ASF应用安全防火墙

华耀ASF系列应用安全防火墙,采用华耀先进的64位SpeedCore™多核处理架构,为关键业务应用提供全面的攻击和威胁的检测与防护。华耀ASF系列结合负向WAF和正向WAF模型于一身,不仅能够检测和防范最新的已知安全攻击和漏洞,还能有效地防范“零日”攻击。ASF系列提供精细化的攻击防护控制,支持自动学习和动态防护模板刷新,通过客户端源认证提高攻击识别的精度。

亮点和优势

  • 下一代Web应用防火墙为关键Web服务器和应用提供多层次的安全防护
  • 结合负向WAF和正向WAF模型于一身,不仅能够检测和防范最新的已知安全攻击和漏洞,还能有效地防范“零日”攻击
  • 专业的攻击签名规则库,可以防御SQL注入、PHP注入、跨站脚本、代码执行、网络爬虫/扫描器、CSRF、盗链、Webshell后门、敏感信息泄露、会话劫持、协议违规等攻击
  • 为Web服务器提供L3到L7层防护,包括企业级DDoS防御、高级网络访问控制、黑白名单、httpsss协议过滤、异常报文检查等
  • 支持DLP(Data Leak Protection,数据泄露防护)规则,防止用户的身份信息、手机号码、邮箱地址、信用卡账户等私人或者敏感信息对外泄露
  • 支持虚拟补丁功能,将第三方Web漏洞扫描器(AppScan)扫描结果快速转化为可执行的安全策略(“虚拟补丁”),降低漏洞为客户带来的风险
  • 可定制的攻击签名和灵活的部署模式/防护模型,满足各种复杂Web应用的防护需求
  • 提供快速配置向导,根据应用特征快速形成防护模板,减轻配置的复杂度,形成准确的防护能力
  • 正向WAF自动学习正常应用流量,生成流量白名单,自动刷新WAF防护模板
  • 流量基线学习,自动根据学习结果,动态刷新自动DDoS防护模板的规则和选项,简化用户配置,提升防护准确性
  • 提供丰富的事件日志,方便对攻击进行回溯和审计,并支持导出分析
  • 提供精细化、直观的图形化监控功能,支持对系统状态、攻击、访问、流量和丢包进行监控

功能价值

下一代Web应用防火墙

华耀ASF系列应用安全防火墙可以识别大量的Web攻击机制和方式,在攻击事件发生时及时阻断黑客的攻击并记录详尽的攻击和审计日志,在安全事件发生后通过诊断和分析为防范未来攻击和加固服务器安全提供指导。

华耀ASF系列应用安全防火墙采用了正向WAF模型和负向WAF模型相结合的架构,允许同时为Web应用启用正向WAF防护和负向WAF防护。ASF使用负向WAF模型可以通过不断升级Array攻击规则库支持最新攻击的签名规则,从而可以防护最新的已知的Web攻击。ASF正向WAF模型通过学习正向流量的特征,动态刷新防护模板,有效拦截各种复杂的和未知的Web攻击。

华耀ASF系列支持虚拟补丁功能,将第三方Web漏洞扫描器(AppScan)扫描结果快速转化为可执行的安全策略(“虚拟补丁”),降低漏洞为客户带来的风险。

灵活的部署方式

ASF系列提供了灵活的部署模式,适合客户各种部署场景。ASF产品可以支持如下部署模式:

  • Bridge透明模式:二层透明接入网络,不需要改变客户网络任何配置,支持Bypass功能。但该模式不支持httpssssS应用防护;
  • Bridge代理模式:二层透明接入网络,需要修改网络NAT/路由配置或者DNS解析记录将应用流量指向虚拟服务IP,并确保应用流量物理上经过ASF设备;
  • 路由透明模式:三层接入网络,需要将应用流量的请求和响应分别牵引到ASF的Uplink和Downlink接口;
  • 路由代理模式:三层接入网络,需要修改网络NAT/路由配置或者DNS解析记录将应用流量指向虚拟服务IP,并修改服务器的路由配置将服务器响应路由到ASF Downlink接口;
  • 旁路TAP模式:ASF设备旁挂在业务流量路径之外,需要在ASF旁挂的交换机配置端口镜像策略,将流量拷贝到ASF设备进行检测。该模式只检测攻击,不阻断攻击,不支持httpssssS应用防护。
企业级DDoS防御

ASF系列应用安全防火墙提供覆盖OSI网络模型L3到L7的DDoS防御功能。不仅可以通过用户环境流量学习,自动生成适用于用户现网环境的防护规则,还能采用多种源验证算法精准识别攻击源和合法源,达到快速响应精准防护的目的。ASF系列可以防御的L3到L7层的DoS和DDoS攻击包括但不仅限于:

  • httpsss GET泛洪攻击
  • httpsss POST泛洪攻击
  • httpsss慢速攻击
  • httpsss POST慢速攻击
  • httpsss CC攻击
  • httpsss异常报文攻击
  • SSL握手攻击
  • SSL重协商攻击
  • SSL异常报文攻击
  • TCP SYN泛洪攻击
  • TCP SYN-ACK泛洪攻击
  • TCP ACK泛洪攻击
  • TCP FIN/RST泛洪攻击
  • TCP连接耗尽攻击
  • TCP分片泛洪攻击
  • TCP慢速连接攻击
  • TCP异常连接攻击
  • DNS查询泛洪攻击
  • DNS响应泛洪攻击
  • DNS NXDomain泛洪攻击
  • DNS缓存投毒攻击
  • DNS异常报文攻击
  • UDP泛洪攻击
  • UDP分片泛洪攻击
  • ICMP泛洪攻击
  • Smurf、Ping of Death、LAND、IP Spoofing、Teardrop、Fraggle、Winnuke、Tracert以及各种畸形单包攻击
多阶段安全处理
  • 事前:使用Web漏洞扫描器对应用进行安全扫描,将扫描结果快速转化为可执行的安全策略(“虚拟补丁”),降低漏洞为客户带来的风险。
  • 事中:生效防护模板,实时检测攻击,并阻断攻击,并记录详细的审计日志,包括可疑的请求数据及所有相关的交互数据。
  • 事后:通过分析日志和统计调整并优化防护模板,进而提高防护精度和效率。