有一些問題常令用戶困惑:在產品的功能上，各個廠商的描述十分雷同，一些“后起之秀”與知名品牌極其相似。面對這種情況，該如何鑒別?描述得十分類似的產品，即使是同一個功能，在具體實現上、在可用性和易用性上，個體差異也十分明顯。

一、網絡層的訪問控制

所有防火墻都必須具備此項功能，否則就不能稱其為防火墻。當然，大多數的路由器也可以通過自身的ACL來實現此功能。

1.規則編輯

對網絡層的訪問控制主要表現在防火墻的規則編輯上，我們一定要考察:對網絡層的訪問控制是否可以通過規則表現出來?訪問控制的粒度是否足夠細?同樣一條規則，是否提供了不同時間段的控制手段?規則配置是否提供了友善的界面?是否可以很容易地體現網管的安全意志?

2.IP/MAC地址綁定

同樣是IP/MAC地址綁定功能，有一些細節必須考察，如防火墻能否實現IP地址和MAC地址的自動搜集?對違反了IP/MAC地址綁定規則的訪問是否提供相應的報警機制?因為這些功能非常實用，如果防火墻不能提供IP地址和MAC地址的自動搜集，網管可能被迫采取其他的手段獲得所管轄用戶的IP與MAC地址，這將是一件非常乏味的工作。

3、NAT(網絡地址轉換)

這一原本路由器具備的功能已逐漸演變成防火墻的標準功能之一。但對此一項功能，各廠家實現的差異非常大，許多廠家實現NAT功能存在很大的問題:難于配置和使用，這將會給網管員帶來巨大的麻煩。我們必須學習NAT的工作原理，提高自身的網絡知識水平，通過分析比較，找到一種在NAT配置和使用上簡單處理的防火墻。

二、應用層的訪問控制

這一功能是各個防火墻廠商的實力比拼點，也是最出彩的地方。因為很多基于免費操作系統實現的防火墻雖然可以具備狀態監測模塊(因為Linux、FreeBSD等的內核模塊已經支持狀態監測)，但是對應用層的控制卻無法實現“拿來主義”，需要實實在在的編程。

對應用層的控制上，在選擇防火墻時可以考察以下幾點。

1.是否提供HTTP協議的內容過濾?

目前企業網絡環境中，最主要的兩種應用是WWW訪問和收發電子郵件。能否對WWW訪問進行細粒度的控制反映了一個防火墻的技術實力。

2.是否提供SMTP協議的內容過濾?

對電子郵件的攻擊越來越多:郵件炸彈、郵件病毒、泄漏機密信息等等，能否提供基于SMTP協議的內容過濾以及過濾的粒度粗細成了用戶關注的焦點。

3. 是否提供FTP協議的內容過濾?

在考察這一功能時一定要細心加小心，很多廠家的防火墻都宣傳說具備FTP的內容過濾，但細心對比就會發現，其中絕大多數僅實現了FTP協議中兩個命令的控制:PUT和GET。好的防火墻應該可以對FTP其他所有的命令進行控制，包括CD、LS等，要提供基于命令級控制，實現對目錄和文件的訪問控制，全部過濾均支持通配符。