有一些问题常令用户困惑：在防火墙产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别?描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异也十分明显。 　　一、网络层的访问控制
　　所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。
　　1.规则编辑
　　对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察:对网络层的访问控制是否可以通过规则表现出来?访问控制的粒度是否足够细?同样一条规则，是否提供了不同时间段的控制手段?规则配置是否提供了友善的界面?是否可以很容易地体现网管的安全意志?
　　2.IP/MAC地址绑定
　　同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集?对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制?因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。
　　3、NAT(网络地址转换)
　　这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题:难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。
　　二、应用层的访问控制
　　这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块(因为Linux、FreeBSD等的内核模块已经支持状态监测)，但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。
　　对应用层的控制上，在选择防火墙时可以考察以下几点。
　　1.是否提供HTTP协议的内容过滤?
　　目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。
　　2.是否提供SMTP协议的内容过滤?
　　对电子邮件的攻击越来越多:邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。
　　3. 是否提供FTP协议的内容过滤?
　　在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制:PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。
　　三、管理和认证
　　这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。
　　各种管理方式中，基于命令行的CLI方式最不适合防火墙。
　　WUI和GUI的管理方式各有优缺点。
　　WUI的管理方式简单，不用专门的管理软件，只要配备浏览器就行;同时，WUI的管理界面非常适合远程管理，只要防火墙配置一个可达的IP，可实现在美国管理位于中国分公司的防火墙。
　　WUI形式的防火墙也有缺点:首先，WEB界面非常不适合进行复杂、动态的页面显示，一般的WUI界面很难显示丰富的统计图表，所以对于审计、统计功能要求比较苛刻的用户，尽量不要选择WUI方式;另外，它将导致防火墙管理安全威胁增大，如果用户在家里通过浏览器管理位于公司的防火墙，信任关系仅仅依赖于一个简单的用户名和口令，黑客很容易猜测到口令，这增加了安全威胁。
当使用另外一台主机的DNS域名称与其沟通时，主机必须想办法通过此DNS域名称找出　该主机的IF地址，才可以与其沟通。这种由DNS域名称来找出IP地址的操作称职“主机　名称解析”，而目前最广泛用于INTERNET的“主机名称解析”方法是“DNS域名系统”
□ DNS概述
  一、域名称空间：
整个DNS的结构是一个如树状的阶梯式结构，该树状结构称为域名空间。
二、区域：
所谓的“区域”，就是指域名称空间树状结构的一部分。它让用户能够将域名称分区为较小的区段，便于管理。在这个区域内的主机数据，必须存储在DNS服务器内，而用来存储这些数据的文件就称为区域文件。
三、转发器：当DNS服务器收到DNS客户端询问IP地址的要求后，它会尝试由其数据库　寻找所管辖的区域内是否有所需的数据。如果该DNS服务器内并无此数据，则DNS需转向其他的DNS服务器询问。
四、Caching_only server
所谓Caching_only server就是指一台并不负责管理域名空间内任何区域的DNS服务器　，也就是说，在这台DNS服务器并没有创建任何区域，但是DNS客户端还可以向这台　　DNS服务器查询，这台DNS服务器会负责帮DNS客户端向其他的DNS服务器查询，将查到的数据存储一份到高速缓存内，响应DNS客户端的查询要求。
五、查询的模式：
当DNS客户端向DNS服务器查询地址后，或DNS服务器向另外一台DNS服务器查询IP地址　时，它总共有三种查询模式。
1、递归查询：也就是DNS客户端送出查询要求后，如果DNS服务器内没有需要的数据，　则DNS服务器会代替客户端向其他的DNS服务顺查询。
2、循环查询：一般DNS服务器与DNS服务器之间的查询属于这种查询方式。当第一台　　DNS服务器在向第2台DNS服务器提出查询要求后，如果第2台DNS服务器内没有所需要的　数据，则它会提供第3台DNS服务器的IP地址给第1台
3、反向查询：可以让DNS客户端利用IP地址查询其主机名称。
六：高速缓存：
当DNS服务顺器向其他的DNS服务器询问到DNS客户端所需要的数据后，它除了将此数据　提供给DNS客户端外，还会将此数据高速缓存一份到该DNS服务器内，以便下次有DNS客　户端要查询相同的数据时，可以从高速缓存内快速取得所需的数据。但是，这份数据　只会在高速缓存保留一段时间，这段时间就称为TTL.
七、区域文件：
每个区域的数据都是存储在DNS服务顺的区域文件内，而这些数据有着各种不同数据类　型，
这些数据称为资源记录。
八、缓存文件
缓存文件内存储着根域内的DNS服务器的名称与IP地址对照数据，每台DNS服务器内的缓存文件应该是一致的，这些数据是公司内的DNS服务器要向外界DNS服务器查询所必须要用到的，除非公司内部的DNS服务器指定了“转发器”
九、反向查询区域文件
反向查询可以让DNS客户端利用IP地址查询主机名称。
□ 配置DNS服务器
  从win2000独立服务器升级到域控制顺时，由于WIN2000域内必须要有DNS服务顺，因此　在升级过程中，如果找不到DNS服务器，则它会要求在此台域控制器内安装DNS服务器　如果没有DNS服务器，则必须用手工的方式来安装:
安装方法：
1、开始——设置——控制面板——添加/删除程序——添加/删除WIDNOWS组件
2、选中“网络服务”——详细资料——域名服务系统（DNS）
二、DNS客户端的设置
以WIN2000的计算机设置来说，可以开始——设置——网络和拨号连接——用鼠标右键　“本地连接”——属性——internet协议（TCP/IP）——属性——使用下面的DNS服务　器地址,输入DNS服务器的IP地址。
□ 创建主要区域
  WIN2000的DNS服务器内总共支持三种区域类型：
1、标准主要区域：主要区域就是用来存储域内所有主机数据的正本。
2、标准辅助区域：用来存储此区域内所有主要数据的副本。
3、active Directory集成的区域：将此区域的主要数据存储在域控制器的活动目录内　，它份数据会自动被复制到其他的域控制器内。
一、建立正向标准主要区域
1、开始——程序——管理工具——DNS。
2、选取DNS服务器——右键“正向搜索区域”——新建区域——标准主要区域。
3、区域名，如abc.com
4、区域文件：系统默认的abc.com.dns，此区域文件存储在　　　　　　　　　　　　　%systemroot%\system32\dns文件夹内。
5、单击“下一步”出现“正在完成新建区域向导”对话框时，单击“完成”按钮。
□ 新建记录到主要区域内
  以下说明如何在区域内新建数据，这此数据称为“资源记录”，DNS服务器支持相当多　的资源记录，这里只介绍其中几种比较常用的资源记录。
1、SOA：用来记录此区域的主要名称服务器。
2、NS：用来记录管辖此区域的名称服务器。
3、A：用来记录在正向搜索区域内的主机与IP地址。
4、CNAME：用来记录某台主机的别名，可以为一台主机设置多个别名。
5、MX：用来记录负责某个域邮件传送的邮件服务顺，一般来说它就是邮件服务器。
6、PTR：主要用来记录在反向搜索区域内的主机数据，

许多厂家实现NAT功能存在很大的问题难于配置和使用