网络安全威胁已经越来越逼近应用层。网络和安全管理员必须在通过部署新服务来提高业务生产率与防止服务遭受攻击之间作出艰难的抉择。Cisco ASA 5500 系列自适应安全设备有效地解决了这个问题，因为它能够快速、强韧、安全地部署新应用。

    网络应用是业务基础设施的主要部分。但是，传统的安全解决方案既缺乏应用覆盖广度和检测服务深度，又缺乏网络服务和足够高的性能，因而无法防止这些应用遭受网络攻击。Cisco ASA 5500系列不但能提高应用安全性，还能防止网络应用遭受当今及未来的各种威胁。

    网络安全面临挑战

    互联网的爆炸式增长使很多业务流程都转移到了网络上。网络应用已经形成了这些业务流程的骨干。Web浏览、电子邮件通信和IP电话等应用成为了业务基础设施的核心。消息传送和在位应用（例如即时消息传送）逐渐被视为员工之间以及与合作伙伴和客户交流的重要工具。伴随着高性能网络的部署，网络应用大大提高了企业的生产率。

    随着各机构对网络依赖程度的提高，这些应用的可用性和完整性变成了开展业务的重要环节。但是，实施安全策略来保证高可用性正变得越来越困难。由于新工具经常使用户误用或滥用应用，因此，用户仍然青睐于传统的安全技术。事实上，对等文件共享网络等应用正逐渐将这些工具直接集成到应用本身。“端口跳跃”和隧道等应用行为使应用能够智能扫描和查找防火墙中的开放端口，例如Web浏览端口（端口80），并通过这些端口建立隧道，因此，传统的安全设备几乎不可能实施网络分段和可接受用户策略。缺乏应用使用控制的局面不但能降低员工的生产率，消耗网络资源，还会使各机构面临法规和法律问题。

    另外，越来越多的攻击瞄准了应用层。这些攻击采用的方法是破坏应用的可用性和完整性，进而减弱网络应用对生产率的增强作用。从IP电话到Web应用，各机构对应用层攻击的防护要求从未像现在这么迫切。但是，传统的安全设备几乎不能保护应用层，即几乎无法抵御企业当今及未来面临的各种威胁。

    最后，传统解决方案不能提供现代网络需要的关键网络服务和性能，IP电话等关键业务流量必须高度可用，而且必须在整个网络中提供相当于话音质量的服务。与此同时，安全服务绝对不能影响网络中的正常服务供应。

    这些挑战使安全和网络管理员面临两难抉择：注重应用供应还是应用安全性。因此，市场需要能够解决这个问题的新型解决方案，以便为当今的关键业务应用提供新的安全保护。

    利用Cisco ASA 5500 系列中的应用安全性

    当今的安全威胁需要用新的方法消除。要实现全面的应用安全性，需要提高对整个网络中的应用的敏感性，而不是用一种方法保护网络中的所有应用。每种应用都需要一组通用服务，以及其它应用专用检测服务。这些应用检测服务必须满足当今网络的性能和服务要求。所有要求都必须与清晰、全面的架构密切相连，以便灵活地部署和实施应用安全策略。Cisco ASA 5500 系列自适应安全设备不但能提供新型应用保护方法，还能保护关键业务应用的可用性和完整性。

    Cisco ASA 5500 系列通过自适应识别和防御架构，进一步提高了网络的安全性和策略控制。利用遍及所有主要网络协议的应用安全检测引擎，Cisco ASA 5500 系列允许部署全面的应用安全策略。每种检测引擎都监控应用流，并能够标示和阻止针对特定协议的非法操作。例如，利用Web检测引擎，管理员能够检查流量是否符合 HTTP RFC 及其它标准，以保证通过端口80的流量属于合法Web流量。这种方法有两个优点。首先，检测引擎能够发现并阻止试图通过端口80绕过安全策略的非HTTP应用（对等程序，例如Kazaa，就属于此类）。其次，它能够评估协议语义和非常好的实践，防止瞄准应用层的已知和未知攻击。针对应用处理漏洞发动的坏件攻击可以通过标准符合予以消除。