Fortinet安全专家问答实录｜如何防护暴力破解、撞库攻击-编程知识

黑客攻防，一个看似神秘，但却必不可缺的领域。近期，全球网络与安全融合领域领导者Fortinet（Nasdaq：FTNT），开启了Fortinet DEMO DAY系列实战攻防演练线上直播，让人人都能零距离观摩黑客是如何“开黑”、破坏，以及Fortinet系列产品是如何进行见招拆招、一一化解的！

在第一期中，Fortinet攻防专家团队成员庄喆皓在进行黑客攻防演示后，与在线观众进行了深入的问答互动，以下是大家关注的七大相关问题与解答：

问题一、暴力破解和撞库攻击的区别？

一般可能会被认为二者是合一的。但是当深入了解后，会发现这两者存在一定的相似度，但是又有些许差异。

暴力破解其实更像是一种无差别攻击，对目标站点并没有一个很清晰的概念。但是撞库攻击更类似 APT 攻击，这意味它的攻击一定是目标明确的。比如，撞库攻击企业OA，与暴力破解简单粗暴的使用root、admin、admin123等简单弱口令不同的是，撞库攻击会下很多功夫了解目标。

这就包括企业在公网上发布的招聘、售后、营销等相关的邮箱、账号等信息，并建立较为明确的邮箱、账户库。同时，它可能并不会直接使用互联网上下载的通用密码字典，常见的是会加入匹配目标企业缩写、人名、企业名字等等相关的密码组合规则。

问题二、Fortinet如何与第三方的产品联动？

首先，诸如FortiAnalyzer等产品和方案，协同联动最佳的必然是Fortinet自有产品。但是，如果第三方有开放API，Fortinet相关产品也能够进行对接联动。比如，FortiSOAR就可以通过 API 对接第三方，根据事件的不同类型匹配Playbook剧本进行对应的处置。

问题三、FortiSIEM可否替代FortiAnalyzer？

首先我认为这两者是一个子集、包含的关系。SIEM其实包含FortiAnalyzer的功能，其次，FortiSIEM不单可以兼容Fortinet自己的产品，像FortiGate、FortiWeb、FortiAnalyzer、SOC 等，同时它也可以兼容第三方产品，主流的像思科、赛门铁克等产品。

但是FortiAnalyzer不一样，它日志分析较SIEM弱，只能够对Fortinet体系内的产品做日志分析，它没有办法像 SIEM 一样海纳百川，可以对接多个其他厂商的产品。

这就是二者的关系。FortiAnalyzer和SOAR有点相像，可以理解为FortiAnalyzer是一个集成了 SIEM 和 SOAR 的一款轻量级的、更针对于Fortinet产品的产品。

问题四、如何体现FortiWeb的产品价值？

对于过去没有任何 Web 防护的企业，部署FortiWeb如何体现它的WAF价值？虽然每个企业可能会不太一样，每个行业也不太一样，但仍有可深入的空间：

通过漏洞扫描前后对比。这只是一个表象，因为漏扫要讲究客观性，确实部署了FortiWeb之后，漏洞数量直接降低，这种前后数据对比是很客观。

但是漏扫是一个预防性的手段，它并不是一个事中干预性的操作。所以，对于部署FortiWeb后，漏洞扫描的结果前后对比可以说有一定的参考意义，但却不能完全的体现这个产品的真实价值。

关键点一，FortiWeb有没有影响到正常的业务转发？很多时候部署安全产品就意味着一定会跟业务部门打交道，所以我们首先要去判断部署设备对业务产生的影响到底有多大，如果对业务产生的影响很小，就像Fortinet的很多产品采用高性能自研ASIC芯片，对业务的影响是微乎其微的。即首先保证了业务的连续性，使得业务的正常转发不被影响，然后再谈防护价值。

关键点二，通过定期漏扫、渗透测试来检验部署的安全防护设备有没有起到安全防护作用。安全部门要体现价值确实存在一定难度，但并不是完全无办法。除了漏扫、渗透测试，企业也可以定期开展红蓝对抗，这样部署的WAF更能够通过可视化以及防护数据体现价值。

一旦红蓝对抗成为常态，企业的CEO、CFO会看到每年受到的攻击频次逐渐下降。就如以往每年大概要处理 100 件安全事件，或者是这 100 个事件要造成多大的损失，现在部署了WAF，并常态化红蓝对抗，安全事件降低到多少、损失降低到多少都可以换算成部署WAF的防护价值。

问题五、FortiAnalyzer Playbook 有没有相应的模板？

FortiAnalyzer Playbook 其实是轻量化、非常简单的，我们甚至不称之为模板，因为模板其实显得更重一点。千言万语不如亲自体验，我们会设置一些不同的攻防场景，欢迎有测试意向的企业联系我们通过实际测试来体验。

问题六、FortiWeb 转发和 Nginx转发哪个更强？

其实二者不是同一个类别，如果单论转发性能，一定是FortiWeb更强。但是大部分的 Nginx 都是部署在服务器上，它只是服务器上的一个组件。FortiWeb除了虚拟化部署以外，还支持硬件设备，这种模式其实是有硬件加速卡的，能够加速转发性能，特别是 https 的性能。而 Nginx是 X86 架构，非常依赖于底层的 X86 平台的性能，所以我认为FortiWeb 更强。虽然很难通过具体指标去衡量，但是从技术架构设计角度，其实是可以分析出来强弱。

问题七、FortiWeb如何保护Exchange Server？

FortiWeb主要保护的不是邮件服务器，主要保护的还是对外发布站点，所以，对于邮件服务器，FortiWeb一定是保护的是邮件服务器的前端页面，例如Exchange的OWA这种前端页面，而不是保护具体的邮件流。

Fortinet将在第二期DEMO实战攻防中为您演示专业邮件安全网关FortiMail如何周密防护企业邮件内外安全，欢迎扫描下方图片二维码关注！