要解決上述問題，不妨分析一下三種應用環境：小型辦公室、需求一般的大中型辦公室，以及需求復雜的大型辦公室。

    小型辦公室。

    小型辦公室要管理的用戶和機器顯然比較少。它們通常不大容易成為攻擊目標。而且只需要訪問極少量的因特網服務：電子郵件、Web以及有時需要的流媒體。在這種情形下，幾乎任何防火墻都能夠勝任。因為一般說來，辦公室規模越小，用戶數就越少，面臨的風險也就越低。

    因此，就小型辦公室而言，簡單的數據包過濾防火墻就足夠了，譬如許多DSL或線纜路由器隨機自帶的那些防火墻。其中包括D-Link、3Com、Netgear和Linksys等公司出品的寬帶路由器。另外，WatchGuard的Firebox SOHO、Symantec的Firewall 100、Global科技公司的GNAT、NetScreen以及SonicWall SOHO等防火墻也完全適用于這種環境。Check Point和Cisco分別提供小型辦公室版本的FireWall-1和PIX，不過價格要貴一點。

    需求一般的大中型辦公室。

    “一般”是指基本或標準的因特網服務。當然，“一般”的定義會隨著時間而變化，不過就目前實際應用而言，它包括下列服務：Web、電子郵件、流式媒體以及少量的文件傳輸和終端訪問。

    幾乎任何功能并不局限于簡單的靜態過濾防火墻都能滿足這種需求。應用代理防火墻也能勝任這項任務，不過現在純粹的基于網關的應用防火墻寥寥無幾。許多主要品牌的防火墻都是混合型，如CyberGuard、Firebox、PIX、NetScreen、Sidewinder、Raptor和FireWall-1，在有些情況下，允許用戶選擇代理、狀態檢測還是動態過濾。如果配置成讓盡可能多的服務使用安全代理，上述任何一款防火墻都很合適。電子郵件應當始終使用代理，防火墻應當只允許電子郵件進出指定的電子郵件服務器。從內部到因特網的所有Web訪問應該實行代理。如果常用服務沒有代理，使用動態即狀態過濾也不失為好辦法。

    復雜的大型環境。

    當然，擁有諸多用戶和諸多有問題的復雜服務的大企業更具挑戰性。“有問題的”服務是指貌似簡單但實際上需要防火墻開放多個端口的服務，譬如VoIP和NetMeeting。這兩種服務都需要為25種以上的不同服務開放端口，所以就應該使用應用網關防火墻，或者僅限于嚴格控制的環境（譬如，從內部網絡、某一組IP地址啟動服務、只在特定時間段進行）。此外，如果在復雜的大型環境安裝防火墻，應該使用支持集中式防火墻管理和配置功能的防火墻，譬如PIX、CyberGuard、Firebox、FireWall-1、NetScreen和Sidewinder G2。

    記住這些是指導原則，文中舉例提到的防火墻也只是例子而已。如果配置得當，每個類型的任何一款防火墻以及沒有提到的其它防火墻都能夠勝任。