FortiWeb技術(shù)培訓(xùn)講義課件

1、FortiWeb技術(shù)培訓(xùn)講義FortiWeb技術(shù)培訓(xùn)講義HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議結(jié)構(gòu)HTTP協(xié)議特點(diǎn)HTTP協(xié)議的主要特點(diǎn)可概括如下：支持客戶/服務(wù)器模式。簡(jiǎn)單快速：客戶向服務(wù)器請(qǐng)求服務(wù)時(shí)，只需傳送請(qǐng)求方法和路徑。請(qǐng)求方法常用的有GET、HEAD、POST。每種方法規(guī)定了客戶與服務(wù)器聯(lián)系的類型不同。由于HTTP協(xié)議簡(jiǎn)單，使得HTTP服務(wù)器的程序規(guī)模小，因而通信速度很快。靈活：HTTP允許傳輸任意類型的數(shù)據(jù)對(duì)象。正在傳輸?shù)念愋陀蒀ontent-Type加以標(biāo)記。無連接：無連接的含義是限制每次連接只處理一個(gè)請(qǐng)求。服務(wù)器處理完客戶的請(qǐng)求，并收到客戶的應(yīng)答后，即斷開

2、連接。采用這種方式可以節(jié)省傳輸時(shí)間。無狀態(tài)：HTTP協(xié)議是無狀態(tài)協(xié)議。無狀態(tài)是指協(xié)議對(duì)于事務(wù)處理沒有記憶能力。缺少狀態(tài)意味著如果后續(xù)處理需要前面的信息，則它必須重傳，這樣可能導(dǎo)致每次連接傳送的數(shù)據(jù)量增大。另一方面，在服務(wù)器不需要先前信息時(shí)它的應(yīng)答就較快。HTTP協(xié)議特點(diǎn)HTTP協(xié)議的主要特點(diǎn)可概括如下：HTTP方法請(qǐng)求方法（所有方法全為大寫）有多種，各個(gè)方法的解釋如下：GET 請(qǐng)求獲取Request-URI所標(biāo)識(shí)的資源POST 在Request-URI所標(biāo)識(shí)的資源后附加新的數(shù)據(jù)HEAD 請(qǐng)求獲取由Request-URI所標(biāo)識(shí)的資源的響應(yīng)消息報(bào)頭PUT 請(qǐng)求服務(wù)器存儲(chǔ)一個(gè)資源，并用Request

3、-URI作為其標(biāo)識(shí)DELETE 請(qǐng)求服務(wù)器刪除Request-URI所標(biāo)識(shí)的資源TRACE 請(qǐng)求服務(wù)器回送收到的請(qǐng)求信息，主要用于測(cè)試或診斷CONNECT 保留將來使用OPTIONS 請(qǐng)求查詢服務(wù)器的性能，或者查詢與資源相關(guān)的選項(xiàng)和需求HTTP方法請(qǐng)求方法（所有方法全為大寫）有多種，各個(gè)方法的解打開telnet：運(yùn)行-cmd-telnetOpen 80按Ctrl + ，然后回車輸入 GET / HTTP/1.0HOST:此處輸入回車換行返回信息：HTTP/1.1 200 OKDate: Tue, 20 Aug 2013 07:11:25 GMTServer: BWS/1.0Content-Le

4、ngth: 10443Content-Type: text/html;charset=utf-8Cache-Control: privateBDPAGETYPE: 1BDUSERID: 0BDQID: 0 xfcdf625f01e80cd3Set-Cookie: BDSVRTM=1; path=/Set-Cookie: H_PS_PSSID=2777_1464_3138_2975_2981_3135_2702; path=/; domain=.Set-Cookie: BAIDUID=74317ABA4D2366FD97BD8443C2D36729:FG=1; expires=Tue, 20-A

5、ug-43 07:11:25 GMT; path=/; domain=.Expires: Tue, 20 Aug 2013 07:11:25 GMTP3P: CP= OTI DSP COR IVA OUR IND COM “此處是空行此處略去 N個(gè)字HTTP GET打開telnet：運(yùn)行-cmd-telnetHTTP其他HTTP方法的語法類似，只不過不同的方法使用目的不同，通常情況下 所有服務(wù)器均支持GET POST HEAD其他方法不用于使用（由于存在安全隱患）GET 請(qǐng)求獲取Request-URI所標(biāo)識(shí)的資源POST 在Request-URI所標(biāo)識(shí)的資源后附加新的數(shù)據(jù)HEAD 請(qǐng)求獲取由R

6、equest-URI所標(biāo)識(shí)的資源的響應(yīng)消息報(bào)頭PUT 請(qǐng)求服務(wù)器存儲(chǔ)一個(gè)資源，并用Request-URI作為其標(biāo)識(shí)DELETE請(qǐng)求服務(wù)器刪除Request-URI所標(biāo)識(shí)的資源TRACE 請(qǐng)求服務(wù)器回送收到的請(qǐng)求信息，主要用于測(cè)試或診斷CONNECT 保留將來使用OPTIONS 請(qǐng)求查詢服務(wù)器的性能，或者查詢與資源相關(guān)的選項(xiàng)和需求CONNECT是標(biāo)準(zhǔn)技術(shù)，不是什么黑客行為。SSL就可以利用CONNECT連接，CONNECT與GET等的不同之處就在于代理服務(wù)器對(duì)CONNECT連接處理為建立一個(gè)到目標(biāo)服務(wù)器的連接而不把CONNECT請(qǐng)求發(fā)送出去，建立連接以后代理服務(wù)器不會(huì)對(duì)連接數(shù)據(jù)作任何修改，只是轉(zhuǎn)

7、發(fā)。HTTP 方法簡(jiǎn)介其他HTTP方法的語法類似，只不過不同的方法使用目的不同，通WAF HTTP處理原理WAF HTTP處理原理WAF原理真正的WAF核心的技術(shù)原理就是HTTP 反向代理代理作為客戶端與服務(wù)端通信的中間人，代替客戶端與服務(wù)端交流。對(duì)于客戶端，代理的角色是服務(wù)端用來發(fā)送響應(yīng)；對(duì)于服務(wù)端，代理的角色是客戶端用來發(fā)送請(qǐng)求。代理起的作用是網(wǎng)絡(luò)訪問控制。代理分為正向代理和反向代理正向代理：由客戶端主動(dòng)配置代理服務(wù)器，借此通過代理服務(wù)器來訪問其他服務(wù)端反向代理: 是指在服務(wù)端搭建代理，接收客戶端的請(qǐng)求，并將請(qǐng)求轉(zhuǎn)給其他服務(wù)器，用來實(shí)現(xiàn)與其他服務(wù)器之間的通信 ，以便按需求定位所請(qǐng)求的內(nèi)容。

8、適合做兩件事：負(fù)載均衡（LVS是否屬于反向代理的一種？）、提升性能與用戶感受（利用服務(wù)器端資源在電信搭建代理通過內(nèi)部光纖，為電信用戶訪問網(wǎng)通資源更快捷）WAF原理真正的WAF核心的技術(shù)原理就是HTTP 反向代理正向代理 舉例：基于偉大的防火長(zhǎng)城，類似TWITTER、FACEBOOK、YOUTUBE等網(wǎng)站是基本無法訪問的，通知我們需要撥通VPN或使用在線代理來翻躍那座可惡的墻。這里VPN及在線代理的作用就是一個(gè)正向代理：由客戶端主動(dòng)設(shè)置，通過代理連接指定服務(wù)端！個(gè)人理解，防火長(zhǎng)城其實(shí)也是屬于代理的一種，它在監(jiān)控著國人對(duì)互聯(lián)網(wǎng)另一端的請(qǐng)求。當(dāng)發(fā)現(xiàn)你請(qǐng)求的網(wǎng)站涉及危害幼小心靈，容易引你走向歧途時(shí)，會(huì)

9、將服務(wù)器另一端的返回（或者是你的請(qǐng)求直接給斷掉）給攔截住，而返回給你一個(gè)無法打開頁面的錯(cuò)誤提示。 這時(shí)代理起的作用是過濾內(nèi)容，凈化網(wǎng)絡(luò)環(huán)境！WAF原理正向代理 舉例：WAF原理WAF某種特殊模式處理并非HTTP代理 如：（FortiWeb的透明檢測(cè)、旁路監(jiān)聽）1 IPS處理2 IPS+鏡像這些特殊的WAF部署局限性：不能對(duì)數(shù)據(jù)進(jìn)行重寫、修改、或者擦除只能阻斷或者丟棄。WAF特殊處理WAF某種特殊模式處理并非HTTP代理WAF特殊處理FortiWeb 部署模式FortiWeb 部署模式FortiWeb部署模式透明代理模式透明檢測(cè)模式在線代理模式離線檢測(cè)模式FortiWeb部署模式透明代理模式物理

10、部署：透明串在服務(wù)器前端（類似交換機(jī)）優(yōu) 點(diǎn)：無需改變客戶現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)注：需要單獨(dú)連接管理線透明代理原理實(shí)現(xiàn)： 通過進(jìn)行隱含兩次NAT來實(shí)現(xiàn)因此性能要比在線代理模式下略低Web服務(wù)器FortiWebHACKER正常用戶透明代理模式物理部署：透明串在服務(wù)器前端（類似交換機(jī)）透明代透明檢測(cè)模式物理部署：透明串在服務(wù)器前端（類似交換機(jī)）優(yōu) 點(diǎn)：無需改變客戶現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)注：需要單獨(dú)連接管理線透明檢測(cè)原理實(shí)現(xiàn)： 內(nèi)部將業(yè)務(wù)接口的HTTP數(shù)據(jù)鏡像給上層協(xié)議分析器，對(duì)攻擊數(shù)據(jù)向客戶端和服務(wù)器發(fā)送reset包來阻斷。無法攔截單包攻擊報(bào)文，阻斷效果受影響Web服務(wù)器FortiWebHACKER正常用戶透明檢測(cè)模

11、式物理部署：透明串在服務(wù)器前端（類似交換機(jī)）透明檢在線代理模式物理部署：只要路由可達(dá)即可（單臂或者雙臂均支持）優(yōu) 點(diǎn)：WAF功能最全（支持負(fù)載均衡等）缺 點(diǎn)：需要改變防火墻映射，隱藏客戶端ip和服務(wù)器ip思考：FortiWeb轉(zhuǎn)發(fā)到Web服務(wù)器的源IP是誰？在線代理原理實(shí)現(xiàn)：簡(jiǎn)單理解為類似于防火墻或者路由器做映射，但處理上是使用代理實(shí)現(xiàn)Web服務(wù)器FortiWebHACKER正常用戶在線代理模式物理部署：只要路由可達(dá)即可（單臂或者雙臂均支持）離線檢測(cè)模式物理部署：?jiǎn)伪鄄渴?，在交換機(jī)上做端口鏡像優(yōu) 點(diǎn)：對(duì)現(xiàn)網(wǎng)無任何影響思考：FortiWeb轉(zhuǎn)發(fā)到Web服務(wù)器的源IP是誰？離線檢測(cè)原理實(shí)現(xiàn)：通過交

12、換機(jī)上端口鏡像將copy雙向數(shù)據(jù)到FortiWeb進(jìn)行安全檢測(cè)，對(duì)攻擊或者潛在威脅使用reset阻斷，無法攔截單包攻擊報(bào)文，阻斷效果受影響Web服務(wù)器FortiWebHACKER正常用戶離線檢測(cè)模式物理部署：?jiǎn)伪鄄渴穑诮粨Q機(jī)上做端口鏡像離線檢測(cè)FortiWeb配置步驟FortiWeb配置步驟FortiWeb配置步驟修改設(shè)備配置模式添加虛擬服務(wù)器（只適用于在線代理模式）添加物理服務(wù)器添加物理服務(wù)器組添加虛擬Vzone（只適用于透明代理或者透明檢測(cè)模式）建立已知保護(hù)策略建立在線保護(hù)規(guī)范（只適用于在線代理模式或者透明代理模式）建立離線保護(hù)規(guī)范（只適用于離線檢測(cè)模式或者透明檢測(cè)模式）建立策略將虛擬服

13、務(wù)器（在線代理模式）、物理服務(wù)器組、vzone（透明代理模式、透明檢測(cè)模式）、保護(hù)規(guī)范等關(guān)聯(lián)FortiWeb配置步驟修改設(shè)備配置模式修改設(shè)備配置模式修改設(shè)備配置模式添加虛擬服務(wù)器（只適用于在線代理模式）添加虛擬服務(wù)器（只適用于在線代理模式）添加物理服務(wù)器添加物理服務(wù)器添加物理服務(wù)器組添加物理服務(wù)器組添加虛擬Vzone（只適用于透明代理或者透明檢測(cè)模式）添加虛擬Vzone（只適用于透明代理或者透明檢測(cè)模式）建立已知攻擊保護(hù)策略建立已知攻擊保護(hù)策略建立在線保護(hù)規(guī)范（只適用于在線代理模式或者透明代理模式）建立在線保護(hù)規(guī)范（只適用于在線代理模式或者透明代理模式）建立離線保護(hù)規(guī)范（只適用于離線檢測(cè)模式或者透明檢測(cè)模式）建立