在考虑应用层防火墙时，企业应该注意些什么？本文总结了四个因素与大家分享。

　　首先，它真的是一个应用层防火墙还是一种深度包检测器？区别二者很重要。为了与PCI保持一致，它必须要是一个真正的应用层防火墙，而不是一个冒名顶替者。

　　一个真正的应用层防火墙能检测来自应用程序的恶意代码，如SQL注入或者跨站脚本攻击（XSS）等。当然，这是需要深度包检测的，但深度包检测仅查找流量中的恶意软件和间谍软件之类的攻击，而无法检测到通过应用程序发送的恶意代码。

　　传统的网络防火墙只是检测包的标题，而深度包检测则可以检测包的内部及其内容。虽然这绝对可以增强防火墙的能力，但却不能用来防止攻击，它仍然存在一定的局限性。

　　另一种常见的误解是将应用层防火墙与Web安全网关，内容过滤产品混为一谈。不要因为安装了一个应用层防火墙，就把Web安全网关产品关闭了。它们是不同的产品！内容过滤产品可以阻止一些不合适的网站，或者基于Web的电子邮件，因为这些都可能包含恶意软件。

　　尽管Web安全网关、内容过滤产品和应用层防火墙已经开始慢慢融合为统一的工具了，这个发展是自然而然的，因为许多威胁也已经结合起来了需要多层防御。例如，内容过滤器可能会也可能不会阻止恶意站点，但应用层防火墙会阻止它所携带的恶意代码。

　　第二，应用层防火墙是否允许通过访问控制的精细保护？访问控制是流程稽核的一大部分。不仅仅是PCI，SOX和HIPAA都要求全部核查哪些人访问了企业系统，以及他们都访问了什么。应用层防火墙可以扮演监测访问的角色。

　　应用层防火墙的第二个特征是其与身份和访问管理系统的结合能力。它可以使防火墙通过调整来允许员工访问特定的Web应用程序，但不允许公司其他任何人访问。一些员工可能需要访问基于Web的电子邮件或WebEx，来进行工作。如果防火墙与公司的诸如Active Directory或者LDAP之类的目录服务结合起来的话，这是可以调整的。可以将访问应用程序添加到员工的配置里。

　　应用层防火墙本身，与其相对的网络防火墙一样，也应该有角色访问，仅允许授权的管理员访问，并进行维护和更新。

　　第三个关键的因素是其与公司网络的兼容性。应用层防火墙可能是另一种会拖延网络的设备。如果配置不合理，或与公司构架不兼容，它就会导致运行问题。

　　一般说来，应用层防火墙与网络防火墙同时运行，通常是在网络内部的网络防火墙之后。输入流量首先是通过网络防火墙，然后再通过应用层防火墙。在考虑完全安装一个产品之前，要经常核查防火墙的吞吐量，并且在你的运行环境中对其进行彻底的负载测试。在配置产品之前，任何速度变慢、瓶颈、或者性能问题都应当解决。

　　最后，就像网络防火墙一样，应用层防火墙应当有能力将流量记入日志。除了是一种安全最佳方式以外，追踪事件也很必要，在一些情况下，法规遵从可能需要这个功能。记录日志是否有能力追踪事件并对不合适的访问出具报告？PCI在网络监测方面的要求是非常严格的。这是应用层防火墙功能的核心部分。