FortiWeb؛ آموزش وب اپلیکیشن فایروال Fortinet WAF

FortiWeb وب اپلیکیشن فایروال یا WAF شرکت Fortinet است که برای محافظت از وب‌سایت‌ها، پرتال‌های سازمانی، APIها و اپلیکیشن‌های تحت وب در برابر حملات لایه ۷ استفاده می‌شود. اگر FortiGate بیشتر در مرز شبکه و کنترل ترافیک شبکه نقش دارد، FortiWeb تمرکز تخصصی‌تری روی امنیت وب‌اپلیکیشن دارد.

نکته سئو: FortiWeb در فارسی گاهی با عبارت‌هایی مثل فورتی وب، فورتی‌وب، WAF فورتی‌نت، وب اپلیکیشن فایروال فورتی‌نت و فایروال وب Fortinet جستجو می‌شود. در این صفحه منظور از FortiWeb همان فورتی وب است.

در بسیاری از سازمان‌ها، وب‌سایت یا سامانه تحت وب مهم‌ترین نقطه تماس کاربران با سرویس‌های داخلی است. همین موضوع باعث می‌شود حملاتی مثل SQL Injection، XSS، سوءاستفاده از آسیب‌پذیری‌های وب، Botها، Credential Stuffing و حملات HTTP-based اهمیت زیادی پیدا کنند. FortiWeb برای همین سناریوها طراحی شده است.

FortiWeb چیست؟

FortiWeb یک Web Application Firewall از خانواده محصولات Fortinet است. این محصول بین کاربر و وب‌سرور یا اپلیکیشن قرار می‌گیرد و درخواست‌های HTTP/HTTPS را بررسی می‌کند. اگر درخواست مشکوک یا مخرب باشد، FortiWeb می‌تواند آن را مسدود کند، لاگ بگیرد، Challenge نمایش دهد یا بر اساس Policy تصمیم دیگری بگیرد.

FortiWeb می‌تواند به‌صورت Appliance سخت‌افزاری، ماشین مجازی یا سرویس ابری استفاده شود. انتخاب مدل مناسب به معماری شبکه، حجم ترافیک، محل قرارگیری سرویس و نیاز عملیاتی سازمان بستگی دارد.

چرا WAF لازم است؟

فایروال‌های شبکه مثل FortiGate برای کنترل ترافیک IP، Port، VPN، NAT و سیاست‌های شبکه عالی هستند؛ اما بسیاری از حملات وب در لایه اپلیکیشن رخ می‌دهند. مثلاً یک درخواست HTTPS روی پورت 443 ممکن است از نظر فایروال شبکه مجاز باشد، اما داخل همان درخواست یک Payload مخرب SQL Injection وجود داشته باشد.

اینجا WAF وارد می‌شود. FortiWeb محتوای درخواست و پاسخ وب را تحلیل می‌کند و رفتارهای غیرعادی یا الگوهای حمله را تشخیص می‌دهد.

FortiWeb از چه تهدیداتی محافظت می‌کند؟

• SQL Injection
• Cross-Site Scripting یا XSS
• حملات File Inclusion
• حملات Command Injection
• Bot و Scraping
• Credential Stuffing و Brute Force روی فرم‌های لاگین
• حملات مبتنی بر HTTP Protocol
• استفاده از آسیب‌پذیری‌های شناخته‌شده وب‌اپلیکیشن‌ها
• آپلود فایل مخرب
• رفتارهای غیرعادی کاربران یا کلاینت‌ها

مفاهیم مهم در FortiWeb

Server Policy

Server Policy در FortiWeb مشخص می‌کند ترافیک ورودی برای یک وب‌سایت یا سرویس چگونه بررسی و به کدام Backend ارسال شود. معمولاً در این بخش دامنه، IP، Port، Certificate و Security Profileها تعریف می‌شوند.

Protected Hostnames

در FortiWeb باید مشخص شود چه دامنه‌ها یا Hostnameهایی محافظت می‌شوند. این موضوع به FortiWeb کمک می‌کند درخواست‌های مربوط به هر وب‌سایت را درست تشخیص دهد.

Web Protection Profile

Protection Profile مجموعه‌ای از تنظیمات امنیتی است که روی ترافیک وب اعمال می‌شود؛ مثل Signature-based Protection، Anomaly Detection، Bot Mitigation، File Security و تنظیمات مرتبط با OWASP Top 10.

SSL/TLS و Certificate

برای بررسی دقیق ترافیک HTTPS، FortiWeb باید بتواند SSL را Terminate کند یا در معماری مناسب، ترافیک رمزگشایی‌شده را بررسی کند. مدیریت درست Certificateها، TLS Version و Cipher Suiteها در این بخش بسیار مهم است.

Logging و Alerting

بدون لاگ مناسب، WAF عملاً ارزش تحلیلی زیادی ندارد. FortiWeb باید طوری تنظیم شود که رویدادهای مهم امنیتی، درخواست‌های مسدودشده و رفتارهای مشکوک قابل بررسی باشند.

تفاوت FortiWeb و FortiGate چیست؟

FortiGate یک فایروال شبکه و NGFW است و برای کنترل ترافیک شبکه، VPN، NAT، IPS، Application Control و امنیت مرز شبکه استفاده می‌شود. اما FortiWeb یک WAF تخصصی برای محافظت از وب‌اپلیکیشن‌هاست.

به‌صورت ساده:

• FortiGate بیشتر روی شبکه، IP، Port، VPN و ترافیک کلی تمرکز دارد.
• FortiWeb روی HTTP/HTTPS، فرم‌ها، URLها، پارامترها، Payloadها و رفتار وب‌اپلیکیشن تمرکز دارد.

در معماری‌های حرفه‌ای، FortiGate و FortiWeb رقیب هم نیستند؛ مکمل هم هستند.

سناریوهای رایج استفاده از FortiWeb

• محافظت از پرتال سازمانی
• محافظت از سامانه‌های مالی و اداری تحت وب
• امن‌سازی APIهای داخلی یا عمومی
• کاهش ریسک حملات OWASP Top 10
• اعمال محدودیت روی فرم‌های Login
• جلوگیری از Bot و Scraping
• افزایش Visibility روی حملات وب
• پیاده‌سازی امنیت لایه ۷ در کنار FortiGate

اشتباهات رایج در پیاده‌سازی FortiWeb

• قرار دادن WAF در مسیر بدون شناخت دقیق اپلیکیشن
• فعال کردن Ruleهای سخت‌گیرانه بدون مرحله Learn یا Monitor
• بررسی نکردن False Positiveها
• نداشتن ارتباط مناسب بین تیم شبکه، امنیت و توسعه نرم‌افزار
• نادیده گرفتن SSL/TLS و Certificate Expiry
• ثبت نکردن لاگ‌های کافی برای تحلیل رخدادها
• نداشتن فرآیند Change Management برای تغییر Policyها
• استفاده نکردن از گزارش‌ها برای بهبود تدریجی Policy

چک‌لیست اولیه FortiWeb

• شناسایی دامنه‌ها و اپلیکیشن‌های قابل محافظت
• بررسی معماری قرارگیری FortiWeb در شبکه
• تعریف Server Policy برای هر سرویس
• تنظیم درست Certificate و TLS
• فعال‌سازی مرحله Monitor/Learning قبل از Block سخت‌گیرانه
• بررسی False Positiveها با تیم اپلیکیشن
• فعال‌سازی لاگ و گزارش‌های امنیتی
• بازبینی دوره‌ای Ruleها و Signatureها
• هماهنگی FortiWeb با FortiGate و سایر ابزارهای امنیتی

FortiWeb و OWASP Top 10

یکی از کاربردهای مهم FortiWeb کمک به کاهش ریسک حملات رایج OWASP Top 10 است. البته باید توجه داشت که WAF جایگزین کدنویسی امن نیست. اگر اپلیکیشن آسیب‌پذیر باشد، WAF می‌تواند لایه محافظتی خوبی ایجاد کند، اما بهترین نتیجه زمانی به‌دست می‌آید که امنیت در سطح کد، سرور، شبکه و WAF همزمان رعایت شود.

FortiWeb برای چه سازمان‌هایی مناسب است؟

هر سازمانی که وب‌اپلیکیشن مهم، پرتال عمومی، سامانه داخلی حساس یا API در معرض کاربران دارد، می‌تواند از WAF استفاده کند. FortiWeb به‌خصوص برای سازمان‌هایی مناسب است که در اکوسیستم Fortinet کار می‌کنند و می‌خواهند لایه امنیت وب را هم در کنار FortiGate و سایر محصولات Fortinet داشته باشند.

ابهام‌های رایج درباره FortiWeb

FortiWeb چیست؟

FortiWeb وب اپلیکیشن فایروال شرکت Fortinet است که برای محافظت از وب‌سایت‌ها و اپلیکیشن‌های تحت وب در برابر حملات لایه ۷ استفاده می‌شود.

آیا FortiWeb جایگزین FortiGate است؟

خیر. FortiGate فایروال شبکه و NGFW است، اما FortiWeb یک WAF تخصصی برای امنیت وب‌اپلیکیشن است. این دو معمولاً مکمل هم هستند.

FortiWeb جلوی SQL Injection را می‌گیرد؟

FortiWeb می‌تواند بسیاری از الگوهای SQL Injection را تشخیص و مسدود کند، اما همچنان کدنویسی امن و رفع آسیب‌پذیری در خود اپلیکیشن ضروری است.

قبل از Block کردن ترافیک در FortiWeb چه باید کرد؟

بهتر است ابتدا حالت Monitor یا Learning استفاده شود، False Positiveها بررسی شوند و سپس Policyها به‌صورت مرحله‌ای سخت‌گیرانه‌تر شوند.

مطالب مرتبط

• فورتیگیت FortiGate؛ آموزش، پیکربندی و امنیت فایروال Fortinet
• چرا به امنیت شبکه نیاز داریم؟
• کنترل‌های حساس امنیت شبکه
• درباره علیرضا عربیان
• F5 Load Balancer و مفاهیم BIG-IP
• Juniper، Junos و فایروال SRX
• Cisco Firepower، FTD و FMC

برای تصمیم بهتر درباره FortiWeb

FortiWeb برای سازمان‌هایی که وب‌اپلیکیشن مهم دارند، یک لایه دفاعی ارزشمند در برابر حملات لایه ۷ فراهم می‌کند. اما پیاده‌سازی موفق آن نیازمند شناخت اپلیکیشن، مانیتورینگ دقیق، تنظیم مرحله‌ای Policyها و همکاری بین تیم‌های شبکه، امنیت و توسعه است.

مطالعه پیشنهادی برای تنظیم FortiWeb

اگر WAF درخواست‌های سالم برنامه را block می‌کند، راهنمای کاهش False Positive در FortiWeb WAF روش بررسی لاگ، rule و exception محدود را مرحله‌به‌مرحله توضیح می‌دهد.

اگر FortiWeb زیاد False Positive می‌دهد از کجا شروع کنیم؟

پاسخ کوتاه: اول لاگ‌های block شده را بر اساس URL، parameter، signature و client behavior جدا کنید. بعد به‌جای خاموش کردن کامل protection، exception را فقط برای همان مسیر یا همان پارامتر بسازید و با چند درخواست سالم و چند payload تستی برگشتی کنترل کنید.

چک‌لیست سریع بررسی FortiWeb

• Server Policy و Web Protection Profile را با مسیر واقعی اپلیکیشن تطبیق دهید.
• برای صفحه‌های login، upload و API endpointها لاگ جداگانه ببینید.
• قبل از block سراسری، ruleهای حساس را در monitor/alert بررسی کنید.
• استثنا را محدود به host، URL، parameter یا signature نگه دارید.
• بعد از هر تغییر، لاگ false positive و لاگ حمله واقعی را کنار هم مقایسه کنید.

اشتباهات رایج در تنظیم WAF

اشتباه رایج این است که با دیدن چند خطای کاربر، کل signature group یا protection profile غیرفعال شود. این کار معمولاً مشکل را کوتاه‌مدت حل می‌کند، اما عملاً WAF را کور می‌کند. مسیر بهتر این است که تنظیمات را مرحله‌ای، قابل برگشت و مستند جلو ببرید.

برای جزئیات عملی‌تر، مقاله کاهش False Positive در FortiWeb WAF را بخوانید. اگر مسئله از جنس طراحی، نصب یا عیب‌یابی FortiWeb است، صفحه پیکربندی و عیب‌یابی FortiWeb WAF مسیر خدمت را توضیح می‌دهد.

Glossary کوتاه

False Positive: تشخیص اشتباه یک درخواست سالم به‌عنوان حمله. Server Policy: نقطه تصمیم‌گیری اصلی FortiWeb برای ترافیک یک سرویس وب. Exception: استثنای محدود برای کم کردن خطای تشخیص بدون حذف کامل دفاع.

مطالعه پیشنهادی درباره FortiWeb

اگر می‌خواهید FortiWeb را بدون اختلال برای کاربران به مرحله block برسانید، مقاله راه‌اندازی FortiWeb از Monitor تا Block مسیر کم‌ریسک‌تری نشان می‌دهد.

اگر بخواهیم FortiWeb را درست شروع کنیم، اول کدام بخش‌ها مهم‌اند؟

پاسخ کوتاه: FortiWeb را باید از شناخت برنامه، Server Policy، لاگ و حالت monitor شروع کرد؛ نه از روشن کردن همه ruleها در حالت block. برای بیشتر سازمان‌ها، ترتیب منطقی این است: تعریف درست مسیر ترافیک، گرفتن baseline از لاگ‌ها، جدا کردن URLهای حساس، تنظیم exception محدود، و بعد فعال کردن block مرحله‌ای.

چک‌لیست سریع قبل از بردن FortiWeb به حالت Block

• برای هر وب‌اپلیکیشن، Hostname، IP مقصد، SSL و مسیر Reverse Proxy را شفاف کنید.
• چند روز لاگ monitor را برای login، upload، API و فرم‌های پرترافیک جداگانه بررسی کنید.
• برای API، پنل مدیریت و مسیرهای عمومی یک policy یکسان ننویسید؛ رفتار این مسیرها متفاوت است.
• اگر false positive دیدید، exception را تا حد ممکن روی همان URL، parameter یا rule محدود کنید.
• بعد از هر تغییر، یک تست سالم و یک تست مخرب ساده انجام دهید تا مطمئن شوید هم سرویس کار می‌کند هم WAF کور نشده است.

کدام مطالب را بعد از این صفحه بخوانیم؟

برای اجرای عملی، صفحه پیکربندی و عیب‌یابی FortiWeb WAF مسیر کانفیگ و بررسی را باز می‌کند. اگر مسئله اصلی شما خطای اشتباه WAF است، راهنمای کاهش False Positive در FortiWeb و مقاله راه‌اندازی FortiWeb از Monitor تا Block مکمل همین صفحه هستند. برای دیدن جایگاه FortiWeb در طراحی کلی امنیت، صفحه امنیت شبکه و صفحه درباره علیرضا عربیان هم به این خوشه وصل شده‌اند.

اشتباهات رایج در شروع کار با WAF

• شروع مستقیم با block بدون شناخت رفتار واقعی برنامه.
• خاموش کردن signatureهای اصلی به جای ساخت exception محدود و قابل بررسی.
• نادیده گرفتن تغییرات نسخه جدید برنامه و ثابت نگه داشتن policy قدیمی.
• بررسی نکردن لاگ بر اساس URL، parameter، rule ID و نوع کلاینت.

واژه‌نامه کوتاه FortiWeb

WAF: فایروال مخصوص لایه وب که محتوای HTTP/HTTPS را بررسی می‌کند. False Positive: زمانی که WAF یک درخواست سالم را اشتباهاً مخرب تشخیص می‌دهد. Server Policy: نقطه‌ای در FortiWeb که مسیر ترافیک، پروفایل‌های امنیتی و رفتار WAF برای یک سرویس وب کنار هم قرار می‌گیرند. Monitor Mode: حالتی برای مشاهده و لاگ‌گیری بدون قطع کردن مسیر کاربر.

نویسنده: علیرضا عربیان، متخصص شبکه و امنیت شبکه با تمرکز عملی روی فایروال، WAF، لودبالانسر، دیتاسنتر و hardening زیرساخت.

مسیر بعدی بعد از شناخت FortiWeb چیست؟

اگر WAF قرار است فقط یک ابزار کنار سایت نباشد و واقعاً وارد معماری امنیت شود، بهتر است همزمان مسیر فایروال مرزی، لاگ، تغییرات برنامه و مسئولیت تیم‌ها هم دیده شود. برای پروژه‌های اجرایی‌تر، صفحه مشاور امنیت شبکه مسیر شروع بررسی را توضیح می‌دهد و اگر موضوع اصلی Rule، Zone، NAT، VPN یا لاگ فایروال است، صفحه پیاده‌سازی فایروال سازمانی نزدیک‌تر است.

اجرای FortiWeb در شبکه واقعی

اگر درباره FortiWeb یا WAF نیاز به طراحی، بازبینی یا عیب‌یابی دارید، بهتر است وضعیت فعلی شبکه، هدف تغییر و محدودیت‌های عملیاتی با هم بررسی شوند.

مشاهده خدمت مرتبط | ارسال درخواست بررسی

مسیر عملیاتی بعد از FortiWeb

اگر موضوع شما از مطالعه آموزشی فراتر رفته و به اجرای پروژه نزدیک شده است، برای امنیت وب‌اپلیکیشن صفحه مشاوره و پیاده‌سازی WAF و برای بازبینی کلی زیرساخت صفحه طراحی امنیت شبکه و هاردنینگ زیرساخت سازمانی مسیر عملی‌تری می‌دهند.