FortiWeb技术培训讲义.ppt

1、1 Fortinet Confidential目录 协议结构 处理原理 处理流程 部署模式 配置步骤（透明代理、透明检测模式、在线模式、旁路监听模式）常见问题解答第1页，共32页。2 Fortinet Confidential协议结构第2页，共32页。3 Fortinet Confidential协议结构协议结构第3页，共32页。4 Fortinet Confidential协议特点协议特点协议的主要特点可概括如下：支持客户/服务器模式。简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有、。每种方法规定了客户与服务器联系的类型不同。由于协议简单，使得服务器的程序规模小，

2、因而通信速度很快。灵活：允许传输任意类型的数据对象。正在传输的类型由加以标记。无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。无状态：协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。第4页，共32页。5 Fortinet Confidential方法方法请求方法（所有方法全为大写）有多种，各个方法的解释如下：请求获取所标识的资源在所标识的资源后附加新的数据

3、请求获取由所标识的资源的响应消息报头请求服务器存储一个资源，并用作为其标识请求服务器删除所标识的资源请求服务器回送收到的请求信息，主要用于测试或诊断保留将来使用请求查询服务器的性能，或者查询与资源相关的选项和需求第5页，共32页。6 Fortinet Confidential打开：运行80按+，然后回车输入/1.0此处输入回车换行返回信息：1.1200:,20201307:11:25:1.0:10443:8:1:0:0625f01e803:1;:2777_1464_3138_2975_2981_3135_2702;:743174D2366978443C2D367291;,204307:11:2

4、5;:,20201307:11:25P3P:“此处是空行此处略去N个字 第6页，共32页。7 Fortinet Confidential其他方法的语法类似，只不过不同的方法使用目的不同，通常情况下所有服务器均支持其他方法不用于使用（由于存在安全隐患）请求获取所标识的资源在所标识的资源后附加新的数据请求获取由所标识的资源的响应消息报头请求服务器存储一个资源，并用作为其标识请求服务器删除所标识的资源请求服务器回送收到的请求信息，主要用于测试或诊断保留将来使用请求查询服务器的性能，或者查询与资源相关的选项和需求是标准技术，不是什么黑客行为。就可以利用连接，与等的不同之处就在于代理服务器对连接处理为建

5、立一个到目标服务器的连接而不把请求发送出去，建立连接以后代理服务器不会对连接数据作任何修改，只是转发。方法简介方法简介第7页，共32页。8 Fortinet Confidential 处理原理第8页，共32页。9 Fortinet Confidential原理原理真正的核心的技术原理就是 反向代理代理作为客户端与服务端通信的中间人，代替客户端与服务端交流。对于客户端，代理的角色是服务端用来发送响应；对于服务端，代理的角色是客户端用来发送请求。代理起的作用是网络访问控制。代理分为正向代理和反向代理正向代理：由客户端主动配置代理服务器，借此通过代理服务器来访问其他服务端 反向代理:是指在服务端搭建

6、代理，接收客户端的请求，并将请求转给其他服务器，用来实现与其他服务器之间的通信，以便按需求定位所请求的内容。适合做两件事：负载均衡（是否属于反向代理的一种？）、提升性能与用户感受（利用服务器端资源在电信搭建代理通过内部光纤，为电信用户访问网通资源更快捷）第9页，共32页。10 Fortinet Confidential正向代理 举例：基于伟大的防火长城，类似、等网站是基本无法访问的，通知我们需要拨通或使用在线代理来翻跃那座可恶的墙。这里及在线代理的作用就是一个正向代理：由客户端主动设置，通过代理连接指定服务端！个人理解，防火长城其实也是属于代理的一种，它在监控着国人对互联网另一端的请求。当发现

7、你请求的网站涉及危害幼小心灵，容易引你走向歧途时，会将服务器另一端的返回（或者是你的请求直接给断掉）给拦截住，而返回给你一个无法打开页面的错误提示。这时代理起的作用是过滤内容，净化网络环境！原理原理第10页，共32页。11 Fortinet Confidential某种特殊模式处理并非代理 如：（的透明检测、旁路监听）1 处理2 镜像这些特殊的部署局限性：不能对数据进行重写、修改、或者擦除只能阻断或者丢弃。特殊处理特殊处理第11页，共32页。12 Fortinet Confidential 部署模式第12页，共32页。13 Fortinet Confidential部署模式部署模式透明代理模式

8、透明检测模式在线代理模式离线检测模式第13页，共32页。14 Fortinet Confidential透明代理模式透明代理模式物理部署：透明串在服务器前端（类似交换机）优 点：无需改变客户现有网络结构注：需要单独连接管理线透明代理原理实现：通过进行隐含两次来实现因此性能要比在线代理模式下略低服务器正常用户第14页，共32页。15 Fortinet Confidential透明检测模式透明检测模式物理部署：透明串在服务器前端（类似交换机）优 点：无需改变客户现有网络结构注：需要单独连接管理线透明检测原理实现：内部将业务接口的数据镜像给上层协议分析器，对攻击数据向客户端和服务器发送包来阻断。无法

9、拦截单包攻击报文，阻断效果受影响服务器正常用户第15页，共32页。16 Fortinet Confidential在线代理模式在线代理模式物理部署：只要路由可达即可（单臂或者双臂均支持）优 点：功能最全（支持负载均衡等）缺 点：需要改变防火墙映射，隐藏客户端和服务器思考：转发到服务器的源是谁？在线代理原理实现：简单理解为类似于防火墙或者路由器做映射，但处理上是使用代理实现服务器正常用户第16页，共32页。17 Fortinet Confidential离线检测模式离线检测模式物理部署：单臂部署，在交换机上做端口镜像优 点：对现网无任何影响思考：转发到服务器的源是谁？离线检测原理实现：通过交换机

10、上端口镜像将双向数据到进行安全检测，对攻击或者潜在威胁使用阻断，无法拦截单包攻击报文，阻断效果受影响服务器正常用户第17页，共32页。18 Fortinet Confidential配置步骤第18页，共32页。19 Fortinet Confidential配置步骤修改设备配置模式添加虚拟服务器（只适用于在线代理模式）添加物理服务器添加物理服务器组添加虚拟（只适用于透明代理或者透明检测模式）建立已知保护策略建立在线保护规范（只适用于在线代理模式或者透明代理模式）建立离线保护规范（只适用于离线检测模式或者透明检测模式）建立策略将虚拟服务器（在线代理模式）、物理服务器组、（透明代理模式、透明检测模

11、式）、保护规范等关联第19页，共32页。20 Fortinet Confidential修改设备配置模式第20页，共32页。21 Fortinet Confidential添加虚拟服务器（只适用于在线代理模式）第21页，共32页。22 Fortinet Confidential添加物理服务器第22页，共32页。23 Fortinet Confidential添加物理服务器组第23页，共32页。24 Fortinet Confidential添加虚拟（只适用于透明代理或者透明检测模式）第24页，共32页。25 Fortinet Confidential建立已知攻击保护策略第25页，共32页。26

12、 Fortinet Confidential建立在线保护规范（只适用于在线代理模式或者透明代理模式）第26页，共32页。27 Fortinet Confidential建立离线保护规范（只适用于离线检测模式或者透明检测模式）第27页，共32页。28 Fortinet Confidential建立策略将虚拟服务器建立策略将虚拟服务器 建立策略将虚拟服务器（在线代理模式）、物理服务器组、物理服务器（只适用于在线代理模式）、（透明代理模式、透明检测模式）、保护规范等关联其他部署模式，建立策略的时候可以根据相应模式出现的配置进行选择即可如下面的截图第28页，共32页。29 Fortinet Confi

13、dential常见问题解答第29页，共32页。30 Fortinet Confidential网站部分页面被误拦，如何处理网站部分页面被误拦，如何处理找出被误拦的页面或者图片等名称在攻击日志中搜索被拦截的日志，在日志中添加例外或者全局禁用特征第30页，共32页。31 Fortinet Confidential部署部署FortiWeb之后，负载均衡设备不工作了之后，负载均衡设备不工作了 现象描述：透明代理模式不属于负载均衡与web服务器之间出现负载停止转发HTTP数据，负载均衡上的检查服务器存活的状态异常，无法检测到服务器存活，导致负载均衡停止向服务器转发数据 原因分析：在FortiWeb抓包发现FortiWeb接收到负载均衡发过来的存活检查报文为GET报文，但是GET报文格式不规范，FortiWeb会将丢弃此报文，并断开连接。解决方法：在F5上输入正确的GET报文格式，工作正常。第31页，共32页。32 Fortinet Confidential演讲完毕，谢谢观看！第32页，共32页。