產(chǎn)品類型

從防火墻產(chǎn)品和技術(shù)發(fā)展來看，分為三種類型：基于路由器的包過濾防火墻、基于通用操作系統(tǒng)的防火墻、基于專用安全操作系統(tǒng)的防火墻。

LAN接口

列出支持的LAN接口類型：防火墻所能保護(hù)的網(wǎng)絡(luò)類型，如以太網(wǎng)、快速以太網(wǎng)、千兆以太網(wǎng)、ATM、令牌環(huán)及FDDI等。

支持的最大LAN接口數(shù)：指防火墻所支持的局域網(wǎng)絡(luò)接口數(shù)目，也是其能夠保護(hù)的不同內(nèi)網(wǎng)數(shù)目。

服務(wù)器平臺(tái)：防火墻所運(yùn)行的操作系統(tǒng)平臺(tái)（如Linux、UNIX、Win NT、專用安全操作系統(tǒng)等）。

協(xié)議支持

支持的非IP協(xié)議：除支持IP協(xié)議之外，又支持AppleTalk、DECnet、IPX及NETBEUI等協(xié)議。

建立VPN通道的協(xié)議： 構(gòu)建VPN通道所使用的協(xié)議，如密鑰分配等，主要分為IPSec，PPTP、專用協(xié)議等。

可以在VPN中使用的協(xié)議：在VPN中使用的協(xié)議，一般是指TCP/IP協(xié)議。

加密支持

支持的VPN加密標(biāo)準(zhǔn)：VPN中支持的加密算法, 例如數(shù)據(jù)加密標(biāo)準(zhǔn)DES、3DES、RC4以及國(guó)內(nèi)專用的加密算法。

除了VPN之外，加密的其他用途： 加密除用于保護(hù)傳輸數(shù)據(jù)以外，還應(yīng)用于其他領(lǐng)域，如身份認(rèn)證、報(bào)文完整性認(rèn)證，密鑰分配等。

提供基于硬件的加密： 是否提供硬件加密方法，硬件加密可以提供更快的加密速度和更高的加密強(qiáng)度。

認(rèn)證支持

支持的認(rèn)證類型： 是指防火墻支持的身份認(rèn)證協(xié)議，一般情況下具有一個(gè)或多個(gè)認(rèn)證方案，如RADIUS、Kerberos、TACACS/TACACS＋、 口令方式、數(shù)字證書等。防火墻能夠?yàn)楸镜鼗蜻h(yuǎn)程用戶提供經(jīng)過認(rèn)證與授權(quán)的對(duì)網(wǎng)絡(luò)資源的訪問，防火墻管理員必須決定客戶以何種方式通過認(rèn)證。

列出支持的認(rèn)證標(biāo)準(zhǔn)和CA互操作性：廠商可以選擇自己的認(rèn)證方案，但應(yīng)符合相應(yīng)的國(guó)際標(biāo)準(zhǔn)，該項(xiàng)指所支持的標(biāo)準(zhǔn)認(rèn)證協(xié)議，以及實(shí)現(xiàn)的認(rèn)證協(xié)議是否與其他CA產(chǎn)品兼容互通。

支持?jǐn)?shù)字證書：是否支持?jǐn)?shù)字證書。

訪問控制

通過防火墻的包內(nèi)容設(shè)置：包過濾防火墻的過濾規(guī)則集由若干條規(guī)則組成，它應(yīng)涵蓋對(duì)所有出入防火墻的數(shù)據(jù)包的處理方法，對(duì)于沒有明確定義的數(shù)據(jù)包，應(yīng)該有一個(gè)缺省處理方法；過濾規(guī)則應(yīng)易于理解，易于編輯修改；同時(shí)應(yīng)具備一致性檢測(cè)機(jī)制，防止沖突。IP包過濾的依據(jù)主要是根據(jù)IP包頭部信息如源地址和目的地址進(jìn)行過濾，如果IP頭中的協(xié)議字段表明封裝協(xié)議為ICMP、TCP或UDP，那么再根據(jù)ICMP頭信息（類型和代碼值）、TCP頭信息（源端口和目的端口）或UDP頭信息（源端口和目的端口）執(zhí)行過濾，其他的還有MAC地址過濾。應(yīng)用層協(xié)議過濾要求主要包括FTP過濾、基于RPC的應(yīng)用服務(wù)過濾、基于UDP的應(yīng)用服務(wù)過濾要求以及動(dòng)態(tài)包過濾技術(shù)等。

在應(yīng)用層提供代理支持：指防火墻是否支持應(yīng)用層代理，如HTTP、FTP、TELNET、SNMP等。代理服務(wù)在確認(rèn)客戶端連接請(qǐng)求有效后接管連接，代為向服務(wù)器發(fā)出連接請(qǐng)求，代理服務(wù)器應(yīng)根據(jù)服務(wù)器的應(yīng)答，決定如何響應(yīng)客戶端請(qǐng)求，代理服務(wù)進(jìn)程應(yīng)當(dāng)連接兩個(gè)連接（客戶端與代理服務(wù)進(jìn)程間的連接、代理服務(wù)進(jìn)程與服務(wù)器端的連接）。為確認(rèn)連接的唯一性與時(shí)效性，代理進(jìn)程應(yīng)當(dāng)維護(hù)代理連接表或相關(guān)數(shù)據(jù)庫(kù)（最小字段集合），為提供認(rèn)證和授權(quán)，代理進(jìn)程應(yīng)當(dāng)維護(hù)一個(gè)擴(kuò)展字段集合。

在傳輸層提供代理支持：指防火墻是否支持傳輸層代理服務(wù)。

允許FTP命令防止某些類型文件通過防火墻：指是否支持FTP文件類型過濾。

用戶操作的代理類型：應(yīng)用層高級(jí)代理功能，如HTTP、POP3 。

支持網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)：NAT指將一個(gè)IP地址域映射到另一個(gè)IP地址域，從而為終端主機(jī)提供透明路由的方法。NAT常用于私有地址域與公有地址域的轉(zhuǎn)換以解決IP地址匱乏問題。在防火墻上實(shí)現(xiàn)NAT后，可以隱藏受保護(hù)網(wǎng)絡(luò)的內(nèi)部結(jié)構(gòu)，在一定程度上提高了網(wǎng)絡(luò)的安全性。

支持硬件口令、智能卡： 是否支持硬件口令、智能卡等，這是一種比較安全的身份認(rèn)證技術(shù)。

防御功能

支持病毒掃描： 是否支持防病毒功能，如掃描電子郵件附件中的DOC和ZIP文件，F(xiàn)TP中的下載或上載文件內(nèi)容，以發(fā)現(xiàn)其中包含的危險(xiǎn)信息。

提供內(nèi)容過濾： 是否支持內(nèi)容過濾，信息內(nèi)容過濾指防火墻在HTTP、FTP、SMTP等協(xié)議層，根據(jù)過濾條件，對(duì)信息流進(jìn)行控制，防火墻控制的結(jié)果是：允許通過、修改后允許通過、禁止通過、記錄日志、報(bào)警等。 過濾內(nèi)容主要指URL、HTTP攜帶的信息：Java Applet、 JavaScript、ActiveX和電子郵件中的Subject、To、From域等。

能防御的DoS攻擊類型：拒絕服務(wù)攻擊(DoS)就是攻擊者過多地占用共享資源，導(dǎo)致服務(wù)器超載或系統(tǒng)資源耗盡，而使其他用戶無法享有服務(wù)或沒有資源可用。防火墻通過控制、檢測(cè)與報(bào)警等機(jī)制，可在一定程度上防止或減輕DoS黑客攻擊。

阻止ActiveX、Java、Cookies、Javascript侵入：屬于HTTP內(nèi)容過濾，防火墻應(yīng)該能夠從HTTP頁(yè)面剝離Java Applet、ActiveX等小程序及從Script、PHP和ASP等代碼檢測(cè)出危險(xiǎn)代碼或病毒，并向?yàn)g覽器用戶報(bào)警。同時(shí)，能夠過濾用戶上載的CGI、ASP等程序，當(dāng)發(fā)現(xiàn)危險(xiǎn)代碼時(shí)，向服務(wù)器報(bào)警。

安全特性

支持轉(zhuǎn)發(fā)和跟蹤ICMP協(xié)議（ICMP 代理）：是否支持ICMP代理，ICMP為網(wǎng)間控制報(bào)文協(xié)議。

提供入侵實(shí)時(shí)警告：提供實(shí)時(shí)入侵告警功能，當(dāng)發(fā)生危險(xiǎn)事件時(shí)，是否能夠及時(shí)報(bào)警，報(bào)警的方式可能通過郵件、呼機(jī)、手機(jī)等。

提供實(shí)時(shí)入侵防范：提供實(shí)時(shí)入侵響應(yīng)功能，當(dāng)發(fā)生入侵事件時(shí)，防火墻能夠動(dòng)態(tài)響應(yīng)，調(diào)整安全策略，阻擋惡意報(bào)文。

識(shí)別/記錄/防止企圖進(jìn)行IP地址欺騙：IP地址欺騙指使用偽裝的IP地址作為IP包的源地址對(duì)受保護(hù)網(wǎng)絡(luò)進(jìn)行攻擊，防火墻應(yīng)該能夠禁止來自外部網(wǎng)絡(luò)而源地址是內(nèi)部IP地址的數(shù)據(jù)包通過。

管理功能

通過集成策略集中管理多個(gè)防火墻：是否支持集中管理，防火墻管理是指對(duì)防火墻具有管理權(quán)限的管理員行為和防火墻運(yùn)行狀態(tài)的管理，管理員的行為主要包括：通過防火墻的身份鑒別，編寫防火墻的安全規(guī)則，配置防火墻的安全參數(shù)，查看防火墻的日志等。防火墻的管理一般分為本地管理、遠(yuǎn)程管理和集中管理等。

提供基于時(shí)間的訪問控制：是否提供基于時(shí)間的訪問控制。

支持SNMP監(jiān)視和配置：SNMP是簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議的縮寫。

本地管理：是指管理員通過防火墻的Console口或防火墻提供的鍵盤和顯示器對(duì)防火墻進(jìn)行配置管理。

遠(yuǎn)程管理：是指管理員通過以太網(wǎng)或防火墻提供的廣域網(wǎng)接口對(duì)防火墻進(jìn)行管理，管理的通信協(xié)議可以基于FTP、TELNET、HTTP等。

支持帶寬管理：防火墻能夠根據(jù)當(dāng)前的流量動(dòng)態(tài)調(diào)整某些客戶端占用的帶寬。

負(fù)載均衡特性：負(fù)載均衡可以看成動(dòng)態(tài)的端口映射，它將一個(gè)外部地址的某一TCP或UDP端口映射到一組內(nèi)部地址的某一端口，負(fù)載均衡主要用于將某項(xiàng)服務(wù)（如HTTP）分?jǐn)偟揭唤M內(nèi)部服務(wù)器上以平衡負(fù)載。

失敗恢復(fù)特性（failover)：指支持容錯(cuò)技術(shù)，如雙機(jī)熱備份、故障恢復(fù)，雙電源備份等。

記錄和報(bào)表功能

防火墻處理完整日志的方法：防火墻規(guī)定了對(duì)于符合條件的報(bào)文做日志，應(yīng)該提供日志信息管理和存儲(chǔ)方法。

提供自動(dòng)日志掃描：指防火墻是否具有日志的自動(dòng)分析和掃描功能，這可以獲得更詳細(xì)的統(tǒng)計(jì)結(jié)果，達(dá)到事后分析、亡羊補(bǔ)牢的目的。

提供自動(dòng)報(bào)表、日志報(bào)告書寫器：防火墻實(shí)現(xiàn)的一種輸出方式，提供自動(dòng)報(bào)表和日志報(bào)告功能。

警告通知機(jī)制：防火墻應(yīng)提供告警機(jī)制，在檢測(cè)到入侵網(wǎng)絡(luò)以及設(shè)備運(yùn)轉(zhuǎn)異常情況時(shí)，通過告警來通知管理員采取必要的措施，包括E－mail、呼機(jī)、手機(jī)等。

提供簡(jiǎn)要報(bào)表（按照用戶ID或IP 地址）：防火墻實(shí)現(xiàn)的一種輸出方式，按要求提供報(bào)表分類打印。

提供實(shí)時(shí)統(tǒng)計(jì)：防火墻實(shí)現(xiàn)的一種輸出方式，日志分析后所獲得的智能統(tǒng)計(jì)結(jié)果，一般是圖表顯示。

列出獲得的國(guó)內(nèi)有關(guān)部門許可證類別及號(hào)碼：這是防火墻合格與銷售的關(guān)鍵要素之一，其中包括：公安部的銷售許可證、國(guó)家信息安全測(cè)評(píng)中心的認(rèn)證證書、總參的國(guó)防通信入網(wǎng)證和國(guó)家保密局的推薦證明等。