一些问题经常困扰用户:在产品功能方面，各厂家的描述非常相似，一些“后起之秀”与知名品牌非常相似。面对这种情况，如何识别?对于描述非常相似的产品，即使是相同的功能，在具体实现、可用性和易用性上也存在明显的个体差异。
一、网络层的访问控制
所有防火墙都必须具有此功能，否则不能称为防火墙。当然，大多数路由器也可以通过自己的acl来实现这个功能
1. 规则编辑
网络层的访问控制主要体现在防火墙的规则编辑上。我们必须调查的访问控制网络层是否可以通过规则,表达了访问控制的粒度是否足够好,同样的规则提供了控制是否意味着在不同的时间段,是否规则配置提供了一个友好的界面,以及是否可以很容易地反映网络的安全管理都将?
2. IP / MAC地址绑定
它也是IP / MAC地址绑定功能。有一些细节需要检查，如防火墙是否可以实现IP地址和MAC地址的自动收集，对于违反IP / MAC地址绑定规则的访问是否提供相应的报警机制。由于这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动收集，网络管理可能会被迫采取其他手段来获取它们，管理用户的IP和MAC地址将是一项非常繁琐的工作
3.Nat(网络地址转换)
路由器的功能逐渐演变为防火墙的标准功能之一。但对于这一功能，各厂家之间存在很大差异。很多厂商在实现NAT功能时都存在很大的问题，配置和使用都很困难，给网络管理员带来很大的麻烦。我们必须学习NAT的工作原理，提高我们的网络知识水平。通过分析和比较，我们可以找到一种在NAT配置中容易使用的防火墙
二。应用层的访问控制
这一功能是每个防火墙厂商的实力竞争点，也是最辉煌的地方。因为很多基于自由操作系统的防火墙可以有状态监控模块(因为Linux、FreeBSD等内核模块已经支持状态监控)，但是应用层的控制无法实现“抓取主义”，这需要真正的编程
对于应用层的控制，在选择防火墙时可以考察以下几点。
1. 提供HTTP协议的内容过滤?
目前，企业网络环境中的两大主要应用是www访问和电子邮件。WWW的访问是否能够被细粒度的控制，反映了防火墙的技术强度。
2. 提供SMTP协议的内容过滤?
电子邮件攻击越来越多:电子邮件炸弹、电子邮件病毒、机密信息泄露等。是否提供基于SMTP协议的内容过滤以及过滤的粒度成为用户关注的焦点。
3.你提供FTP协议的内容过滤吗?
在检查这个函数时，我们必须小心。很多厂商的防火墙都宣称他们有FTP内容过滤功能，但是仔细比较，我们可以发现他们大多只实现了FTP协议中两个命令的控制:put和get。一个好的防火墙应该能够控制所有其他的FTP命令，包括CD, LS等，并提供基于命令级控制的对目录和文件的访问控制。所有过滤器都支持通配符。
三。管理和认证
这是防火墙的一个非常重要的功能。目前，防火墙管理分为基于web界面的Wui管理模式、基于GUI的GUI管理模式和基于命令行的cli管理模式。
在各种管理方法中，基于命令行的CLI是最不适合防火墙的。
Wui和GUI各有利弊。
Wui的管理模式简单，没有专门的管理软件，只要有浏览器就可以了;同时，Wui的管理界面非常适合远程管理，只要在防火墙上配置一个可到达的IP，中国分公司的防火墙就可以在美国进行管理。
而Wui形式的防火墙也有其不足之处:首先，web界面不适合复杂动态的页面显示，而一般的Wui界面难以显示丰富的统计图表，所以对于用户来说更严格。