biệt ở cách thức xử lý dữ liệu:
- True transparent proxy:
- FortiWeb thực hiện hành vi proxy một các trong suốt cho dữ liệu đi đến như một cầu nối ở Layer 2,
- FWB thực thi chính sách bảo mật đầu tiên phù hợp
- cho phép lưu lượng thông nếu phù hợp chính sách
- kết xuất thông tin, chặn lưu lượng, sửa đổi kết nối, nếu có vi phạm chính sách an ninh mạng.
- chế độ hoạt động này hỗ trợ Xác thực người dùng thông qua HTTP nhưng không hỗ trợ HTTPS
- Transparent inspection:
- FortiWeb phân tích dữ liệu đến một cách không đồng bộ
- FWB thực thi chính sách bảo mật đầu tiên phù hợp
- cho phép lưu lượng thông nếu phù hợp chính sách (do cơ chế không đồng bộ, độ trễ được giảm thiểu).
- tiếp theo FortiWeb sẽ kết xuất thông tin, chặn lưu lượng, nhưng không sửa đổi kết nối, nếu có vi phạm chính sách an ninh mạng (Nó không thể thực hiện offload SSL, cân bằng tải cho các kết nối và không hỗ trợ xác thực người dùng).
3. Offline Protection mode
Hình 1. Chế độ hoạt động "Offline Protection Mode"
Có thể gọi chế độ này là “Out-of-band” mode. Chế độ này đòi hỏi ít
thay đổi nhất về mạng lưới. Nó không gây trễ cho các luồng dữ liệu
vào/ra. Tuy nhiên, nhiều tính năng không được hỗ trợ. Chế độ này có vẻ
sẽ thích hợp cho các công việc phân tích lưu lượng trước khi quyết định
lắp đặt và cấu hình chính thức cho FortiWeb (ở chế độ Reverse Proxy).- Các Reques từ Client sẽ đến trực tiếp Server mà không qua "trung gian" FortiWeb. Dữ liệu được sao chép để gởi đến FortiWeb làm nhiệm vụ Phân tích với mục đích bảo mật.
- Nếu không xuất hiện vi phạm chính sách an ninh mạng, sẽ không có phản hồi này từ FortiWeb.
- FWB giám thính liên tục dữ liệu và thực thi chính sách đầu tiên phù hợp.
- Do không nằm trên đường truyền dữ liệu, FWB sẽ không thể chuyển tiếp các luồng lưu lượng hợp lệ. FWB có thể kết xuất hoặc chặn lại các vi phạm theo chính sách an ninh mạng đã thiết lập.
- Nếu FWB phát hiện vi phạm, nó sẽ gởi gói "TCP RST" tới Web server và client để cố kết thúc kết nối không hợp lệ này. Nó không thể sửa đổi lưu lượng (chẳng hạn, nó không thể thực hiện Offload SSL, cân bằng tải các kết nối hoặc hỗ trợ xác thực người dùng).
Khóa đào tạo Power BI phân tích báo cáo để bán hàng thành công
KHÓA HỌC LẬP TRÌNH PYTHON TỪ CƠ BẢN ĐẾN CHUYÊN NGHIỆP
Khóa học Lập trình Visual Foxpro 9 - Dành cho nhà quản lý và kế toán
Khóa học hướng dẫn về Moodle chuyên nghiệp và hay
Xây dựng hệ thống đào tạo trực tuyến chuyên nghiệp tốt nhất hiện nay.
Khóa học AutoIt dành cho dân IT và Marketing chuyên nghiệp
Khoá học Word từ cơ bản tới nâng cao, học nhanh, hiểu sâu
Khóa học hướng dẫn sử dụng Powerpoint từ đơn giản đến phức tạp HIỆU QUẢ
Khóa học Thiết kế, quản lý dữ liệu dự án chuyên nghiệp cho doanh nghiệp bằng Bizagi
Khóa học Phân tích dữ liệu sử dụng Power Query trong Excel
Khóa học “Thiết kế bài giảng điện tử”, Video, hoạt hình
kiếm tiền Youtube bằng phần mềm Camtasia Studio
Khóa học HƯỚNG DẪN THIẾT KẾ VIDEO CLIP CHO DÂN MARKETING CHUYÊN NGHIỆP
HƯỚNG DẪN THIẾT KẾ QUẢNG CÁO VÀ ĐỒ HỌA CHUYÊN NGHIỆP VỚI CANVA
Hãy tham gia khóa học để trở thành người chuyên nghiệp. Tuyệt HAY!😲👍
GOOGLE SPREADSHEETS phê không tưởng
Khóa học sử dụng Adobe Presenter-Tạo bài giảng điện tử
Khóa học sử dụng Edmodo để dạy và học hiện đại để thành công
Cập nhật công nghệ từ Youtube tại link: congnghe.hocviendaotao.com
Tham gia nhóm Facebook
Để tham gia khóa học công nghệ truy cập link: http://thuvien.hocviendaotao.com
Mọi hỗ trợ về công nghệ email: dinhanhtuan68@gmail.com
