华耀ASF系列结合负向WAF和正向WAF模型于一身，不仅能够检测和防范最新的已知安全攻击和漏洞，还能有效地防范“零日”攻击。ASF系列提供精细化的攻击防护控制，支持自动学习和动态防护模板刷新，通过客户端源认证提高攻击识别的精度。 下一代Web应用防火墙 华耀ASF系列应用安全防火墙可以识别大量的Web攻击机制和方式，在攻击事件发生时及时阻断黑客的攻击并记录详尽的攻击和审计日志，在安全事件发生后通过诊断和分析为防范未来攻击和加固服务器安全提供指导。 华耀ASF系列应用安全防火墙采用了正向WAF模型和负向WAF模型相结合的架构，允许同时为Web应用启用正向WAF防护和负向WAF防护。ASF使用负向WAF模型可以通过不断升级Array攻击规则库支持最新攻击的签名规则，从而可以防护最新的已知的Web攻击。ASF正向WAF模型通过学习正向流量的特征，动态刷新防护模板，有效拦截各种复杂的和未知的Web攻击。 华耀ASF系列支持虚拟补丁功能，将第三方Web漏洞扫描（AppScan）扫描结果快速转化为可执行的安全策略（“虚拟补丁”），降低漏洞为客户带来的风险。 灵活的部署方式 ASF系列提供了灵活的部署模式，适合客户各种部署场景。ASF产品可以支持如下部署模式： Bridge透明模式：二层透明接入网络，不需要改变客户网络任何配置，支持Bypass功能。但该模式不支持httpass应用防护； Bridge代理模式：二层透明接入网络，需要修改网络NAT/路由配置或者 DNS解析记录将应用流量指向虚拟服务IP，并确保应用流量物理上经过ASF设备； 路由透明模式：三层接入网络，需要将应用流量的请求和响应分别牵引到ASF的Uplink和Downlink接口； 路由代理模式：三层接入网络，需要修改网络NAT/路由配置或者DNS解 析记录将应用流量指向虚拟服务IP，并修改服务器的路由配置，服务器响应路由到ASF Downlink接口； 旁路TAP模式：ASF设备旁挂在业务流量路径之外，需要在ASF旁挂交换机配置端口镜像策略，将流量拷贝到ASF设备进行检测。该模式只检测攻击，不阻断攻击，不支持 httpsss应用防护。 企业级DDoS防御 ASF系列应用安全防火墙提供覆盖OSI网络模型L3到L7的DDoS防御功能。不仅可以通过用户环境流量学习，自动生成适用于用户现网环境的防护规则，还能采用多种源验证算法精准识别攻击源和合法源，达到快速响应精准防护的目的。 多阶段安全处理 事前：使用Web漏洞扫描器对应用进行安全扫描，将扫描结果快速转化为可执行的安全策略（“虚拟补丁”），降低漏洞为客户带来的风险。 事中：生效防护模板，实时检测攻击，并阻断攻击，并记录详细的审计日志，包括可疑的请求数据及所有相关的交互数据。 事后：通过分析日志和统计调整并优化防护模板，进而提高防护精度和 效率。