應用下一代防火墻(NGFW)的一個優點是在為特定的應用程序元素設定和管理策略時，可以提高應用意識和粒度。

相比之下，老一代防火墻依賴于特定規則集的端口和協議進行工作。例如，如果創建的防火墻規則是通過端口20和21來阻止傳入的數據包時，那么用戶就不能使用任何其它文件傳輸協議，但是這對于使用文件傳輸協議的IT部門來說太不適用了。這樣，就有必要為使用FTP協議的用戶建立另一個規則集，還有一些附加的特例。于是一個簡單的問題就變成了一系列復雜麻煩的規則。

圖1 大量的應用程序數據庫可以幫助管理員來確定特定軟件的相對風險

這時，粒度應用程序控制就派上用場了。新一代防火墻產品有廣泛的應用程序數據庫，網絡管理員可以利用這些數據庫來對特定行為建模，精心制定細粒度的訪問策略。這些應用程序數據庫到底是有多么廣泛呢?可以看一下Palo Alto Network’s Applipedia(圖1)。在圖1中，你可以看到特定應用程序的相對風險，它們可以躲避的典型安全檢測產品還有它們使用的技術。

思科(Cisco)的SenderBase和邁克菲(McAfee)的TrustedSource有著相似的數據庫，都可以免費用于瀏覽和教育目的，而且都作為他們下一代應用感知引擎的基礎。

我們可以回顧一下思科ASA防火墻線是如何將應用感知付諸實踐。

第一步是真正設定好要去一個應用感知策略。就像我們想要阻止某些特定的臉譜網(Facebook)應用程序功能，如發布信息和玩游戲，但是仍然允許用戶瀏覽他們的涂鴉墻。

圖2 為Facebook創建一個應用感知策略

我們從圖2屏幕所顯示的內容開始創建一個應用感知策略。在應用程序/服務箱中，我們首先在Facebook上輸入文字，那么你可以看到可供選擇的不同的預置Facebook策略模版，包括特定內容如運動或事件。

圖3 簡單的滑塊控制可以實現Facebook策略的多方面功能

這時，我們應該要專注于已創建的策略。接下來請看圖3，圖3的內容展示了你可以使用簡單的滑塊控制來實現多種策略，例如允許附件上傳或下載，阻止任何人的Facebook賬號上傳照片。

用新一代防火墻來設定這些應用程序導向策略比用老一代端口-協議方法要簡單得多。使用老一代防火墻，在你確定可以阻止或允許特定行為之前，你需要對規則集進行大量的實驗。當今大部分下一代防火墻操作都和已展示的思科ASA相似，都有便于使用的圖形界面。

圖4 下一代防火墻的控制面板展示整個網絡的安全漏洞

圖4是下一代防火墻的控制面板，清晰地呈現了一個示例網絡已經被發現的各種安全漏洞。

隨著特定應用程序策略的誕生，你有責任去明白你所允許或阻止的通過該網絡的內容。你也應該將任意策略和你的人力資源部或其它部門協調，來確保你可以始終如一地應用這些策略，并滿足你公司的特定標準和實踐需求。