传统防火墙其功能主要集中在阻止些简单安全威胁和入侵上面而企业级防火墙则添加有统威胁管理(UTM)服务比如防病毒、反间谍软件Software、入侵防护、内容过滤甚至还包括有反垃圾邮件服务以增强安全防护功能 　　穿过防火墙大部分网络流量并不具有安全威胁它们仅仅是般性应用服务和数据这就促进了可以管理和控制应用和数据应用防火墙出现



　　图1

　　应用防火墙

　　它能做什么?

　　个应用防火墙可以提供带宽管理和控制、应用级别访问控制、数据防泄露保护、限制某些具体文件传输等等

　　它如何工作?

　　应用防火墙可以根据用户、应用、时间段或者IP地址进行自定义访问控制这就使得管理员能够据此创建使用政策更好地管理各种各样应用服务



　　图2

    功能的:管理视频流

　　有时候访问些视频网站WebSite比如youtube.com是很令人开心但用户经常会受到些“虐待”阻止该网站WebSite访问可能会些作用但最好做法应该是限制这种视频流网站WebSite带宽

　　创建限制视频流政策

　　*使用深度报文检测DPI(Deep packet inspection,简称DPI)引擎来检测www.youtube.com网站WebSiteHTTP报头中HTTP HOST(HTTP Host=www.youtube.com)

　　*根据该报头使用带宽流量限制措施



　　图3

　　功能的 2:基于组带宽管理

　　在前文中我们讲到可以利用带宽限制某些视频流网站WebSite访问如果公司CEO或者CFO抱怨:每天观看商业新闻视频节目缓冲速度太慢在这种情况下你可以放开带宽限制不过你还有种更好思路方法——基于组带宽管理

　　创建对些执行长官取消视频流限制政策

　　*从你LDAP服务器上导入执行长官组信息并对他们单独使用这种取消限制政策

　　*使用深度报文检测DPI引擎来检测www.youtube.com网站WebSiteHTTP报头中HTTP HOST(HTTP Host=www.youtube.com)

　　*根据该报头使用带宽流量放行措施



    功能的 3:Web邮件和数据保护

　　假设你已经拥有了反垃圾邮件保护措施并且可以检测和有效拦截常见包含有“企业机密”信息邮件但是如果有员工使用Web邮件比如Yahoo或者Gmail给外界发送“企业机密”邮件你又该如何做呢?

　　创建个拦截“企业机密”电子邮件政策

　　*使用深度报文检测DPI引擎来检测邮件内容是否含有企业机密信息(E-mail Body="Company Confidential")

　　*拦截邮件并通知发送者该邮件涉及到“企业机密”




　　图5


    功能的 4:自定义使用应用

　　你老板:想使用IE7作为公司标准浏览器

　　你任务:确保公司所有系统都使用IE7浏览器——不能有其他任何浏览器!

　　你可能采取解决方案:

　　1、每天对每个员工系统都进行物理检查严防其他浏览器

　　2、编写些脚本自动检测每个员工所使用浏览器并且每天都进行检查

　　3、应用防火墙中创建某种政策过滤外来浏览器

　　创建政策

　　*使用深度报文检测DPI引擎在HTTP报头中使用User Agent=MSIE 7.0

　　*允许IE 7.0通过禁止其他浏览器

    功能的