FortiWeb

Resumen de funcionalidades
 Julio 2015 – FortiWeb v.5.3.7

ÍNDICE
1. Introducción ........................................................................................................................... 2
1.1. Protección completa e inigualable para aplicaciones y servicios web .................... 2
1.2. Asegurar el cumplimiento de las políticas regulatorias PCI-DSS ........................... 2
2. Posibilidades de Despliegue ................................................................................................. 3
2.1. Transparent inspection ................................................................................................. 3
2.2. True Transparent Proxy ................................................................................................ 3
2.3. Reverse Proxy ................................................................................................................. 3
2.4. Offline mode .................................................................................................................. 3
3. Características......................................................................................................................... 5
3.1. Autoaprendizaje ............................................................................................................. 5
3.2. Gestión de la autenticación .......................................................................................... 5
3.3. Alta Disponibilidad........................................................................................................ 6
3.4. ADOMS .......................................................................................................................... 6
3.5. Balanceo de Carga.......................................................................................................... 6
3.6. Gestion SSL .................................................................................................................... 7
3.7. Prevención DOS ............................................................................................................ 8
3.8. Caching ............................................................................................................................ 8
3.9. Prevencion de “Zero day attacks” ............................................................................... 9
3.10. Logs / Informes .......................................................................................................... 9
3.11. Integración con gestores de logs y SIEM .............................................................. 10
3.12. Proteccion a nivel de aplicación .............................................................................. 10
3.13. DLP ............................................................................................................................. 11
3.14. Web antidefacement .................................................................................................. 12
3.15. RFC Complaining ...................................................................................................... 12
3.16. Politicas de acceso a web .......................................................................................... 12
3.17. Analisis de vulnerabilidades ..................................................................................... 12
3.19. Protección basada en reputación de IPs ................................................................ 14
3.20. Cumplimiento de normativas reguladores (PCI-DSS) ......................................... 14
4. Familia de Productos .......................................................................................................... 17
4.1. Appliances físicos ........................................................................................................ 17
4.2. Máquinas virtuales ....................................................................................................... 18

FAST. SECURE. GLOBAL. Página 1 de 19

 Julio 2015 – FortiWeb v.5.3.7

1. Introducción

1.1. Protección completa e inigualable para aplicaciones y servicios

web

La familia de firewall de aplicaciones web constituida por los appliances FortiWeb

proporciona protección completa y especializada a todos los niveles para las
aplicaciones y servicios Web de pequeñas, medianas y grandes empresas,
proveedores de servicios de aplicaciones y proveedores de Software como servicio.
Los módulos de protección de aplicaciones web y de firewall XML de los que dispone
FortiWeb protegen las aplicaciones web y los datos e información sensibles
publicados en Internet frente a ataques y pérdidas de información y datos críticos.
Mediante el uso de avanzadas técnicas para ofrecer protección bidireccional contra
ataques complejos y sofisticados como por ejemplo “SQL injection” y “Cross-site
scripting”, las plataformas FortiWeb ayudan a prevenir robos de identidad, fraudes
económicos y espionaje corporativo. Los dispositivos FortiWeb proporcionan la
tecnología imprescindible para monitorizar y aplicar las distintas normativas
regulatorias, tanto gubernamentales como de iniciativa privada, asegurar la
implantación de las prácticas de seguridad recomendadas y las adecuadas políticas
internas.

1.2. Asegurar el cumplimiento de las políticas regulatorias PCI-DSS

Mediante el uso de las herramientas automáticas de generación de informes pre

configuradas y totalmente personalizables que proporciona FortiWeb es muy
sencillo medir el cumplimiento de las normativas regulatorias, como por ejemplo los
estándares PCI DSS (Payment Card Industry’s Data Security Standard).
Las amenazas a la seguridad de las redes e infraestructuras de las organizaciones
han evolucionado enormemente y suponen una gran amenaza para las aplicaciones
y servicios web, que constituyen el punto de acceso a la información confidencial y
crítica guardada en las bases de datos de backend. En respuesta a todas estas
amenazas se constituyeron los estándares regulatorios PCI. Sin embargo, asegurar
que las aplicaciones web están completamente libres de vulnerabilidades es
complicado debido a la constante aparición de nuevas vulnerabilidades, necesidades
de parcheos, revisiones de código, a las presiones del mercado sobre los plazos
temporales de las aplicaciones, la dificultad de la identificación de vulnerabilidades e
incluso las dificultades de acceso al código de las aplicaciones.

Los appliances FortiWeb reducen de forma drástica el tiempo necesario para

proteger de forma completa los recursos públicos y privados accesibles a través de
Internet de cada organización y simplifica enormemente las tareas asociadas con la
implementación de políticas de seguridad y el cumplimiento de las distintas
normativas regulatorias.

FAST. SECURE. GLOBAL. Página 2 de 19

 Julio 2015 – FortiWeb v.5.3.7

2. Posibilidades de Despliegue
FortiWeb reduce de forma muy significativa los costes de despliegue e
implementación de las políticas de seguridad a través de la consolidación de las
funcionalidades de Firewall de Aplicaciones, Firewall XML, aceleración del tráfico
web y balanceo del tráfico de las aplicaciones en un solo dispositivo, que además no
se licencia por número de usuarios o servidores. Reduce por tanto drásticamente el
tiempo necesario para realizar el análisis, diseño e implementación de una política
de protección completa y eficaz de los recursos y aplicaciones web de cualquier
organización o empresa.

2.1. Transparent inspection

Despliegue en forma de “bridge” de nivel dos que no requiere de ningún tipo de
rediseño de la arquitectura de red, ya que no produce ningún impacto a nivel de
routing ni cambio en la topología lógica de la red.

2.2. True Transparent Proxy

Despliegue a nivel dos, como en el caso anterior, y que por tanto no requiere de
ningún tipo de rediseño de la arquitectura de la red. La diferencia con el modo de
despliegue antes indicado es que en este caso el tráfico se trata de forma interna
mediante Proxy, con lo que permite ofrecer más funcionalidades que la inspección
pura, es decir, más funcionalidades que el modo “Transparent inspection”.

2.3. Reverse Proxy

Es el modo de despliegue más intrusivo, ya que se configura a nivel tres, pero

también es el modo que ofrece mayor número de funcionalidades y capacidades,
cómo URL rewrite, balanceo o SSL offloading.

2.4. Offline mode

Es un modo de despliegue offline, que permite monitorizar cualquier entorno sin

producir ningún tipo de impacto ni latencia en el mismo. Es ideal para pilotos,
demos y fases iniciales de cualquier implantación ya que permite analizar el
comportamiento de las aplicaciones y servicios web, y decidir qué política de
protección es necesario implantar para los mismos, pero sin producir ningún
impacto en la red y los servicios que presta la organización

FAST. SECURE. GLOBAL. Página 3 de 19

 Julio 2015 – FortiWeb v.5.3.7

FAST. SECURE. GLOBAL. Página 4 de 19

 Julio 2015 – FortiWeb v.5.3.7

3. Características

3.1. Autoaprendizaje

FortiWeb utiliza el “Modelo de Seguridad Positiva” para ofrecer protección contra

cualquier vulnerabilidad conocida o desconocida. Una vez que se define una política
para cualquier aplicación o servicio web, el dispositivo FortiWeb comienza a analizar
y monitorizar todo el flujo de tráfico dirigido hacia esa aplicación. Basándose en una
técnología de análisis del comportamiento denominada Auto-Learn (perfiles Auto-
Learn), FortiWeb construye un patrón dinámico de los elementos permitidos para
dicha aplicación. Analizando el comportamiento de los usuarios de la aplicación,
FortiWeb es capaz de entender y determinar cómo debe accederse a la aplicación
web. Las URLs permitidas se crean con todos los parámetros relevantes para cada
una de ellas. Las restricciones y las características de los distintos parámetros se
incluyen también en el perfil para proporcionar una visión global de la estructura de
cada aplicación y determinar que constituye el comportamiento normal de los
usuarios.
La funcionalidad de Auto-Learn es totalmente transparente y no requiere de ningún
cambio en las aplicaciones web o en la arquitectura de red. Usando Auto-Learn,
FortiWeb no escanea la aplicación para determinar el perfil, sino que analiza de
forma exhaustiva todo el tráfico que se dirige hacia la aplicación.
De esta forma, creando un perfil de seguridad inteligente y adaptado a cada
aplicación FortiWeb es capaz de proteger frente a cualquier vulnerabilidad conocida
o desconocida, ataques “zero day” como SQL Injection, Cross Site Scripting y
cualquier otro ataque a nivel de aplicación.

3.2. Gestión de la autenticación

Permite descargar a los servidores web de las tareas de autenticación, dado que la
plataforma FortiWeb soporta diferentes tipos y esquemas de autenticación: local,
autenticación contra servidores LDAP, Kerberos, autenticación NTLM, con opción de
doble factor de autenticación.

FAST. SECURE. GLOBAL. Página 5 de 19

 Julio 2015 – FortiWeb v.5.3.7

3.3. Alta Disponibilidad

La posibilidad de desplegar los appliances FortiWeb en alta disponibilidad (modo

activo-pasivo) proporciona sincronización automática de las configuraciones y
permite responder frente a cualquier fallo a nivel de red o caída de alguno de los
equipos proporcionando redundancia y robustez completa frente a fallos. También
es posible realizar la sincronización automática de configuraciones entre equipos
FortiWeb que no estén desplegados en alta disponibilidad. También existe un modo
en el cual ambos nodos funcionarían de manera independiente pero sincronizando
la configuración.

3.4. ADOMS

En entornos de grandes empresas, o de alojamientos compartidos de webs, es útil la

función de ADOM’s, o dominios administrativos, la cual nos permite separa
conjuntos de políticas, de forma que tengamos administradores en cada dominio.

Estos administradores podrán iniciar sesión y acceder directamente a su dominio,

como si se tratara de un FortiWeb aparte. Si iniciamos sesión con el usuario admin,
podremos acceder a todos los dominios.

En el caso de utilizar adoms, las opciones globales del equipo solo las podrá
modificar el usuario admin. Estas opciones son:

 operation mode
 network interfaces
 system time
 backups
 administrator accounts
 access profiles
 FortiGuard connectivity settings
 HA and configuration sync
 SNMP
 RAID
 TCP SYN flood anti-DoS setting
 vulnerability scans
 exec ping and other global operations that exist only in the CLI

3.5. Balanceo de Carga

En el caso de tener granjas de servidores, tendremos la opción de repartir las

conexiones que se dirijan a estos. Especificando una granja que contenga varios
miembros, FortiWeb, mediante el algoritmo que hayamos seleccionado, repartirá las
sesiones.
Los algoritmos de balanceo son:

 Round Robin: Distribuye las sesiones igualmente a cada miembro de la granja.

FAST. SECURE. GLOBAL. Página 6 de 19

 Julio 2015 – FortiWeb v.5.3.7


Weighted Round Robin: Distribuye las sesiones basandonos en pesos que
hayamos establecido para cada miembro.
 Least Connection Manda las conexiones al miembro de la granja que menos
conexiones haya recibido.
También es posible configurar persistencia de sesiones para que todas las peticiones
HTTP o HTTPS que haga un cliente se realicen contra el mismo servidor.
Las persistencias soportadas son:
 Persistent IP
 Persistent Cookie
 Insert Cookie
 ASP Session ID
 PHP Session ID
 JSP Session ID

También se dispone de la opción de heath check, mediante la cual podremos

comprobar el estado de un servidor, y, en el caso de que este no esté operativo
redirigir sus sesiones a otro servidor.

3.6. Gestion SSL

En el caso de que los servidores a proteger no utilicen SSL / TLS, tendremos la opción
de terminar el túnel SSL en FortiWeb. Mediante esta característica conseguimos dos
ventajas:

 Evitar reprogramar la aplicación, para que funcione con trafico encriptado.

 Descargar al servidor de los procesos de cifrado / descifrado, con lo que
conseguimos más recursos para el proceso propio de la aplicación.

En la siguiente imagen se observa el proceso de SSL offloading:

Existe otra opción llamada SSL inspection donde se puede descifrar el tráfico HTTPS
que pase por el FortiWeb cargando los correspondientes certificados con su clave
pública y privada sin necesidad de terminar el túnel SSL en el propio FortiWeb.
Con esto conseguiremos aplicar tanto la capa de protección así como el resto de
capas sobre tráfico cifrado HTTPS.

En la siguiente imagen se observa el proceso de SSL inspection:

FAST. SECURE. GLOBAL. Página 7 de 19

 Julio 2015 – FortiWeb v.5.3.7

3.7. Prevención DOS

FortiWeb, entre sus características de protección de entornos web, cuenta con un módulo
de protección de ataques de denegación de servicio.

Un ataque de denegación de servicio, también llamado ataque DOS, es un ataque a un

sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los
usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el
consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos hardware
del sistema de la víctima.

Se genera mediante la saturación de los puertos con flujo de información, haciendo que el
servidor se sobrecargue y no pueda seguir prestando servicios; por eso se le denomina
"denegación", pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta
técnica es usada por los llamados crackers para dejar fuera de servicio servidores objetivo.

Los ataques de denegación de servicio, se categorizan según las capas 3, 4 y 7 del modelos
OSI:

 Capa de aplicación (capa 7) (HTTP or HTTPS)

 Capa de red y transporte (capas 3 y 4) (TCP/IP)

FortiWeb es capaz de detector y parar ataque en ambas capas llegando a discriminar si esa
petición llega de un navegador o de un bot.

3.8. Caching

Para incrementar el rendimiento del servidor, reduciendo su carga de trabajo, asi

como la carga de la red, FortiWeb puede cachear ciertos contenidos, respondiendo
este a las peticiones web.

FAST. SECURE. GLOBAL. Página 8 de 19

 Julio 2015 – FortiWeb v.5.3.7

Normalmente, FortiWeb reenvía las peticiones a los servidores. Cuando tengamos

activada la cache de contenidos, FortiWeb reenviará únicamente las peticiones de
contenidos que:

 No existan en la cache

 No sean cacheables

Cuando se realizan peticiones de contenido cacheable, el tráfico hacia los servidores

desciende, de forma que los liberamos de recursos y, a la vez, descargamos la red de
tráfico.

3.9. Prevencion de “Zero day attacks”

Un ataque de día-cero es un ataque contra una aplicación o sistema que tiene como
objetivo la ejecución de código malicioso gracias al conocimiento de
vulnerabilidades que, por lo general, son desconocidas para la gente y el fabricante
del producto. Esto supone que aún no han sido parcheadas. Un ataque de día cero
se considera uno de los más peligrosos dentro de los ciberataques existentes.

FortiWeb nos permite defendernos de ataques “zero day”, o ataques para los cuales
no tenemos una firma definida. Podemos utilizar las siguientes técnicas para
defendernos de ataques de dia 0:

- HTTP Protocol Constraints

- Parameter Input Validation
- Access Control

3.10. Logs / Informes

FAST. SECURE. GLOBAL. Página 9 de 19

 Julio 2015 – FortiWeb v.5.3.7

FortiWeb proporciona cientos de informes tanto predefinidos como creados de

forma completamente personalizada, permitiendo a los administradores o auditores
analizar los distintos ataques, eventos y los flujos de tráfico, entre otros propósitos
con el fin de asegurar y verificar el cumplimiento de las distintas normativas
regulatorias. Por este motivo, FortiWeb tiene preconfigurados un conjunto de
Informes PCI.

3.11. Integración con gestores de logs y SIEM

FortiWeb es capaz de integrarse con diversos gestores de logs entre ellos
Fortianalyzer el gestor de logs y reportes de Fortinet. Anivel de SIEM es capaz de
integrarse con HP ArcSight.

3.12. Proteccion a nivel de aplicación

FortiWeb incluye un completísimo diccionario de firmas de ataques con el fin de

proteger contra todos los ataques conocidos a nivel de aplicación. Un moderno y
sofisticado motor se ocupa de escanear el tráfico entrante y saliente, identificando
cada elemento que se corresponda con un “exploit” conocido y predefinido.

La enorme flexibilidad del motor de escaneo que ofrecen los dispositivos FortiWeb
permite a cada organización desarrollar sus propias firmas mediante el uso de
expresiones regulares. Esto permite crear firmas nuevas y completamente
personalizadas para cada aplicación y vulnerabilidad.

La base de datos de firmas de FortiWeb se actualiza regularmente de forma

automática mediante los servicios de subscripción de FortiGuard, que ofrecen
actualizaciones continuas y automáticas y ofrecen protección dinámica basada en el
trabajo del equipo de desarrollo de “Fortinet® Global Security Research Team”, que
se ocupa de investigar y desarrollar la necesaria protección frente a cualquier
amenaza de seguridad conocida o potencial.

FortiWeb extiende el nivel de protección de “seguridad negativa” con un nivel de

cumplimiento HTTP RFC asegurando que cualquier acceso a las aplicaciones que se
están protegiendo se realiza según los estándares HTTP. Asimismo, ofrece una
configuración avanzada y mejorada de políticas con múltiples reglas para proteger
las aplicaciones contra ataques de “buffer overflow”, ataques a nivel de código y en
general de cualquier ataque que trate de manipular el protocolo HTTP.

FAST. SECURE. GLOBAL. Página 10 de 19

 Julio 2015 – FortiWeb v.5.3.7

3.13. DLP

Ofrece monitorización y protección extendidas para proteger frente a robos de

información de tarjetas de crédito y filtraciones de la información contenida en las
aplicaciones monitorizando cuidadosamente todo el tráfico saliente. Esta
funcionalidad permite que los clientes creen sus propias firmas y patrones de DLP de
forma totalmente granular, combinándolas con las reglas predefinidas para lograr
una protección completa contra todo tipo de ataques y eventos.

FAST. SECURE. GLOBAL. Página 11 de 19

 Julio 2015 – FortiWeb v.5.3.7

3.14. Web antidefacement

El “Anti Web Defacement” se trata de una funcionalidad única que proporciona la
capacidad de monitorizar el contenido y los ficheros de las aplicaciones que se
quiera proteger. Detecta cualquier alteración o modificación no autorizada de la
aplicación y su contenido. Además permite volver a la versión correcta de estos
contenidos de forma automática y muy sencilla, dado que estas versiones correctas
del contenido se almacenan en el dispositivo FortiWeb. Lógicamente esta
funcionalidad está pensada fundamentalmente para contenidos estáticos, que no
estén modificándose continuamente.

3.15. RFC Complaining

FortiWeb es capaz de bloquear cualquier ataque que trate de manipular el protocolo

HTTP asegurando el cumplimiento estricto de los estándares RFC con la finalidad de
proteger frente a ataques como “enconding attacks”, “buffer overflows” y cualquier
otro ataque específico de aplicación.

3.16. Politicas de acceso a web

Asegurar el correcto acceso a las aplicaciones siguiendo la lógica del negocio es una
parte importantísima de la seguridad de las aplicaciones web. Las aplicaciones que
no implementan este tipo de seguridad son completamente vulnerables a ataques
de “Cross Site Request Forgery (CSRF)”. Por ejemplo, las aplicaciones de comercio
electrónico no deberían permitir accesos directos a las páginas de pago o de envío
directamente, sin antes haber pasado por las páginas de selección de artículos.

Definiendo una regla de acceso a páginas web (Page Access rule) en FortiWeb, se
bloquean los ataques de CSRF, ayudando además a cumplir los requisitos OWASP
Top Ten (requisito A5).

Además, los dispositivos FortiWeb ofrecen la posibilidad de configurar políticas de

página web de inicio (Start Pages policy) que permiten definir cuál debe ser el punto
de entrada a una aplicación ayudando a evitar las peticiones que tratan de evitar y
saltarse el proceso de autenticación, o a cualquier entorno que requiera de que la
navegación comience en una página específica.

3.17. Analisis de vulnerabilidades

FortiWeb es la única tecnología para proteger entornos web que ofrece un módulo
de Escaneo de Vulnerabilidades capaz de escanear y analizar de forma automática
las aplicaciones web, detectando las debilidades y vulnerabilidades conocidas y
desconocidas de las mismas.
Además del módulo de Vulnerability Scanner integrado ofrece integración con
scaners de terceros como Acunetix. Pudiendo mediante la importación del reporte

FAST. SECURE. GLOBAL. Página 12 de 19

 Julio 2015 – FortiWeb v.5.3.7

generar firmas para proteger las vulnerabilidades descubiertas al escanear el

entorno web.
Junto con el módulo de Web Application Firewall constituye una solución integral
para los requisitos PCI DSS 6.5 y 6.6 permitiendo a las organizaciones escanear sus
propias aplicaciones, identificar las posibles vulnerabilidades y protegerlas
completamente en tiempo real usando una única plataforma.

FAST. SECURE. GLOBAL. Página 13 de 19

 Julio 2015 – FortiWeb v.5.3.7

3.19. Protección basada en reputación de IPs

También llamada FortiGuard IP Reputation. Esta protección se basa en la inteligencia
en la nube de Fortinet llamada FortiGuard. Mediante actualizaciones diarias
FortiGuard es capaz de proveer a FortiWeb un listado de IPs maliciosas con distinta
categorización según el tipo de amenaza que representen.
Las categorías son:
 Botnet
 Anonymous Proxy
 Phishing
 Spam
 Others
Una vez siendo capaces de detectar dichas IPs maliciosas podremos realizar una
acción ya sea alertar o directamente bloquear por esa IP de origen como se ve en la
imagen a continuación:

3.20. Cumplimiento de normativas reguladores (PCI-DSS)

FortiWeb es el único producto que ofrece un módulo de Escaneo de

Vulnerabilidades que constituye una solución integral para cumplir la sección 6.6 de
las normativas regulatorias PCI DSS. Como ya se ha mencionado anteriormente, es
capaz de generar informes específicos para la normativa PCI.

Asimismo, FortiWeb es capaz de cumplir con la protección necesaria para no ser

vulknerables al OWASP Top 10, cuyos ataques y técnicas de mitigación se detallan
en la siguiente tabla:

OWASP Top 10 Explanation FortiWeb Mitigation

A1. Injection Injection flaws, such as SQL, OS, and
LDAP injection, occur when
untrusted data is sent to an
interpreter as part of a command or
query. The attacker’s hostile data
can trick the interpreter into
executing unintended commands or
accessing unauthorized data.
Auto-Learn profiling
automatically builds an allowed
baseline allowing a
comprehensive request
validation feature to enforce
strict URL and parameter control.
Enhanced application signature
detection engine adds a
secondary layer for abnormal
characters and known injection
strings.

FAST. SECURE. GLOBAL. Página 14 de 19

 Julio 2015 – FortiWeb v.5.3.7
A2. Cross-Site XSS flaws occur whenever an
Scripting (XSS) application takes untrusted data and
sends it to a web browser without
proper validation and escaping. XSS
allows attackers to execute scripts in
the victim’s browser which can hijack
user sessions, deface web sites, or
redirect the user to malicious sites.
A3. Broken Application functions related to
Authentication and authentication and session
Session management are often not
Management implemented correctly, allowing
attackers to compromise passwords,
keys, session tokens, or exploit other
implementation flaws to assume
other users’ identities.
A4. Insecure Direct A direct object reference occurs
Object References when a developer exposes a
reference to an internal
implementation object, such as a file,
directory, or database key. Without
an access control check or other
protection, attackers can manipulate
these references to access
unauthorized data.
A5. Cross-Site A CSRF attack forces a logged-on
Request Forgery victim’s browser to send a forged
(CSRF) HTTP request, including the victim’s
session cookie and any other
automatically included
authentication information, to a
vulnerable web application. This
allows the attacker to force the
victim’s browser to generate
requests the vulnerable application
thinks are legitimate requests from
the victim.
A6. Security Good security requires having a
Misconfiguration secure configuration defined and
deployed for the application,
frameworks, application server, web
server, database server, and
platform. All these settings should be
defined, implemented, and
maintained as many are not shipped
with secure defaults. This includes
keeping all software up to date,
including all code libraries used by
the application.
FAST. SECURE. GLOBAL.
Application signature detection
engine includes various XSS
signatures. Request validation
process ensures only relevant
characters can be submitted.
Enforces session management
with strict cookie control.
Provides various Authentication
Offload capabilities (supporting
Local, LDAP and NTLM) to
minimize application security
flaws.
Auto-Learn profiling builds a
comprehensive profile of allowed
elements within the application.
Any attempt to manipulate a
parameter will trigger an alert
and immediately be blocked.
Hidden Fields Rules detect and
block any attempt by the client to
alter a hidden parameter value.
Strict reference page enforcing
provides protection against
sophisticated CSRF attacks. Also,
page access rules allow
customers to define URL order.
Common CSRF attacks attempt to
submit a specific crafted request.
For example, FortiWeb enforces
a page order sequence that will
block the request if it didn’t go
through the proper payment
order sequence and as such -
invalid.
1) Using Auto-Learn FortiWeb will
block any attempt made by an
attacker to exploit a
misconfigured web application.
2) Through monitoring
application responses, FortiWeb
is able to identify any application
failure.
3) Vulnerability Scanner module
scans the protected applications,
finds inherent misconfigurations
and quickly turns them to
security rules.
Página 15 de 19
 Julio 2015 – FortiWeb v.5.3.7
A7. Insecure Many web applications do not
Cryptographic properly protect sensitive data, such
Storage as credit cards, SSNs, and
authentication credentials, with
appropriate encryption or hashing.
Attackers may steal or modify such
weakly protected data to conduct
identity theft, credit card fraud, or
other crimes.
A8. Failure to Many web applications check URL
Restrict URL access rights before rendering
Access protected links and buttons.
However, applications need to
perform similar access control checks
each time these pages are accessed,
or attackers will be able to forge
URLs to access these hidden pages
anyway.
A9. Insufficient Applications frequently fail to
Transport Layer authenticate, encrypt, and protect
Protection the confidentiality and integrity of
sensitive network traffic. When they
do, they sometimes support weak
algorithms, use expired or invalid
certificates, or do not use them
correctly.
A10.Unvalidated Web applications frequently redirect
Redirects and and forward users to other pages
Forwards and websites, and use untrusted
data to determine the destination
pages. Without proper validation,
attackers can redirect victims to
phishing or malware sites, or use
forwards to access unauthorized
pages.
FAST. SECURE. GLOBAL.
Extended monitoring and
protection for all outgoing traffic
prevents sensitive information
leakage such as credit card
numbers, Social Security
numbers and many other types
of information disclosure.
Authentication Offload allows
organizations to use FortiWeb to
authenticate different URLs in
different Realms. Administrators
can define URL groups that
require specific authentication
while other URLs open to the
public. Using FortiWeb’s
authentication capability ensures
correct URL access rights are
enforced.
FortiWeb, when deployed as a
reverse proxy, adds a SSL layer
and enforces SSL v3 only and
cipher size higher than 128 bits to
maintain strong encryption.
Auto-Learn profiling
indentifies when parameters
are used in a different
manner then supposed to.
Validation enforcement
makes sure characters that
are usually associated with
redirects and forwards are
not allowed as part
application usage.
Página 16 de 19
 Julio 2015 – FortiWeb v.5.3.7

4. Familia de Productos

4.1. Appliances físicos

La familia FortiWeb se sirve principalmente en appliances físicos. Estos, están

dimensionados de forma que la gama FortiWeb sea apta para entornos de
datacenter privados hasta grandes hostings.

En la siguiente tabla vemos una comparativa de la familia actual:

FAST. SECURE. GLOBAL. Página 17 de 19

 Julio 2015 – FortiWeb v.5.3.7

4.2. Máquinas virtuales

Asi como appliances físicos, se dispone también de máquinas virtuales, listas para integra en
los siguientes hipervisores:

- VMware ESX/ESXi
- Microsoft Hiper-v
- Citrix XenServer
- Open source XEN
- Amazon web services

En la siguiente tabla observamos una comparativa de los diferentes modelos de máquina

virtual:

FAST. SECURE. GLOBAL. Página 18 de 19

 Julio 2015 – FortiWeb v.5.3.7

FAST. SECURE. GLOBAL. Página 19 de 19