FortiWeb: Web Application Firewall (WAF)

Seguridad de aplicaciones web de alto rendimiento, integral

Gartner 2018 Magic Quadrant for Web Application Firewalls
Disponible en:
  • Aparato
  • Máquina virtual
  • Hospedado
  • Nube
  • Contenedor

Información general de FortiWeb

Las aplicaciones web sin protección son el punto más fácil de entrada para los hackers y son vulnerables a muchos tipos de ataques. El enfoque multicapa y correlacionado de FortiWeb protege sus aplicaciones web del OWASP Top 10 y más. Al combinar nuestro servicio de seguridad de aplicaciones web de FortiGuard Labs está protegido de las más recientes vulnerabilidades de aplicación, bots y URL sospechosas y con un motor de detección heurístico especializado sus aplicaciones están seguras de amenazas sofisticadas como inyección de SQL, scripting entre sitios, desbordamientos de búfer, infección por cookies, fuentes maliciosas y ataques de DoS.

 

Noticias FortiWeb

Versión de software de FortiWeb 5.9.0

12/03/2018: Las máquinas virtuales FortiWeb ahora están disponibles como BYOL (traiga su propia licencia) y a demanda (pago por uso). Consulte el listado del Azure Marketplace para FortiWeb.

 

FortiWeb a demanda para el Azure Marketplace

19/03/2018: El software FortiWeb 5.9 se presentó con pocas características importantes incluyendo soporte a demanda para las FortiWeb VM en Azure y escaneo de adjuntos de FTP y detección de amenaza de AV y Sandbox.  Consulte las notas de publicación

 

Fortinet Introduces Machine Learning Capabilities to FortiWeb Web Application Firewall for Advanced Behavioral Threat Detection

6/5/2018: Two-step AI-based Machine Learning Improves Attack Detection Accuracy to Create a Nearly “Set and Forget” Web Application Firewall. Read the press release.

 

Videos FortiWeb

Fortinet Web Application Security

Dynamic patching of web-based applications to defend against threats that target known and unknown vulnerabilities.

Ver ahora
FortiWeb 6.0 with AI-Base Machine Learning
Protecting Web Applications with FortiWeb

Detalles del producto FortiWeb

Ya sea que se trate de sencillamente cumplir con los estándares o para proteger las aplicaciones alojadas críticas de la misión, los Web Application Firewall FortiWeb proporcionan características avanzadas para defender las aplicaciones web de amenazas conocidas y de día cero. Al utilizar un enfoque multicapa avanzado y correlacionado, FortiWeb proporciona seguridad completa para sus aplicaciones externas e internas basadas en la web frente a las amenazas del OWASP Top 10 y muchas otras. En el núcleo de FortiWeb está su motor de detección basada en el comportamiento que detecta amenazas de manera inteligente que se desvían de los patrones normales y toma acción para bloquear a los atacantes antes de que puedan hacer algún daño.

 

   

Características y beneficios

checkmark icon

Protección de aplicaciones web comprobada

FortiWeb protege contra todas las amenazas del OWASP Top-10, los ataques de DDoS y muchas otras amenazas para defender sus aplicaciones basadas en web críticas de la misión
icon artificial intelligent

Detección basada en el comportamiento

Además de las actualizaciones de firma usuales y muchas otras capas de defensas, el aprendizaje de aplicaciones basado en el comportamiento de FortiWeb detecta el ataque de día cero
Icon security fabric

Integración de Security Fabric

La integración con de los firewalls FortiGate y FortiSandbox proporciona protección contra amenazas avanzadas persistentes
analytics icon

Análisis visual avanzado

Las herramientas de elaboración de informes visuales de FortiWeb proporcionan análisis detallados de fuentes, tipos y otros elementos de los ataques que proporcionan una perspectiva que no está disponible con otras soluciones WAF 
icon benefits tools

Herramientas de mitigación de falsos positivos 

Herramientas avanzadas que minimizan la administración diaria de las políticas y listas de excepción para garantizar que solo se bloquee el tráfico no deseado
high performance icon

Aceleración basada en hardware

FortiWeb entrega rendimiento de WAF protegido líder en la industria y cifrado o descifrado de tráfico seguro de alta velocidad

Modelos y especificaciones FortiWeb


FortiWeb está disponible en muchos factores de forma diferentes con muchos modelos diferentes de donde elegir para satisfacer sus necesidades que van de appliances de hardware a nivel de entrada a opciones sofisticadas de VM que se pueden incorporar a los entornos más recientes en la cloud.

Throughput
2.5 Mbps
Ports
4 GE RJ45
Throughput
100 Mbps
Ports
4 GE RJ45, 4 GE SFP
Throughput
250 Mbps
Ports
4 GE RJ45 (2 derivaciones), 4 GE SFP
Throughput
1 Gbps
Ports
2 GE SFP, 6 GE RJ45 (incluye 4 derivaciones)
Throughput
1.3 Gbps
Ports
2 10 GE SFP+, 2 GE RJ45, 4 GE RJ45 derivación, 4 GE SFP
Throughput
2.5 Gbps
Ports
2 10 GE SFP+, 4 GE RJ45 derivación, 4 GE SFP
Throughput
5 Gbps
Ports
4 10 GE SFP+, 8 GE RJ45, 4 GE SFP
Throughput
20 Gbps
Ports
8 GE RJ45 derivación, 4 GE SFP, 2 10G SFP+ derivación, 2 10G SFP+
VMware, Microsoft Hyper-V, Citrix XenServer, Open Source Xen, KVM, Amazon Web Services (AWS) y Microsoft Azure. Consulte la Guía de instalación de FortiWeb VM para versiones compatibles.

Throughput
2.5 Mbps
vCPU
1
Throughput
100 Mbps
vCPU
2
Throughput
250 Mbps
vCPU
4
Throughput
1 Gbps
vCPU
8
Los valores reales de rendimiento pueden variar según el tráfico de la red y la configuración del sistema. Las métricas de rendimiento se observaron utilizando un servidor Dell PowerEdge R710 (2x Intel Xeon E5504 2.0 GHz 4 MB de caché) con VMware ESXi 5.5 con 4 GB de vRAM asignados a 4 vCPU y 8 vCPU FortiWeb Virtual Appliance y 4 GB de vRAM asignados a los 2 vCPU FortiWeb Virtual Appliance.
Amazon Web Services (AWS) y Microsoft Azure son compatibles con BYOL (traiga su propia licencia) y bajo demanda (pago por uso). Consulte las listas de AWS y Azure Marketplace para obtener más información:
FortiWebCloud es un WAF conveniente y fácil de implementar que siempre está actualizado. Para las organizaciones que necesitan implementar rápidamente un WAF y conservar el mantenimiento al mínimo, FortiWebCloud se puede escalar para cumplir con las demandas de tráfico sin las molestias de manejar hardware y software. FortiWebCloud ofrece niveles apilables de ancho de banda de 5 a 500 Mbps, y le permite elegir la cantidad de sitios que necesita con suscripciones apilables que van de 1 a 50 sitios.

Si usted es un cliente existente de FortiWebCloud, haga clic aquí para obtener acceso al servicio. 

Servicios de seguridad FortiGuard para FortiWeb

FortiWeb emplea múltiples servicios de seguridad FortiGuard para proteger las aplicaciones web de ataques. Estas suscripciones anuales se pueden comprar por separado o como parte de un paquete con su solución FortiWeb.

FG Web App

Web Application Security

FortiGuard Web Application Security uses information based on the latest application vulnerabilities, bots, suspicious URL patterns and data-type patterns, and specialized heuristic detection engines, to ensure your web applications remain safe from application-layer threats.

FG AntiBotnet

IP Reputation & Anti-botnet Security

The FortiGuard IP Reputation Service aggregates malicious source IP data from the Fortinet distributed network of threat sensors, CERTs, MITRE, cooperative competitors, and other global sources that collaborate to provide up-to-date threat intelligence about hostile sources. Near real-time intelligence from distributed network gateways combined with world-class research from FortiGuard Labs helps organizations stay safer and proactively block attacks.

FG Antivirus

Antivirus

FortiGuard Antivirus protects against the latest viruses, spyware, and other content-level threats. It uses industry-leading advanced detection engines to prevent both new and evolving threats from gaining a foothold inside your network and accessing its invaluable content.

Icon cloudsandbox

FortiSandbox Cloud

FortiSandbox Cloud Service is an advanced threat detection solution that performs dynamic analysis to identify previously unknown malware. Actionable intelligence generated by FortiCloud Sandbox is fed back into preventive controls within your network—disarming the threat.

Credential Stuffing Defense Icon

Credential Stuffing Defense

Fortinet’s Credential Stuffing Defense identifies login attempts using credentials that have been compromised using an always up-to-date feed of stolen credentials. Administrators can configure their supported devices to take various actions if a suspicious login is used including logging, alerts, and blocking.

 

Paquetes de servicio

Estándar

Protección que proporciona los servicios principales para proteger sus aplicaciones basadas en la web que incluye la seguridad de aplicaciones web, reputación de IP & Anti-botnet y Antivirus.

Avanzado

Cuando quiere lo mejor en protección de seguridad de aplicaciones web, el paquete avanzado incluye todos los servicios en el paquete estándar, más FortiCloud Sandbox y la defensa de relleno de credenciales.

 

Demo del producto

product demo fortiweb

Demo de FortiWeb

Esta demostración que cuenta con todas las funciones le permite explorar las numerosas características de nuestro Web Application Firewall (WAF) FortiWeb. Observará rápidamente cómo FortiWeb muestra fácilmente la utilización de los recursos del sistema y los registros de ataques, y le ofrece todo lo que necesita en la consola de ataque fácil de usar. Asegúrese de consultar nuestros perfiles completos de protección web y los informes en profundidad.

Access the demo

Informes comparativos de WAF de NSS Labs de 2017 y SVM

FortiWeb 3000E se comparó contra 5 competidores de WAF líderes. Visite el vínculo siguiente para ver los resultados de FortiWeb

Common Criteria

Los productos de Fortinet han recibido certificaciones de Common Criteria basados en NDPP, EAL2+ y EAL4+. Las evaluaciones de Common Criteria incluyen análisis y pruebas rigurosas formales para examinar los aspectos de seguridad de un producto o sistema. Las extensas actividades de pruebas incluyen un proceso integral y formalmente repetible, que confirma que los productos de seguridad funcionan como lo indica el fabricante. Durante un evaluación se examinan específicamente las debilidades de seguridad y vulnerabilidades potenciales. Más información sobre las Certificaciones de Common Criteria de Fortinet disponible a continuación:

ICSA Labs certificó: Antivirus, Corporate Firewall, IPsec, NIPS, SSL-TLS y Web Application Firewall

Los productos FortiGate y FortiWeb se evalúan contra el criterio ICSA en 6 populares programas de certificación. ICSA Labs administra y patrocina un consorcio de seguridad que proporciona un foro para el intercambio de inteligencia entre los proveedores líderes de productos de seguridad. Además, ICSA Labs publica encuestas, estudios de la industria de seguridad y guías del'comprador para los productos de seguridad informática.

SVM de WAF de NSS Labs de 2014

En su primera prueba de Web Application Firewall, NSS Labs reportó que FortiWeb-1000D alcanzó una velocidad de bloqueo general de 99.85 % a $2.77 CTP por conexión protegida por segundo y obtuvo el estado de WAF “Recomendado” en su mapa de valor de seguridad de Web Application Firewall.

Socios aliados FortiWeb

FortiWeb provides integration with many leading IT vendors as part of the Fortinet Security Fabric. Below is a list of current FortiWeb Alliance Partners:

Gemalto
Gemalto

Gemalto offers one of the most complete portfolios of enterprise security solutions in the world, enabling its customers to enjoy industry-leading protection of digital identities, transactions, payments, and data – from the edge to the core.

Solution brief

Hewlett Packard Enterprise
Hewlett Packard Enterprise

Hewlett Packard Enterprise is an industry-leading technology company that enables customers to go further, faster. With the industry’s most comprehensive portfolio, HPE's technology and services help customers around the world make IT more efficient, more productive, and more secure.

IBM
IBM

IBM Security offers one of the most advanced and integrated portfolios of enterprise security products and services. The portfolio enables organizations to effectively manage risk and defend against emerging threats.

Qualys
Qualys

Qualys, Inc. is a pioneer and leading provider of cloud-based security and compliance solutions with over 8,800 customers in more than 100 countries, including a majority of each of the Forbes Global 100 and Fortune 100.

Solution brief

WhiteHat
WhiteHat

Combining advanced technology with the expertise of its global Threat Research Center (TRC) team, WhiteHat delivers application security solutions that reduce risk, reduce cost, and accelerate the deployment of secure applications and websites.

Solution brief

Preguntas frecuentes

¿No puede la IPS o el Firewall proporcionar protección para aplicaciones basadas en la web alojadas?

Los firewalls de IPS de aplicación conocida y de última generación extienden y mejoran la protección y agregan funcionalidad adicional, pero la mayoría de la funcionalidad de 'aplicación conocida' se enfoca en asegurar o restringir a los clientes internos al acceder a Internet pero no protege aplicaciones internas de amenazas externas. Los Web Application Firewalls son diferentes ya que protegen las aplicaciones web internas de los sofisticados ataques externos de capa de la aplicación. Estos proporcionan un modelo de seguridad positivo y negativo y protegen contra las principales amenazas a las aplicaciones actuales (inyección de SQL, scripting entre sitios, acceso de URL, CSRF, ataques de inyección y más).

¿Qué tamaño de WAF necesito?

Hay muchos factores que determinan el rango de tamaño de WAF desde el rendimiento de la aplicación, el número de usuarios y el número de sitios a proteger. Recomendamos firmemente que hable sobre sus requisitos con un socio de Fortinet para encontrar la mejor opción para cubrir sus necesidades.

¿Cómo difiere FortiWeb Cloud de una implementación local de FortiWeb?

FortiWeb Cloud es una solución de WAF ‘débil’ que ofrece reglas de modelo de seguridad negativos mientras que la plataforma FortiWeb es un WAF completo que ofrece modelos de seguridad positivos y negativos. La mayoría de los clientes que usan WAF en la nube buscan una solución del tipo que puedan configurar y despreocuparse, es decir que puedan configurar rápidamente y utilizarla sin tener que administrarla diariamente. Al ofrecer un subconjunto de lo que FortiWeb ofrece en el sitio, pero con una configuración y administración directa y sencilla FortiWeb Cloud aborda estos requisitos.

¿Necesito un WAF si ya tengo una Secure Web Gateway (SWG)?

Sí. Una SWG protege a los usuarios dentro de la organización de acceder a sitios web externos infectados o contenido no deseado alojado fuera de la organización. El WAF protege las aplicaciones basadas en la web alojadas de ataques iniciados por atacantes externos. Una perspectiva simplificada es que la SWG protege a los usuarios y el WAF protege las aplicaciones.

El FortiWeb WAF en comparación con un WAF en un ADC

Un appliance de WAF dedicado no disminuirá el rendimiento, más un appliance como FortiWeb tiene el poder de procesamiento para realizar una detección basada en el comportamiento de ataques a las aplicaciones. La mayoría de los módulos de WAF en un ADC ofrecen solo protección de WAF básica para las aplicaciones.

¿Puede FortiWeb parchar permanentemente las vulnerabilidades de la aplicación?

Sí puede. FortiWeb puede proporcionar parches temporales para la aplicación hasta que los equipos de desarrollo puedan implementar parches permanentes para vulnerabilidades o que puedan parcharlas de manera permanente. Por lo general, se recomienda reparar de manera permanente una vulnerabilidad conocida; sin embargo, hay muchas situaciones en donde no es posible ni práctico, como las aplicaciones heredadas o aplicaciones antiguas que se retirarán pronto.