FortiWeb: Protección de la API y Web Application Firewall

Protección habilitada para el aprendizaje automático de aplicaciones críticas para la empresa

Estudio de caso: Fortinet protegido por su propio WAF como un servicio
web product icon web application security

Información general de FortiWeb

FortiWeb, el Web Application Firewall de Fortinet, protege las aplicaciones web críticas para su empresa contra ataques dirigidos a vulnerabilidades conocidas y desconocidas.

La superficie de ataque de sus aplicaciones web evoluciona rápidamente, cambiando cada vez que implementa nuevas funciones, actualiza las existentes o expone nuevas API web. Necesita una solución que pueda mantener el ritmo.  FortiWeb es esa solución.

FortiWeb adopta un enfoque integral para proteger las aplicaciones web, incluyendo la reputación de IP, la protección DDoS, la validación de protocolos, las firmas de ataque de aplicaciones, la mitigación de bots y más para defender su aplicación contra una amplia gama de amenazas, incluidas las del OWASP Top 10.  Sin embargo, no nos detenemos ahí.

El aprendizaje automático de FortiWeb crea y mantiene automáticamente un modelo de comportamiento normal del usuario y utiliza ese modelo para identificar el tráfico benigno y malicioso de las aplicaciones sin el aprendizaje manual de aplicaciones que requieren la mayoría de los WAF. 

Vea nuestro seminario web bajo pedido Evolve Your Approach to Securely Deploying Web Applications para obtener más información sobre el enfoque innovador de FortiWeb para proteger sus aplicaciones web, que incluye nuestra nueva oferta de SaaS:  WAF como servicio de FortiWeb Cloud. 

        

Videos FortiWeb

Fortiweb Machine Learning
Fortinet FortiWeb Cloud WAF-as-a-Service

Detalles del producto FortiWeb

Los WAF de FortiWeb proporcionan funciones avanzadas que defienden sus aplicaciones web y API de amenazas conocidas y de día cero. Utilizando un enfoque avanzado de múltiples capas, FortiWeb protege contra las amenazas del OWASP Top 10 y más. El ML de FortiWeb personaliza la protección de cada aplicación, brindando una protección consistente sin requerir el ajuste manual que consume tanto tiempo y que requieren otras soluciones. Con ML, FortiWeb identifica comportamientos anómalos y, lo que es más importante, distingue entre las anomalías maliciosas y las benignas. La solución también presenta capacidades consistentes para la mitigación de bots, que permite la conexión de bots benignos (por ejemplo, motores de búsqueda) a la vez que bloquea la actividad maliciosa del bot.

FortiWeb ofrece opciones de implementación que pueden proteger las aplicaciones empresariales, sin importar dónde se aloje la aplicación. Las opciones incluyen hardware appliances, máquinas virtuales y contenedores que se pueden implementar en el centro de datos, en los entornos en la nube o en la solución SaaS nativa en la nube, WAF como servicio de FortiWeb Cloud.

 

“La nube continuará siendo cada vez más importante. Parece lógico utilizar una plataforma común de Fortinet para las plataformas de servicios en la nube de Microsoft y Amazon; hacerlo nos brinda la protección que necesitamos y economías de escala debido a que no tenemos que conocer y mantener dos sistemas diferentes”.
Stuart Berman
Arquitecto de seguridad global, Steelcase

 

Lea el estudio de caso  Steelcase

Características y ventajas

checkmark icon

Protección de aplicaciones web y API  probada

FortiWeb protege contra todas las amenazas del OWASP Top-10, los ataques de DDoS, los ataques de bots maliciosos y más para defender las API y aplicaciones basadas en la web de misión crítica. 
icon artificial intelligent

Detección de amenazas basada en ML

Además de las actualizaciones regulares de firmas y muchas otras capas de defensas, FortiWeb usa ML para proteger contra ataques de día cero y minimizar los falsos positivos. 
Icon security fabric

Integración del Security Fabric

La integración con de los firewalls FortiGate y FortiSandbox proporciona protección contra amenazas avanzadas persistentes
analytics icon

Análisis visual avanzado

Las herramientas de elaboración de informes visuales de FortiWeb proporcionan análisis detallados de fuentes, tipos y otros elementos de los ataques que proporcionan una perspectiva que no está disponible con otras soluciones WAF 
icon benefits tools

Herramientas de mitigación de falsos positivos 

Herramientas avanzadas que minimizan la administración diaria de las políticas y listas de excepción para garantizar que solo se bloquee el tráfico no deseado
high performance icon

Aceleración basada en hardware

FortiWeb entrega rendimiento de WAF protegido líder en la industria y cifrado o descifrado de tráfico seguro de alta velocidad

FortiWeb: Casos de uso de protección de aplicaciones web y API

Las aplicaciones web y las API se han convertido en las herramientas preferidas para crear aplicaciones críticas para la empresa y esas aplicaciones deben mantenerse actualizadas con las necesidades de la empresa. FortiWeb ofrece el rendimiento, la capacidad de administración y las amplias capacidades de protección requeridas para proteger estas aplicaciones web modernas. 

 

application protection

Protección de aplicaciones

Bloquee las amenazas conocidas y de día cero contra las aplicaciones sin bloquear usuarios legítimos y sin la sobrecarga excesiva administrativa que requiere el aprendizaje tradicional de aplicaciones. 

protect api

Protección de API

Proteja las API compatibles con las aplicaciones móviles y habilite la comunicación B2B. 

bot mitigation

Mitigación de bots

Bloquee la actividad maliciosa de bots sin bloquear bots compatibles con las necesidades legítimas de la empresa, como motores de búsqueda o herramientas de monitoreo de las condiciones y el rendimiento. 

Modelos y especificaciones FortiWeb

FortiWeb está disponible en muchos factores de forma diferentes para satisfacer sus necesidades que van desde appliances de hardware a nivel de entrada hasta opciones sofisticadas de VM que se pueden incorporar a los entornos más recientes en la nube.

Comparar productos

Los appliances de FortiWeb utilizan la tecnología del procesador de varios núcleos combinada con herramientas SSL basadas en hardware para ofrecer un rendimiento de WAF protegido increíblemente rápido.
 

Rendimiento
25 Mbps
Puertos
4x GE RJ45
Rendimiento
250 Mbps
Puertos
4x GE RJ45, 4x GE SFP
Rendimiento
480 Mbps
Puertos
4x GE RJ45 (2x bypass), 4x GE SFP
Rendimiento
1.3 Gbps
Puertos
2x 10 GE SFP+, 2x GE RJ45, 4x GE RJ45 bypass, 4x GE SFP
Rendimiento
2.5 Gbps
Puertos
2x 10 GE SFP+, 4x GE RJ45 bypass, 4x GE SFP
Rendimiento
5 Gbps
Puertos
4x 10 GE SFP+, 8x GE RJ45 bypass, 4x GE SFP
Rendimiento
20 Gbps
Puertos
8x GE RJ45 bypass, 4x GE SFP, 2x 10G SFP+ bypass, 2x 10G SFP+

Las versiones virtuales de FortiWeb pueden implementarse en plataformas VMware, Microsoft Hyper-V, Citrix XenServer, Open Source Xen, VirtualBox, KVM y Docker.

Consulte la Guía de instalación de FortiWeb VM para versiones compatibles.

Rendimiento
25 Mbps
vCPU
1
Rendimiento
100 Mbps
vCPU
2
Rendimiento
500 Mbps
vCPU
4
Rendimiento
2 Gbps
vCPU
8

Los valores reales de rendimiento pueden variar según el tráfico de la red y la configuración del sistema. Las métricas de rendimiento se observaron utilizando un servidor Dell PowerEdge R710 (2x Intel Xeon E5504 2.0 GHz 4 MB de caché) con VMware ESXi 5.5 con 4 GB de vRAM asignados a 4 vCPU y 8 vCPU FortiWeb Virtual Appliance y 4 GB de vRAM asignados a los 2 vCPU FortiWeb Virtual Appliance.

FortiWeb está disponible en todos los proveedores de nube pública, incluyendo Amazon Web Services (AWS), Microsoft Azure, Oracle y Google.  Amazon Web Services (AWS) y Microsoft Azure son compatibles con BYOL (traiga su propia licencia) y On-demand (pago por uso). Consulte las listas del Marketplace en la nube para obtener más información:

Los appliances del contenedor FortiWeb aseguran sus cargas de trabajo y datos en entornos en contenedores.

Rendimiento
25 Mbps
Rendimiento
100 Mbps
Rendimiento
500 Mbps
Rendimiento
2 Gbps

Los rendimientos y otras medidas son los valores máximos permitidos para cada versión. Los valores reales de rendimiento pueden variar según el tráfico de la red y la configuración del sistema.

El WAF como servicio de FortiWeb Cloud es un Web Application Firewall (WAF) basado en la nube de SaaS que protege las aplicaciones web alojadas en la nube pública de las amenazas del OWASP Top 10, amenazas de día cero y otros ataques de la capa de aplicaciones. 

Al no requerir hardware ni software, el WAF como servicio de  FortiWeb Cloud emplea puertas de enlace que funcionan en la mayoría de las regiones de AWS para eliminar el tráfico de su aplicación dentro de la misma región donde residen sus aplicaciones.  La eliminación del tráfico en la región resuelve los problemas de rendimiento y reglamentarias, además de mantener el costo del tráfico al mínimo.

Con un asistente de configuración simple incorporado y políticas predefinidas, FortiWeb Cloud ofrece la seguridad que necesita en minutos, al eliminar la complejidad habitual requerida al configurar un WAF. Los usuarios más avanzados pueden habilitar fácilmente módulos de seguridad adicionales, si es necesario, de forma gratuita. 

Para más información, visite aquí.

WAF como servicio de FortiWeb Cloud (FWCWaaS)

El WAF como servicio de FortiWeb Cloud es un Web Application Firewall (WAF) basado en la nube de seguridad como servicio (SaaS) que protege las aplicaciones web alojadas en la nube pública de las amenazas del OWASP Top 10, de día cero y otros ataques de la capa de aplicaciones.
 

        

Fortinet FortiWeb Cloud WAF-as-a-Service
Setting Up Fortinet's FortiWeb Cloud WAF-as-a-Service for AWS


Al no requerir hardware ni software, el WAF como servicio de FortiWeb Cloud emplea puertas de enlace que funcionan en la mayoría de las regiones de AWS para eliminar el tráfico de las aplicaciones dentro de la misma región donde residen las aplicaciones. La eliminación del tráfico en la región aborda el rendimiento y los problemas reglamentarios mientras mantiene el costo del tráfico al mínimo.

Con un asistente de configuración incorporado y políticas predefinidas, el WAF como servicio de FortiWeb Cloud ofrece seguridad esencial en minutos, al eliminar la complejidad habitual requerida al configurar un WAF. Los usuarios más avanzados pueden habilitar fácilmente módulos de seguridad adicionales, si es necesario, de forma gratuita. Obtenga más información sobre WAF como servicio de FortiWeb Cloud.

 

Advanced Threat Protection para aplicaciones web

El WAF como servicio de FortiWeb Cloud protege las aplicaciones de vulnerabilidades de seguridad, bots, cargas de malware, ataques DDoS, amenazas avanzadas persistentes (APT), ataques desconocidos, de día cero y más. La solución también aprovecha los servicios del galardonado FortiGuard Labs de Fortinet, que proporciona firmas, sandboxing y reputación de IP para garantizar que las organizaciones tengan la protección y las actualizaciones sobre amenazas más recientes.

Bajo costo total de propiedad (CTP) 

Como una solución de SaaS nativa en la nube que se implementa en la misma región de los AWS como las aplicaciones de una organización, el WAF como servicio de FortiWeb Cloud no requiere mantenimiento de hardware ni software y puede reducir significativamente los costos de transferencia de datos salientes. Disfrute de los beneficios de las velocidades de ancho de banda de los AWS de baja latencia e intrarregionales para el tráfico entre las aplicaciones y el WAF.

 

Requisitos de cumplimiento simplificados     

Fortinet ofrece el WAF como servicio de FortiWeb Cloud mediante una colonia de puertas de enlace de WAF en la misma región de los AWS como aplicación de una organización. Esto evita potencialmente someter la aplicación a requisitos reglamentarios regionales adicionales.

 

Opciones de compra flexibles

Ya sea que los clientes prefieran la capacidad preaprovisionada o que paguen por el volumen de datos procesados, el WAF como un servicio de FortiWeb Cloud admite la opción más adecuada para las prioridades comerciales y las consideraciones presupuestarias de los clientes.
 

Versión de prueba y gratuita

Pruebe una demostración en vivo y pruebe el WAF como servicio de FortiWeb Cloud de forma gratuita durante 14 días.

 

Listado de AWS Marketplace

Comprar a través de AWS Marketplace

Servicios de seguridad FortiGuard para FortiWeb

FortiWeb emplea múltiples servicios de seguridad FortiGuard para proteger las aplicaciones web de ataques. Estas suscripciones anuales se pueden comprar por separado o como parte de un paquete con su solución FortiWeb.

FG Web App

Seguridad de aplicaciones web

La Seguridad de aplicaciones web de FortiGuard utiliza información basada en las más recientes vulnerabilidades de aplicaciones, bots, patrones de URL y de tipo de datos sospechosos, además de motores de detección heurística especializados para garantizar que sus aplicaciones web permanezcan protegidas de amenazas de la capa de aplicaciones.

FG AntiBotnet

Reputación de IP y seguridad antibotnet

El servicio FortiGuard IP Reputation agrega datos IP de fuente maliciosa de la Fortinet Distributed Network de sensores de amenazas, CERT, MITRE, competidores cooperativos y otras fuentes globales que colaboran para proveer inteligencia frente a amenazas actualizada sobre las fuentes hostiles. La inteligencia casi en tiempo real de las puertas de enlace de la red distribuida combinada con la investigación de clase mundial de FortiGuard Labs ayuda a las organizaciones a mantenerse más seguras y bloquear de forma proactiva los ataques.

FG Antivirus

Antivirus

FortiGuard Antivirus protege contra los más recientes virus, spyware y otras amenazas a nivel de contenido. Utiliza los motores de detección avanzada líderes en la industria para evitar que las amenazas nuevas y en evolución obtengan una posición establecida dentro de su red y accedan a contenido valioso.

icon sandbox cloud

FortiSandbox Cloud

El servicio de FortiSandbox Cloud es una solución de detección de amenazas avanzadas que realiza análisis dinámicos para identificar malware desconocido anteriormente. La inteligencia accionable que genera FortiCloud Sandbox se retroalimenta a los controles preventivos dentro de su red, desarmando la amenaza.

credential stuffing defense

Defensa de relleno de credenciales

La defensa de relleno de credenciales de Fortinet identifica los intentos de inicio de sesión con credenciales que se han comprometido al utilizar una fuente siempre actualizada de credenciales robadas. Los administradores pueden configurar que sus dispositivos compatibles realicen varias acciones si se utiliza un inicio de sesión sospechoso, las cuales incluyen registro, alertas y bloqueo.

 

Paquetes de servicio

Estándar

Protección que proporciona los servicios principales para proteger sus aplicaciones basadas en la web que incluye la seguridad de aplicaciones web, reputación de IP & Anti-botnet y Antivirus.

Avanzado

Cuando quiere lo mejor en protección de seguridad de aplicaciones web, el paquete avanzado incluye todos los servicios en el paquete estándar, más FortiCloud Sandbox y la defensa de relleno de credenciales.

 

Recursos

Common Criteria

Fortinet products have received NDPP, EAL2+, and EAL4+ based Common Criteria certifications. Common Criteria evaluations involve formal rigorous analysis and testing to examine security aspects of a product or system. Extensive testing activities involve a comprehensive and formally repeatable process, confirming that the security product functions as claimed by the manufacturer. Security weaknesses and potential vulnerabilities are specifically examined during an evaluation. More information on the latest Fortinet Common Criteria Certifications are available below:

ICSA Labs Certified: Antivirus, Corporate Firewall, IPsec, NIPS, SSL-TLS, and Web Application Firewall

FortiGate and FortiWeb products are evaluated against ICSA criteria in 6 popular Certification programs. ICSA Labs manages and sponsors security consortia that provides a forum for intelligence sharing among the leading vendors of security products. In addition, ICSA Labs publishes surveys, security industry studies, and buyer's guides for computer security products.

Ecosistema de FortiWeb

FortiWeb proporciona integración con muchos proveedores líderes de TI como parte de la Fortinet Security Fabric. A continuación encontrará una lista de socios aliados FortiWeb:

FortiWeb Ecosystem

FortiWeb provides integration with many leading IT vendors as part of the Fortinet Security Fabric. Below is a list of current FortiWeb Alliance Partners:

Product Demos

icon enterprise firewall cloud fortiweb

FortiWeb Cloud WAF as a Service demo

Log into our SaaS portal and explore the many features of our FortiWeb Cloud WAF as a Service. Enjoy comprehensive Web Application Security without the need to manage  and maintain appliances or virtual instances.

Access the demo

FortiWeb Demo

This full working demo lets you explore the many features of our FortiWeb Web Application Firewall (WAF). You’ll quickly see how FortiWeb easily displays system resource utilization and attack logs, and gives you everything you need in the easy-to-use attack console. Be sure to check out our comprehensive web protection profiles and in-depth reporting. 

Complete the form below to access the demo.

FortiWeb Demo