应用下一代防火墙（NGFW）的一个优点是在为特定的应用程序元素设定和管理策略时，可以提高应用意识和粒度。

相比之下，老一代防火墙依赖于特定规则集的端口和协议进行工作。例如，如果创建的防火墙规则是通过端口20和21来阻止传入的数据包时，那么用户就不能使用任何其它文件传输协议，但是这对于使用文件传输协议的IT部门来说太不适用了。这样，就有必要为使用FTP协议的用户建立另一个规则集，还有一些附加的特例。于是一个简单的问题就变成了一系列复杂麻烦的规则。

图1 大量的应用程序数据库可以帮助管理员来确定特定软件的相对风险

这时，粒度应用程序控制就派上用场了。新一代防火墙产品有广泛的应用程序数据库，网络管理员可以利用这些数据库来对特定行为建模，精心制定细粒度的访问策略。这些应用程序数据库到底是有多么广泛呢？可以看一下Palo Alto Network’s Applipedia(图1)。在图1中，你可以看到特定应用程序的相对风险，它们可以躲避的典型安全检测产品还有它们使用的技术。

思科(Cisco)的SenderBase和迈克菲(McAfee)的TrustedSource有着相似的数据库，都可以免费用于浏览和教育目的，而且都作为他们下一代应用感知引擎的基础。

我们可以回顾一下思科ASA防火墙线是如何将应用感知付诸实践。

第一步是真正设定好要去一个应用感知策略。就像我们想要阻止某些特定的脸谱网(Facebook)应用程序功能，如发布信息和玩游戏，但是仍然允许用户浏览他们的涂鸦墙。

图2 为Facebook创建一个应用感知策略

我们从图2屏幕所显示的内容开始创建一个应用感知策略。在应用程序/服务箱中，我们首先在Facebook上输入文字，那么你可以看到可供选择的不同的预置Facebook策略模版，包括特定内容如运动或事件。

图3 简单的滑块控制可以实现Facebook策略的多方面功能

这时，我们应该要专注于已创建的策略。接下来请看图3，图3的内容展示了你可以使用简单的滑块控制来实现多种策略，例如允许附件上传或下载，阻止任何人的Facebook账号上传照片。

用新一代防火墙来设定这些应用程序导向策略比用老一代端口-协议方法要简单得多。使用老一代防火墙，在你确定可以阻止或允许特定行为之前，你需要对规则集进行大量的实验。当今大部分下一代防火墙操作都和已展示的思科ASA相似，都有便于使用的图形界面。

图4 下一代防火墙的控制面板展示整个网络的安全漏洞

图4是下一代防火墙的控制面板，清晰地呈现了一个示例网络已经被发现的各种安全漏洞。

随着特定应用程序策略的诞生，你有责任去明白你所允许或阻止的通过该网络的内容。你也应该将任意策略和你的人力资源部或其它部门协调，来确保你可以始终如一地应用这些策略，并满足你公司的特定标准和实践需求。