隨著信息技術(shù)的飛速發(fā)展和廣泛應(yīng)用，網(wǎng)絡(luò)已經(jīng)滲透到社會的各個領(lǐng)域，而帶來的網(wǎng)絡(luò)安全風(fēng)險也與日俱增?，F(xiàn)如今網(wǎng)絡(luò)病毒肆虐，黑客攻擊頻繁，企業(yè)一旦遭到網(wǎng)絡(luò)攻擊，影響后果將十分嚴(yán)重。“索尼影業(yè)被黑事件直接導(dǎo)致該公司虧損逾1億美元”，“國內(nèi)某網(wǎng)游公司遭到網(wǎng)絡(luò)攻擊日損失高達(dá)300萬元”，“杭州某IT公司被黑客攻擊損失超200萬元”等。

最近的“永恒之藍(lán)”病毒正是黑客工具加上勒索病毒，傳播的范圍才會如此之廣。影響遍及全球100多個國家，包括英國醫(yī)療系統(tǒng)、快遞公司FedEx、俄羅斯電信公司Megafon都成為受害者，我國的校園網(wǎng)和多家能源企業(yè)、政府機構(gòu)也中招，被勒索支付高額贖金才能解密恢復(fù)文件，對重要數(shù)據(jù)造成嚴(yán)重?fù)p失。

   由此可見傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備，如傳統(tǒng)防火墻UTM均已遠(yuǎn)遠(yuǎn)不能滿足用戶對自身網(wǎng)絡(luò)的安全防護訴求。具體原因如下：

一、基于端口的訪問控制已失效 

   傳統(tǒng)防火墻只能對網(wǎng)絡(luò)流量進行基于端口的協(xié)議識別。而下一代網(wǎng)絡(luò)中的大量應(yīng)用可以直接復(fù)用同一標(biāo)準(zhǔn)協(xié)議的知名端口（如 80 端口已不再專屬 HTTP，可被 P2P 使用）進行傳輸，或者直接承載在標(biāo)準(zhǔn)協(xié)議中（如 Web 視頻直接承載在 HTTP 協(xié)議中）。因此，傳統(tǒng)防火墻僅基于端口的控制方式已無法實現(xiàn)精確管控，比如，允許訪問 80 端口的策略很可能會讓不期望的非法流量（如 P2P）通過，甚至讓黑客程序借此漏洞發(fā)動網(wǎng)絡(luò)攻擊，若完全禁止 80 端口則會殃及 Web 應(yīng)用，導(dǎo)致正常的網(wǎng)頁訪問無法進行。 

二、基于IP地址的訪問控制已不可靠

   傳統(tǒng)防火墻通過 IP 地址對各安全區(qū)域進行訪問控制，同時對威脅和應(yīng)用來源進行跟蹤審計。然而，在多網(wǎng)多終端接入的環(huán)境下，IP 地址分配具有極強的隨機性和不唯一性，IP 地址本身對用戶身份信息的傳遞已經(jīng)越來越不具有代表性。進而，傳統(tǒng)的通過 IP 地址來進行用戶訪問控制已不再完全有效。而對網(wǎng)絡(luò)訪問者真正身份的全面有效、深度廣泛的鑒定識別，才是適應(yīng)社會和網(wǎng)絡(luò)發(fā)展的最有效手段

三、對Web 攻擊防護效果不佳

   應(yīng)用安全防護體系不完善，只能針對操作系統(tǒng)或者應(yīng)用軟件的底層漏洞進行防護，缺乏針對 Web 攻擊威脅的防御能力，對Web 攻擊防護效果不佳。缺乏攻擊事后防護機制，不具備數(shù)據(jù)的雙向內(nèi)容檢測能力，對未知攻擊產(chǎn)生的后果無能為力，如入侵防御設(shè)備無法應(yīng)對來自于 web 網(wǎng)頁上的 SQL，XSS 漏洞，無法防御來自內(nèi)網(wǎng)的敏感信息泄露或者敏感文件過濾等等。

四、網(wǎng)絡(luò)應(yīng)用可見性差，存在法律風(fēng)險

一份來自于 IDC 的權(quán)威數(shù)據(jù)顯示：80%以上的 IT 管理人員無法準(zhǔn)確了解自己的網(wǎng)絡(luò)。對網(wǎng)絡(luò)管理來說，自己的網(wǎng)絡(luò)就像一個黑盒子，里面都跑了些什么應(yīng)用以及網(wǎng)絡(luò)的狀況根本不清楚，而管理員無法知道異常流量的類型、來源、具體流向、流量大小、持續(xù)的時間等，也無法有效規(guī)劃網(wǎng)絡(luò)資源的使用，導(dǎo)致網(wǎng)絡(luò)管理處于無序狀態(tài)。

在企業(yè)的網(wǎng)絡(luò)安全建設(shè)中，防火墻是重要的角色之一，如果企業(yè)想全面提高自身的網(wǎng)絡(luò)安全防護能力，第二代防火墻設(shè)備在網(wǎng)絡(luò)安全中的作用必不可少，這樣才能把企業(yè)的安全風(fēng)險降到最低，保護企業(yè)自身業(yè)務(wù)的安全與穩(wěn)定運行。

網(wǎng)域ACF第二代防火墻不但可以提供基礎(chǔ)網(wǎng)絡(luò)安全功能，如狀態(tài)監(jiān)測、VPN、抗DDos、NAT等；還實現(xiàn)了統(tǒng)一的應(yīng)用安全防護，可以針對一個入侵行為中的各種技術(shù)手段進行統(tǒng)一的檢測和防護，如應(yīng)用掃描、漏洞利用、WEB入侵、非法訪問、蠕蟲病毒、帶寬濫用、惡意代碼等?？梢詾槠髽I(yè)用戶的數(shù)據(jù)中心、廣域網(wǎng)邊界、互聯(lián)網(wǎng)邊界等場景提供更加精細(xì)、更加全面、更高性能的應(yīng)用內(nèi)容防護方案。