“业务全球化”、“世界地理区域扁平化”给企业带来更多商业机遇的同时，也带来了前所未有的压力。比如：企业管理运行成本和复杂性的提高，要为客户提供持续的服务可用性和高质量体验，企业要迎接前所未有的安全性、永续性和制度遵从挑战，要利用新兴技术来推动业务创新、提高效率及响应性。

　　而在安全性挑战中，有统计数字显示，过去的2008年中，安全漏洞的数量比2007年增长了13.5%，总共发现了7,406个全新的安全漏洞。2001-2006年间，安全漏洞平均年增长率是36.5%。安全漏洞数量在2008年达到前所未有的水平。在所有的安全漏洞中，有54.9%是Web应用安全漏洞，2008年披露的Web应用安全漏洞中，有74%到年底还没有补丁。

　　中国在跃升为世界上第一互联网大国的同时，2008年中国的恶意网站数量也首次超过美国，位居世界第一。

　　在企业的IT系统中，传统的防火墙重在抵御简单的威胁和入侵攻击。企业级防火墙增加了统一威胁管理（UTM）服务，如防病毒、防间谍软件、入侵防御、内容过滤，甚至一些防垃圾邮件服务，以增强威胁防御功能。穿越防火墙的大多数流量都不具威胁性，而是些应用和数据。而这就是应用防火墙由来的原因，应用防火墙可管理和控制穿越防火墙的数据和应用。

　　应用防火墙有什么作用?

　　应用防火墙提供了带宽管理和控制、应用层访问控制、数据泄露控制功能、对特定文件和文档传输进行限制及其它功能。

　　应用防火墙的工作原理是什么?

　　应用防火墙可根据用户、应用、进程或IP子网层允许自定义访问控制。这样，管理员可以创建各种应用策略，使应用可供访问并首次真正实现对应用的管理。应用防火墙可以帮助企业做十件事。

　　第一件事：管理流视频

　　访问流视频网站如youtube.com 有时对我们非常有用，但通常会被滥用。拦截网站本身可能有效，但最好是限制分配给流视频网站的带宽。

　　创建策略来限制流视频：

　　■ 使用深度包检测（DPI）引擎在HTTP报头中搜索HTTP网址=www.youtube.com。
　　■ 将带宽限制应用于带此报头的流量。

　　第二件事：分组带宽管理

　　在第一件事中，我们对youtube.com等流视频网站运用了带宽限制。如今，公司首席执行官和首席财务官总在抱怨每天访问的“商业新闻视频”速度太慢。您可以通过放松对每个人的带宽限制来改善这种情况，但还有一个更好的方法，那就是进行分组带宽管理。

　　创建不限制管理层浏览流视频的策略，方法如下：

　　■ 将此策略应用于LDAP 服务器导入的“管理”组
　　■ 使用深度包检测（DPI）引擎在HTTP报头中搜索HTTP网址= www.youtube.com
　　■ 确保包含此报头的流量具有足够的带宽

　　第三件事：邮件和数据丢失

　　假设公司现有的防垃圾邮件防护系统可以检测和阻止包含“公司机密”信息的外发电子邮件。但是，如果员工使用Yahoo或Gmail邮件服务来发送“公司机密”信息呢？

　　创建策略来拦截“公司机密”电子邮件：

　　■ 使用深度包检测（DPI）引擎搜索电子邮件内容=“公司机密”
　　■ 阻止邮件发送，并通知发件人此邮件为“公司机密”

　　第四件事：应用使用强制

　　您的老板：希望使用Internet Explorer（IE）7.0版本作为标准浏览器。

　　您的任务：确保公司所有系统都使用IE 7.0 版本，而不使用其它任何版本！

　　您可能采用的解决方案如下：

　　1. 每天检查每个人的系统，查找“外来”浏览器。

　　2. 安装一种脚本来检查每个人的系统，以查找出“外来”浏览器，同时确保脚本每天都会检查每个人的系统。

　　3. 在应用防火墙中设置一种策略，从此便不再担心。

　　创建“我找到了更好的解决方案”策略：

　　■ 使用深度包检测（DPI）引擎在HTTP报头中搜索用户代理=MSIE 7.0
　　■ 允许 IE 7.0 流量，阻止其它浏览器

　　第五件事：拒绝FTP上传

　　您可以建立一个FTP 网站，以便与业务合作伙伴交换大型文件，同时，您希望确保合作伙伴方面只有项目经理可以上传文件，其他任何人都不允许这样做。

　　创建策略来允许FTP上传，但上传只限于少数人

　　■ 使用深度包检测（DPI）引擎搜索FTP命令=放置
　　■ 使用DPI引擎搜索验证的用户名= “pm_partner”
　　■ 如果两者均符合，就允许放置