FortiWeb : Pare-feu d'application web et protection des API

Une protection fondée sur le Machine Learning pour les applications métiers cruciales

Étude de cas : Fortinet capitalise sur sa propre solution WAF-as-a-Service pour se protéger
web product icon web application security

Présentation de FortiWeb

FortiWeb, le pare-feu d’applications Web de Fortinet protège les applications web contre l'exploitation de vulnérabilités connues et inconnues.

La surface d'attaque de votre application web évolue rapidement, au rythme des nouvelles technologies que vous déployez, de la mise à jour de vos outils existants et de l'utilisation d'API web. Une solution s'impose pour répondre à ces évolutions.  FortiWeb est cette solution.

FortiWeb déploie une approche intégrale de protection des applications web en tirant parti d'un service de réputation des IP, d'une protection contre les DDoS, d'une validation des protocoles, de signatures spécifiques aux attaques ciblant les applications, ou encore de la neutralisation des bots. Vous protégez ainsi vos applications web contre un large panel de menaces, et notamment celles du Top 10 OWASP.  Mais nous allons encore plus loin.

Le Machine Learning dont bénéficie FortiWeb définit et alimente un modèle qui identifie les comportements utilisateurs considérés comme légitimes. Ce même modèle détecte également le trafic malveillant bien plus rapidement que la plupart des outils WAF qui exigent des processus manuels. 

Regardez notre webinaire Evolve Your Approach to Securely Deploying Web Applications pour découvrir l'approche innovante de FortiWeb à la sécurité des applications Web et connaître notre nouvelle offre SaaS :  FortiWeb-Cloud WAF as a Service. 

        

Vidéos de FortiWeb

Fortiweb Machine Learning
Fortinet FortiWeb Cloud WAF-as-a-Service

Informations produit sur FortiWeb

Les pare-feux d'application web FortiWeb proposent des fonctionnalités évoluées qui protègent vos applications web et vos API contre les menaces connues et zero-day. En déployant une sécurité multi-couche, FortiWeb permet de lutter contre les menaces, dont celles du Top 10 OWASP. Le Machine Learning de FortiWeb personnalise la protection de chaque application et propose une sécurité robuste. Contrairement à nombre de WAF du marché, l'utilisateur est libéré des tâches manuelles de paramétrage. Ce Machine Learning permet à FortiWeb d'identifier toute anomalie comportementale, mais également de différencier les anomalies bénignes et malveillantes. Cette plateforme offre une fonction de protection contre les bots : seuls ceux légitimes (moteur de recherche par exemple) sont autorisés.

FortiWeb offre des options de déploiement qui protègent les applications métiers, où que ces dernières soient hébergées. Parmi ces options : des appliances physiques, des machines virtuelles et des conteneurs qui se déploient au sein du data center, des environnements cloud ou de la solution cloud FortiWeb Cloud WAF as a Service.

 

« Le cloud est appelé à grandir. Il est pertinent d'utiliser une seule plateforme Fortinet pour les deux services cloud d'Amazon et de Microsoft. Cette protection nous apporte la protection nécessaire, ainsi que des économies d'échelle, puisque nous n'avons pas à assurer la maintenance de deux systèmes différents. »
Stuart Berman
Global Security Architect, Steelcase

 

Consulter  l'étude de cas Steelcase

Fonctionnalités et avantages

checkmark icon

Une protection éprouvée des applications web et des API 

FortiWeb protège contre toutes les menaces du Top-10 OWASP, les attaques DDoS, les attaques de bots et davantage. Les applications web métiers et les API sont ainsi parfaitement protégées. 
icon artificial intelligent

Une détection des menaces basée sur le Machine Learning

Au-delà de la mise à jour régulière des signatures et des nombreuses autres couches de protection, FortiWeb capitalise sur le Machine Learning pour déjouer les attaques zero-day et minimiser le nombre de faux-positifs. 
Icon security fabric

Intégration avec la Security Fabric

L'intégration avec les pare-feux FortiGate et avec FortiSandbox assure une protection optimale contre les menaces APT
analytics icon

Traitement analytique graphique et évolué

Les outils de reporting graphique de FortiWeb offrent une analyse détaillée des sources d'attaque et autres éléments clés, pour concrétiser un niveau de visibilité que d'autres outils WAF ne peuvent fournir 
icon benefits tools

Outils de gestion des faux-positifs 

Des outils évolués minimisent la gestion au quotidien des règles et des listes d'exception et ne neutralisent que le trafic indésirable
high performance icon

Accélération matérielle

FortiWeb offre des performances optimales pour ses fonctions WAF et de chiffrement/déchiffrement

FortiWeb : Protection des applications Web et des API - Cas d'utilisation

Les applications Web et les API sont devenues des outils de choix pour concevoir des applications métiers cruciales, ces dernières devant être adaptées aux besoins métiers. FortiWeb offre les performances, les fonctions de gestion et la protection étendue nécessaires pour sécuriser les applications web modernes.  

 

application protection

Protection des applications

Les menaces connues et zero-day liées aux applications sont neutralisées sans impact sur les utilisateurs légitimes et sans la gestion fastidieuse généralement associée à l'apprentissage applicatif traditionnel. 

protect api

Protection des API

Protégez les API qui prennent en charge les applications mobiles et facilitent les communications B2B. 

bot mitigation

Neutralisation des bots

Neutralise l'activité malveillante des bots mais reconnaît les bots associés à des services légitimes comme les moteurs de recherche et les outils de monitoring des performances. 

Modèles et spécifications de FortiWeb

FortiWeb est proposé sous différents formats qui répondent à vos besoins, des appliances matérielles d'entrée de gamme à des machines virtuelles sophistiquées et adaptées au cloud.

Comparatif de produits

Les appliances FortiWeb utilisent des processeurs multi-coeurs et des outils SSL matériels pour optimiser les performances WAF.
 

Throughput
25 Mbps
Ports
4x GE RJ45
Throughput
100 Mbps
Ports
4x GE RJ45, 4x GE SFP
Throughput
250 Mbps
Ports
4x GE RJ45 (2x bypass), 4x GE SFP
Throughput
1 Gbps
Ports
2x GE SFP, 6x GE RJ45 (includes 4x bypass)
Throughput
1.3 Gbps
Ports
2x 10 GE SFP+, 2x GE RJ45, 4x GE RJ45 bypass, 4x GE SFP
Throughput
2.5 Gbps
Ports
2x 10 GE SFP+, 4x GE RJ45 bypass, 4x GE SFP
Throughput
5 Gbps
Ports
4x 10 GE SFP+, 8x GE RJ45 bypass, 4x GE SFP
Throughput
20 Gbps
Ports
8x GE RJ45 bypass, 4x GE SFP, 2x 10G SFP+ bypass, 2x 10G SFP+

Les versions virtuelles de FortiWeb peuvent être déployées sur les plateformes VMware, Microsoft Hyper-V, Citrix XenServer, Open Source Xen, VirtualBox, KVM et Docker.

Merci de consulter le Guide d'installation de FortiWeb VM pour les versions compatibles.

Throughput
25 Mbps
vCPU
1
Throughput
100 Mbps
vCPU
2
Throughput
500 Mbps
vCPU
4
Throughput
2 Gbps
vCPU
8

Les performances réelles peuvent être différentes selon la configuration système et le trafic réseau. Les performances ont été mesurées sur un serveur Dell PowerEdge R710 (2 processeurs Intel Xeon E5504 à 2,0 GHz et 4 Mo de cache) sous VMware ESXi 5.5 avec 4 Go de vRAM alloués à l'appliance virtuelle FortiWeb dotée de 4 vCPU et 8 vCPU et 4 Go de vRAM alloués à l'appliance virtuelle FortiWeb dotée de 2 vCPU.

FortiWeb est disponible sur tous les principaux fournisseurs du cloud public : Amazon Web Services (AWS), Microsoft Azure, Oracle et Google.  Amazon Web Services (AWS) et Microsoft Azure proposent un mode BYOL (bring your own license) et On-demand (facturation à l'utilisation). Consultez la marketplace du fournisseur cloud pour plus d'informations :

Les conteneurs FortiWeb sécurisent vos workloads et données au sein des environnements de conteneurs.

Throughput
25 Mbps
Throughput
100 Mbps
Throughput
500 Mbps
Throughput
2 Gbps

Les performances et autres indicateurs sont des valeurs maximales pour chaque version. Les performances réelles peuvent varier selon la configuration système et le trafic réseau.

FortiWeb Cloud WAF-as-a-Service est un pare-feu d'application web fourni en mode SaaS pour protéger les applications web hébergées dans le cloud contre le Top 10 des menaces OWASP, les menaces zero-day et les autres attaques ciblant la couche applicative. 

FortiWeb Cloud WAF as a Service n'exige aucune installation matérielle ou logicielle, mais utilise plutôt des passerelles actives sur la plupart des régions AWS pour analyser le trafic de vos applications installées sur la même région.  Cette analyse du trafic par région répond à des problématiques de performances et de réglementation, et permet de maîtriser les coûts associés au trafic.

À l'aide d'un utilitaire d'installation intégré et de règles prédéfinies, FortiWeb Cloud WAF-as-a-Service déploie la sécurité dont vous avez besoin en quelques minutes, évitant ainsi les processus complexes généralement associés à l'installation d'un WAF. Les utilisateurs experts peuvent activer des modules de sécurité supplémentaires, à la demande et gratuitement. 

Pour plus d'informations, cliquez ici.

FortiWeb-Cloud WAF as a Service (FWCWaaS)

FortiWeb Cloud WAF-as-a-Service est un pare-feu d'application web (WAF - Web Application Firewall), proposé en mode SaaS (Security-as-a-Service) à partir du cloud. La plateforme protège les applications web hébergées dans le cloud public contre de multiples menaces : celles du Top 10 OWASP, les menaces zero-day ainsi que les attaques sur la couche applicative.
 

        

Fortinet FortiWeb Cloud WAF-as-a-Service
Setting Up Fortinet's FortiWeb Cloud WAF-as-a-Service for AWS


FortiWeb Cloud WAF-as-a-Service ne nécessite aucun déploiement de matériel, ni de logiciel. La solution utilise des passerelles disponibles dans la majorité des régions AWS pour analyser le trafic applicatif, au sein de la région qui héberge les applications. Cette analyse du trafic par région répond à des problématiques de performances et de réglementation, et permet de maîtriser les coûts associés au trafic.

À l'aide d'un utilitaire d'installation intégré et de règles prédéfinies, FortiWeb Cloud WAF-as-a-Service déploie une sécurité performante en quelques minutes, évitant ainsi les processus complexes généralement associés à l'installation d'un WAF. Les utilisateurs experts peuvent activer des modules de sécurité supplémentaires, à la demande et gratuitement. Apprenez-en plus sur FortiWeb Cloud WAF-as-a-Service.

 

Une protection évoluée des applications web contre les menaces

FortiWeb Cloud WAF-as-a-Service protège les applications contre l'exploitation de vulnérabilités, les bots, le téléchargement de malware, les attaques DDoS, les menaces APT, les attaques inconnues et zero-day, etc. La solution tire également parti des services des FortiGuard Labs qui offrent des signatures, une fonction de sandboxing et un service de réputation IP, actualisant ainsi la protection des entreprises contre les menaces.

Maîtrise du coût total de possession (TCO) 

En tant que solution SaaS et cloud déployée dans la même région que les applications des entreprises, FortiWeb Cloud WAF-as-a-Service ne requiert aucune maintenance matérielle ou logicielle et réduit les coûts associés aux transferts de données. Tirez parti des tarifs économiques de la bande passante d'AWS au sein d'une même région et d'une faible latence pour optimiser le trafic entre les applications et le WAF.

 

Des contraintes de conformité simplifiées     

Fortinet active FortiWeb Cloud WAF-as-a-Service à l'aide de plusieurs passerelles WAF présentes dans la même région que l'application d'entreprise à protéger. Ceci évite de soumettre potentiellement l'application à des réglementations en vigueur dans les régions géographiques.

 

Différentes options d'achat

Que les clients optent pour des capacités pré-payées ou en fonction de volume de données traité, FortiWeb Cloud WAF-as-a-Service propose l'option la plus adaptée aux priorités métier des clients et à leur budget.
 

Évaluation gratuite

Assistez à une démo en direct et évaluez FortiWeb Cloud WAF-as-a-Service gratuitement pendant 14 jours.

 

Listing d'AWS Marketplace

Obtenez cette solution directement à partir d'AWS Marketplace

Services de sécurité FortiGuard pour FortiWeb

FortiWeb tire parti de plusieurs services de sécurité FortiGuard pour protéger les applications web. Ces abonnements annuels peuvent être souscrits à la carte ou proposés dans le cadre d'une offre packagée avec la solution FortiWeb.

FG Web App

Web Application Security

Le service de sécurité des applications web de FortiGuard utilise des informations sur les vulnérabilités applicatives les plus récentes, les bots, les URL suspectes et les modèles de données, ainsi que des moteurs de détection heuristique spécialisés pour sécuriser la couche applicative.

FG AntiBotnet

Réputation IP et sécurité anti-botnet

Le service de réputation des adresses IP FortiGuard agrège les données des IP de sources malveillantes à partir du réseau multisite de Fortinet, constitué de capteurs de menaces, CERT, MITRE, concurrents coopératifs et autres sources globales : les informations sur les sources hostiles sont ainsi actualisées. Les informations en quasi-temps réel provenant de différentes passerelles réseau, associées aux recherches des FortiGuard Labs à l'échelle mondiale renforcent la sécurité des organisations et neutralisent les attaques de façon proactive.

FG Antivirus

Antivirus

Le service FortiGuard Antivirus assure une protection contre les virus et logiciels espions les plus récents, et contre les menaces au niveau du contenu. La solution utilise des moteurs de détection avancée pour empêcher que les attaques, nouvelles ou en évolution, ne pénètrent sur votre réseau et n'accèdent aux ressources de valeur.

icon sandbox cloud

FortiSandbox Cloud

Le service cloud FortiSandbox détecte les menaces avancées, via une analyse dynamique qui identifie les programmes malveillants inconnus. La veille décisionnelle générée par FortiCloud Sandbox est mise à disposition de l'ensemble des fonctions de sécurité du réseau, pour lutter plus efficacement contre les menaces.

credential stuffing defense

Défense contre les attaques par identifiants compromis

La solution Fortinet contre les attaques par « credential stuffing » (injection automatique d'identifiants piratés) identifie les tentatives de connexion à l'aide d'identifiants piratés, grâce à un flux à jour d’informations sur ces identifiants. Les administrateurs peuvent configurer les dispositifs pris en charge pour qu’ils exécutent certaines opérations (mise en logs, alertes et neutralisation) en cas de connexion suspecte.

 

Pack de services

Standard

Protection qui offre les services essentiels à la protection de vos applications web : sécurité des applications web, réputation des IP et anti-botnet, et antivirus.

Advanced

Pour une protection optimale des applications web, le pack Advanced intègre tous les services du pack Standard, ainsi que FortiCloud Sandbox et Credential Stuffing Defense (défense contre les attaques par identifiants compromis)

 

Ressources

Common Criteria

Fortinet products have received NDPP, EAL2+, and EAL4+ based Common Criteria certifications. Common Criteria evaluations involve formal rigorous analysis and testing to examine security aspects of a product or system. Extensive testing activities involve a comprehensive and formally repeatable process, confirming that the security product functions as claimed by the manufacturer. Security weaknesses and potential vulnerabilities are specifically examined during an evaluation. More information on the latest Fortinet Common Criteria Certifications are available below:

ICSA Labs Certified: Antivirus, Corporate Firewall, IPsec, NIPS, SSL-TLS, and Web Application Firewall

FortiGate and FortiWeb products are evaluated against ICSA criteria in 6 popular Certification programs. ICSA Labs manages and sponsors security consortia that provides a forum for intelligence sharing among the leading vendors of security products. In addition, ICSA Labs publishes surveys, security industry studies, and buyer's guides for computer security products.

Écosystème FortiWeb

FortiWeb s'intègre avec de nombreuses solutions proposées par des acteurs majeurs de l'informatique, dans le cadre de sa Security Fabric. Les partenaires technologiques de FortiWeb sont les suivants :

FortiWeb Ecosystem

FortiWeb provides integration with many leading IT vendors as part of the Fortinet Security Fabric. Below is a list of current FortiWeb Alliance Partners:

Product Demos

icon enterprise firewall cloud fortiweb

FortiWeb Cloud WAF as a Service demo

Log into our SaaS portal and explore the many features of our FortiWeb Cloud WAF as a Service. Enjoy comprehensive Web Application Security without the need to manage  and maintain appliances or virtual instances.

Access the demo

FortiWeb Demo

This full working demo lets you explore the many features of our FortiWeb Web Application Firewall (WAF). You’ll quickly see how FortiWeb easily displays system resource utilization and attack logs, and gives you everything you need in the easy-to-use attack console. Be sure to check out our comprehensive web protection profiles and in-depth reporting. 

Complete the form below to access the demo.

FortiWeb Demo