導讀：阿喀琉斯是荷馬史詩《伊利亞特》中的英雄，是海洋女神忒提斯與國王佩琉斯的兒子。在阿喀琉斯出生后，他被母親握住腳踵倒浸在冥河水中，除了未沾到冥河水的腳踵外，全身刀槍不入。在特洛伊戰爭中，阿喀琉斯殺死特洛伊主將赫克托爾，使希臘軍轉敗為勝，但卻被暗箭射中腳踵而死。

這個故事告訴我們，任何一個強者都有弱點！

我們的安全防護體系也同樣如此，在搭建之初很可能因為當時的安全威脅特性而留下致命的“缺陷”。那么，安全的“阿克琉斯之踵”在哪里？怎樣才能削弱由此帶來的危險？

正文：

經過幾十年的演變，互聯網早已從一個基于學術和軍事的專用網絡演變為全球重要的信息基礎設施，滲透到各個社會領域并產生巨大的影響。但是伴隨的是網絡威脅也安全威脅日益高級和復雜，傳統的安全產品“老三樣”在應對不斷變化的混合型安全威脅，處理豐富的互聯網應用時，已經顯得力不從心。

這是一個應用程序越來越豐富的時代。很多BT下載可以隱藏在IPTV協議里面。無論是游戲、視頻對話還是下載，都需要做出判斷之后再做進一步管理。黑客之所以能夠攻擊用戶，都是利用了防火墻開放的端口，躲過防火墻的監測，直接針對目標應用程序。他們想出復雜的攻擊方法，能夠繞過傳統防火墻。以前的防火墻采用的方式更多是阻斷，就像是一座墻，有墻里墻外之分。基于應用層的攻擊無疑是翻“墻”而過。據統計，目前70%的攻擊是發生在應用層，而不是網絡層。

為解決傳統防火墻的不足以及Gartner在其2009年的報告中使用“下一代防火墻”一詞來表述防火墻為了應對商業處理以及針對公司系統的攻擊而進行的演化。以梭子魚等為代表的安全廠商陸續在國內發布下一代防火墻產品來解決應用層的問題。

下一代防火墻不是簡單地根據模式而是按照整體行為來判斷是否要進行阻斷。例如，如果想控制流媒體不要占用太多流量，在進行識別之后再確定是進行阻斷還是監測帶寬，而后管理員可以根據公司的情況進行配置。然而，在傳統方式下，這種情況是無法識別的。大多數公司都有多條鏈路。所以，當第一條鏈路出問題的時候就會自動切換到另一條鏈路。當然，下一代防火墻支持無線鏈路，通過無線3G也可以進入。

梭子魚下一代防火墻將WEB和郵件安全網關、入侵檢測、應用安全防護以及流量管理等智能融合于一體，便于企業統一實施管理，不管信息管理人員身處何地，在家中、分支機構還是區域業務總部或是數據中心都可隨時遠程進行管理工作。

基于應用層的攻擊，web安全無疑是重中之重。由于黑客針對Web應用的攻擊手段和技術日趨高明、隱蔽，致使大多Web應用處在高風險環境下開展。網站遭受攻擊將直接沖破企業應用的安全底線，損害企業的社會形象，導致客戶流失。

雖說IDS，IPS通過使用深包檢測的技術檢查網絡數據中的應用層流量，和攻擊特征庫進行匹配，從而識別出已知的網絡攻擊，達到對web攻擊的防護。但是對于未知攻擊，和將來才會出現的攻擊，以及通過靈活編碼和報文分割來實現的web攻擊，IDS和IPS同樣不能有效的防護。

此時，WEB應用防火墻便應運而生，和傳統網絡防火墻的低層處理機制以及與IPS對于HTTP、HTTPS和FTP流量的簡單操作相比，梭子魚WEB應用防火墻則對HTTP流量進行代理，并全面掃描7層數據，確保攻擊在到達Web服務器之前就將其阻斷。許多Web應用由于斷斷續續的代碼加固及安全維護，致使這些Web應用通常存在嚴重的安全漏洞及隱患。 火墻能夠阻斷所有常見的Web攻擊。作為一個反向代理，在阻斷攻擊的同時，能夠對外發的HTTP響應進行全面的監控，確保諸如信用卡卡號、社保卡卡號等敏感信息的泄露。結合動態學習功能，梭子魚應用防火墻能夠學習Web服務器的內在結構并生成策略，確保網站的高安全性。