Halka açık e-ticaret sitesi koruması
Türkiye'deki büyük bir e-ticaret platformu FortiWeb 600F çiftiyle OWASP Top 10, bot ve credential stuffing saldırılarını engelliyor.
Fortinet · Netzwerksicherheit und SD-WAN
FortiWeb (WAF)
Web uygulama ve API güvenliği için makine öğrenmeli WAF.
Kurzantwort
FortiWeb, web uygulamalarını OWASP Top 10, bot, API abuse ve DDoS saldırılarına karşı koruyan Fortinet'in makine öğrenmesi tabanlı WAF (Web Application Firewall) ürünüdür. Donanım, sanal, container ve SaaS olarak çalıştırılabilir.
FortiWeb, web uygulamaları ve API'leri için positive security (allow-list) ve negative security (block-list) modlarını birleştiren bir WAF'tır.
Makine öğrenmesi modülü, normal uygulama trafiğini öğrenir; OWASP imzaları + anomali tespiti + ML korelasyonu ile yanlış pozitif oranını rakiplerden düşük tutar.
API koruma için OpenAPI/Swagger schema validation, GraphQL koruması, rate limiting ve API discovery özellikleri bulunur.
Wichtige Funktionen
Was es bietet
- ML tabanlı anomali tespiti
- Bot mitigation ve API koruma
- Şema bazlı API doğrulama
- Donanım, sanal, container ve SaaS
- FortiAnalyzer ile birleşik raporlama
- OWASP Top 10 + zero-day koruma
- DDoS (layer 7) mitigation
- TLS termination
Technische Übersicht
Wichtige technische Daten
- Form faktör
- FortiWeb 100E → 4000F donanım, VM, container, SaaS
- Performans
- 100 Mbps → 100 Gbps modeller
- TLS
- TLS 1.3 termination + offload
- API
- REST, GraphQL, OpenAPI
- Yönetim
- FortiWeb Manager (çoklu cihaz)
- Lisanslama
- Donanım + FortiGuard WAF + IP reputation
AnwendungsfälleE-ticaret Bankacılık Kamu SaaS
Wann sollten Sie sich für dieses Produkt entscheiden?
İnternet bankacılığı önünde WAF
Bir banka internet bankacılık uygulaması önünde FortiWeb ile PCI-DSS uyumu sağlıyor; iki aktif-pasif cluster.
e-Devlet servisi koruması
Bir kamu kurumu e-devlet servisini FortiWeb ile koruyor; DDoS ve bot trafiğine karşı dirençli.
API gateway koruma
Bir SaaS firması GraphQL API'sini FortiWeb ile koruyor; schema validation ve rate limit otomatik uygulanıyor.
Für wen ist es geeignet?
Halka açık web ve API yayınlayan kurumlar; PCI-DSS uyumu gerektirenler.
Häufig gestellte Fragen
Häufig gestellte Fragen
FortiGate UTM ile FortiWeb farkı nedir?
FortiGate UTM temel uygulama denetimi sunar; tam WAF değildir. FortiWeb: OWASP imza derinliği, ML anomali, API koruma ve bot mitigation içerir. Halka açık kritik web servisi için FortiWeb şarttır.
Bulut WAF (FortiWeb Cloud) ile on-prem farkı?
Cloud WAF: hızlı devreye alma, kullandıkça öde, CDN gibi çalışır. On-prem: tam kontrol, kurum içi data center'da. KVKK'ya hassas kurumlar genelde on-prem tercih eder.
OWASP Top 10 koruması garanti mi?
FortiWeb tüm OWASP Top 10 (2021) maddelerini kapsar. Ancak %100 garanti hiçbir WAF için verilemez; defense in depth ile uygulama tarafında da kod güvenliği şarttır.
Yanlış pozitif (false positive) nasıl azaltılır?
FortiWeb ML modülü öğrenme modunda 1–2 hafta trafik izler, anormal davranış profilini çıkarır. Sonra enforcement modunda yanlış pozitifler %1'in altında kalır.
Bot mitigation ne yapar?
Insan/bot ayırt eder; iyi bot (Google crawler) ile kötü bot (scraping, credential stuffing) ayırır. JavaScript challenge, CAPTCHA, rate limit, fingerprinting teknikleri kullanır.
API discovery nasıl çalışır?
FortiWeb trafiği analiz ederek bilinmeyen endpoint'leri tespit eder ve raporlar; shadow API riskini minimize eder. OpenAPI schema yüklendiğinde şema dışı çağrıları engeller.
TLS termination nerede yapılmalı?
FortiWeb'de termination yapılabilir veya passthrough ile arka uçta. Termination yapılırsa FortiWeb tüm trafiği decrypt edip inspect eder; en güvenli mod budur.
DDoS koruması ne seviyede?
Layer 7 (HTTP/HTTPS) DDoS için yeterli — rate limit, JavaScript challenge, IP reputation. Volumetric (3/4) DDoS için Cloudflare/Arbor gibi scrubbing servisi önerilir.
Container/Kubernetes desteği var mı?
Evet, FortiWeb Container Edition ile K8s pod'larında sidecar veya ingress controller olarak çalışır. Helm chart sağlanır.
FortiAnalyzer ile entegrasyon nasıl?
FortiWeb tüm WAF olaylarını ve attack log'larını FortiAnalyzer'a syslog gönderir; PCI-DSS raporları, attack haritası ve top vulnerabilities raporlanır.
Offizielle Produktseite des Herstellers
Öffnet die originale technische Dokumentation und Produktseite des Herstellers in einem neuen Tab.
Fortinet — FortiWeb (WAF) →Gleiche Marke
Fortinet — weitere Produkte der Familie
FortiGate NGFW
KI-gestützte Next-Generation-Firewall-Familie (40F → 7081F).
DetailsFortiSASE
Hibrit çalışan için bulut tabanlı Secure Access Service Edge.
DetailsFortiClient (ZTNA + EPP)
Tek ajan ile VPN, ZTNA, EDR ve uyumluluk kontrolü.
DetailsFortiEDR / FortiXDR
Endpoint Detection & Response ve genişletilmiş tespit/müdahale.
DetailsVergleichbare Lösungen
Ähnliche Lösungen anderer Marken
FortiWeb (WAF) — Lizenz + Bereitstellung + Support
Sora Yazılım übernimmt Lizenzierung, Bereitstellung, Schulung und laufendes Management — alles aus einer Hand.