如何鉴别防火墙的实际功能差异有一些问题常令用户困惑：在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。

面对这种情况，该如何鉴别？描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异地十分明显。

一、网络层的访问控制所有防火墙都必须具备此项功能，否则就不能称其为防火墙。

当然，大多数的路由器也可以通过自身的ACL来实现此功能。

1、规则编辑对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察：对网络层的访问控制是否可以通过规则表现出来？访问控制的粒度是否足够细？同样一条规则，是否提供了不同时间段的控制手段？规则配置是否提供了友善的界面？是否可以很容易地体现网管的安全意志？2、IP/MAC地址绑定同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC 地址的自动搜集？对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制？因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。

3、NAT（网络地址转换）这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。

但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题：难于配置和使用，这将会给网管员带来巨大的麻烦。

我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。

二、应用层的访问控制这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。

因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块（因为Linux、FreeBSD等的内核模块已经支持状态监测），但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。

对应用层的控制上，在选择防火墙时可以考察以下几点。

1、是否提供HTTP协议的内容过滤？目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。

能否对WWW 访问进行细粒度的控制反映了一个防火墙的技术实力。

2、是否提供SMTP协议的内容过滤？对电子邮件的攻击越来越多：邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP 协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。

3、是否提供FTP协议的内容过滤？在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制：PUT和GET。

好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。

三、管理和认证这是防火墙非常重要的功能。

目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。

各种管理方式中，基于命令行的CLI方式最不适合防火墙。

WUI和GUI的管理方式各有优缺点。

WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行；同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。

WUI形式的防火墙也有缺点：首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式；另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。

GUI是目前绝大多数防火墙普遍采用的方式。

这种方式的特点是专业，可以提供丰富的管理功能，便于管理员对防火墙进行配置。

但缺点是需要专门的管理端软件，同时在远程和集中管理方面没有WUI管理方式灵活。

四、审计和日志以及存储方式目前绝大多数防火墙都提供了审计和日志功能，区别是审计的粒度粗细不同、日志的存储方式和存储量不同。

很多防火墙的审计和日志功能很弱，这一点在那些以DOM、DOC等电子盘（并且不提供网络数据库支持）为存储介质的防火墙中体现得尤为明显，有些甚至没有区分事件日志和访问日志。

如果需要丰富的审计和日志功能，就需要考察防火墙的存储方式，如果是DOM、DOC等Flash电子盘的存储方式，将可能限制审计和日志的功能效果。

目前绝大多数防火墙审计日志采用硬盘存储的方式，这种方式的优点是可以存储大量的日志（几个G到几十个G），但是在某些极端的情况下，如异常掉电，硬盘受到的损坏往往要比电子盘的损坏严重。

好的防火墙应该提供多种存储方式，便于用户灵活选择和使用。

五、如何区分包过滤和状态监测一些小公司为了推销自己的防火墙产品，往往宣称采用的是状态监测技术; 从表面上看，我们往往容易被迷惑。

这里给出区分这两种技术的小技巧。

1、是否提供实时连接状态查看？状态监测防火墙可以提供查看当前连接状态的功能和界面，并且可以实时断掉当前连接，这个连接应该具有丰富的信息，包括连接双方的IP、端口、连接状态、连接时间等等，而简单包过滤却不具备这项功能。

2、是否具备动态规则库？某些应用协议不仅仅使用一个连接和一个端口，往往通过一系列相关联的连接完成一个应用层的操作。

比如FTP协议，用户命令是通过对21端口的连接传输，而数据则通过另一个临时建立的连接（缺省的源端口是20，在PASSIVE模式下则是临时分配的端口）传输。

对于这样的应用，包过滤防火墙很难简单设定一条安全规则，往往不得不开放所有源端口为20的访问。

状态监测防火墙则可以支持动态规则，通过跟踪应用层会话的过程自动允许合法的连接进入，禁止其他不符合会话状态的连接请求。

对于FTP来说，只需防火墙中设定一条对21端口的访问规则，就可以保证FTP传输的正常，包括PASSIVE方式的数据传输。

这一功能不仅使规则更加简单，同时消除了必须开放所有20端口的危险。

【分享】防火墙的好坏的（专业）标准呵呵-大家可以看看[move]防火墙的好坏的（专业）标准呵呵-大家可以看看[/move]防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线，对通过受控干线的任何通信行为进行安全处理，如控制、审计、报警、反应等，同时也承担着繁重的通信任务。

由于其自身处于网络系统中的敏感位置，自身还要面对各种安全威胁，因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。

■注意一：防火墙自身是否安全防火墙自身的安全性主要体现在自身设计和管理两个方面。

设计的安全性关键在于操作系统，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。

而应用系统的安全是以操作系统的安全为基础的，同时防火墙自身的安全实现也直接影响整体系统的安全性。

防火墙安全指标最终可归结为以下两个问题：1.防火墙是否基于安全（甚至是专用）的操作系统；2.防火墙是否采用专用的硬件平台。

只有基于安全（甚至是专用）的操作系统并采用专用硬件平台的防火墙才可能保证防火墙自身的安全。

■注意二：系统是否稳定就一个成熟的产品来说,系统的稳定性是最基本的要求。

目前，由于种种原因，国内有些防火墙尚未最后定型或经过严格的大量测试就被推向了市场，这样一来其稳定性就可想而知了。

相信没有一个网管人员愿意把自己的网络作为防火墙的测试平台。

防火墙的稳定性情况从厂家的宣传材料中是看不出来的,但可以从以下几个渠道获得：1.国家权威的测评认证机构,如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心。

2.与其它产品相比，是否获得更多的国家权威机构的认证、推荐和入网证明（书）。

3.实际调查，这是最有效的办法,考察这种防火墙是否已经有了使用单位,其用户量也至关重要,特别是用户们对于该防火墙的评价。

如有可能,最好咨询一下那些对稳定性要求较高的重要单位的用户,如政府机关、国家部委、证券或银行系统、军队用户等。

4.自己试用，先在自己的网络上进行一段时间的试用（一个月左右），如果在试用期间时常有宕机现象的话，这种产品就可以完全不用考虑了。

5.厂商开发研制的历史，这也是一个重要指标，通过以往的经验，一般来说，如果没有两年以上的开发经历恐怕难保产品的稳定性。

6.厂商的实力，这一点也应该着重考虑，如资金、技术开发人员、市场销售人员和技术支持人员多少等等。

相信一家注册资金几百万。

人员不过二三十人的公司是不可能保证产品的稳定性的。

■注意三：是否高效高性能是防火墙的一个重要指标，它直接体现了防火墙的可用性，也体现了用户使用防火墙所需付出的安全代价。

如果由于使用防火墙而带来了网络性能较大幅度地下降的话，就意味着安全代价过高，用户是无法接受的。

一般来说，防火墙加载上百条规则，其性能下降不应超过5％（指包过滤防火墙）。

支持多少个连接也可以计算出一个指标，虽然这并不能完全定义或控制。

■注意四：是否可靠可靠性对防火墙类访问控制设备来说尤为重要，其直接影响受控网络的可用性。

从系统设计上，提高可靠性的措施一般是提高本身部件的强健性、增大设计阈值和增加冗余部件，这要求有较高的生产标准和设计冗余度，如使用工业标准、电源热备份、系统热备份等。

■注意五：功能是否灵活对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同用户的各类安全控制需求的控制注意。

控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等，体现着控制注意的高效和质量。

例如对普通用户，只要对IP地址进行过滤即可；如果是内部有不同安全级别的子网，有时则必须允许高级别子网对低级别子网进行单向访问；如果还有移动用户如出差人员的话，还要求能根据用户身份进行过滤。

■注意六：配置是否方便在网络入口和出口处安装新的网络设备是每个网管员的恶梦,因为这意味着必须修改几乎全部现有设备的配置,还得面对由于运行不稳定而遭至的铺天盖地的责难。

其实有时并不是设备有问题,而是网络经过长期运行后，内部情况极端复杂，做任何改动都需要一段整合期。

防火墙有没有比较简洁的安装方法呢？有！那就是支持透明通信的防火墙，它依旧接在网络的入口和出口处,但是在安装时不需要对原网络配置做任何改动，所做的工作只相当于接一个网桥或Hub。

需要时,两端一连线就可以工作；不需要时，将网线恢复原状即可。

目前市场上支持透明方式的防火墙较多,在选购时需要仔细鉴别。

大多数防火墙只能工作于透明方式或网关方式，只有极少数防火墙可以工作于混合模式,即可以同时作为网关和网桥，后一种防火墙在使用时显然具有更大的方便性。

配置方便性的另一个方面是管理的方便性。

网络设备和桌面设备不同，界面的美观不代表方便性（当然这也是很重要的），90%的Cisco路由器就是通过命令行进行管理的。