‍‍

如今许多可以访问Internet的应用程序，防火墙无法为所有这些应用程序创建代理。应用程序现在可以直接通过HTTP建立隧道。我们不能只阻止HTTP，因为那样我们也将阻止所有人通过浏览器访问Web。

现在，防火墙以及Web安全网关已开发出控制这些应用程序的方法。创建应用程序签名是为了能够唯一地识别它们。

一、什么是应用层过滤?有哪些应用层过滤?

1.文件类型过滤：主要针对不同类型(扩展名不同)的文件过滤，USG防火墙可以识别数据包携带的应用层文件类型。其检查过程并非只查询文件的扩展名，而是基于文件内容进行识别，如果发送方将a.exe文件改为a.docx，防火墙根据内容将识别为EXE文件。

2.内容过滤：基于HTTP中发送博客内容、论坛发送帖子内容、SMTP中的发送邮件主题及正文内容、FTP中上传和下载文件的名称，文件共享服务中的文件名称等过滤，可以基于特定的文本过滤，也可以通过正则表达式过滤。

3.URL过滤：主要针对用户访问的互联网页面URL进行过滤，允许或拒绝用户访问某些类型的URL网站资源，以控制用户对互联网资源的使用。

二、为什么需要应用层过滤?

Skype之类的应用程序就是说明为什么应用程序控制至关重要。

员工可以轻松地在其公司系统上安装这类应用。然后，他们可以远程访问公司文档。假如仅阻止对防火墙的入站访问，但由于这些应用程序的工作方式，最终并不会阻止此类访问。

还有其他原因可能导致您想要控制应用程序的原因，例如减少在非生产性应用程序上使用的带宽量或阻止非法下载。

您不必完全阻止应用程序访问Internet，某些供应商可以为它们启用流量整形功能。例如，您可以为流媒体提供一定数量的最大带宽，以便工作人员仍可以浏览YouTube和其他媒体站点，但是带宽受到限制。

包括“下一代防火墙”也能够处理上述问题，并具有监视和控制应用程序的功能。