目前，对防火墙的管理一般分为本地管理和远程管理两种方式，具体来说，主要包括串口命令行、Telnet、GUI管理工具以及Web管理。总的来讲，像Netscreen-208、神州数码防火墙支持命令行、Telnet、GUI管理工具以及Web管理这几种方式，非常方便用户从中选择自己喜欢的方式。但我们在测试过程中发现不少防火墙的命令行比较难懂，对于很多用户来说使用会比较困难，而安氏、Netscreen-208、天融信、清华得实防火墙的命令行方式比较简洁明了，这为喜欢用命令行进行防火墙配置的用户来说带来了便捷。当然，很多防火墙的CLI命令功能比较简单，主要功能还是留给了GUI管理软件，方正、联想防火墙是非常典型的例子。

　　从易用性的角度来讲，Web管理是最好的方式。安氏、Netscreen-208的Web管理界面给我们留下了最深刻的印象，漂亮的界面以及非常清晰的菜单选项可以使用户轻松配置管理防火墙的各方面，同时Web管理一般都支持基于SSL加密的HTTPS方式访问。当然，对于要集中管理多台防火墙来说，GUI管理软件应该是不错的选择。联想网御2000、天融信、清华得实、方正方御的GUI管理软件安装和使用都比较容易。

　　带宽管理正在成为防火墙中必不可少的功能，通过带宽管理和流量控制在为用户提供更好服务质量、防止带宽浪费的同时也能够有效防止某些攻击。此次送测的9款百兆防火墙都支持带宽管理。比如神州数码DCFW-1800防火墙能够实时检测用户流量，对不同的用户，每天分配固定的流量，当流量达到时切断该用户的访问。龙马卫士防火墙通过支持基于IP和用户的流量控制实现对防火墙各个接口的带宽控制。

　　VPN和加密认证

　　防火墙与VPN的集成是一个重要发展方向。此次参测的防火墙中安氏领信防火墙、方正网御FGFW、Netscreen-208、SG300、清华得实NetST 2104、龙马卫士防火墙这6款防火墙都有 VPN功能或VPN模块。作为构建VPN最主要的协议IPSec，这6款防火墙都提供了良好的支持。

　　安氏领信防火墙的VPN模块在对各种协议和算法的方面支持得非常全面，包括DES、3DES、AES、CAST、BLF、RC2/R4等在内的主流加密算法都在该产品中得到了支持。主要的认证算法MD5在6款防火墙中都得到了较好支持。不同加密算法与认证算法的组合将会产生不同的算法，如3DES-MD5就是3DES加密算法和MD5算法的组合结果。安氏和NetScreen-208能够很好地支持这种不同算法之间的组合。 方正网御、清华得实NetST2104和卫士通龙马的龙马卫士防火墙则以支持国家许可专用加密算法而具有自己的特点。当然，加密除了用于VPN之外，远程管理、远程日志等功能通过加密也能够提升其安全性。

　　在身份认证方面，防火墙支持的认证方法很重要。安氏领信防火墙支持本地、RADIUS、SecureID、NT域、数字证书、MSCHAP等多种认证方式和标准，这也是所有参测防火墙中支持得比较全的。非常值得一提的是联想网御2000所提供的网御电子钥匙。带USB接口的电子钥匙主要用来实现管理员身份认证，认证过程采用一次性口令(OTP)的协议SKEY，可以抵抗网络窃听。

　　防御功能

　　防火墙本身具有一定的防御功能指的是防火墙能够防止某些攻击、进行内容过滤、病毒扫描，使用户即使没有入侵检测产品和防病毒产品的情况下也能够通过防火墙获得一定的防护能力。

　　在病毒扫描方面，表现最突出的当属联想网御2000，它集成了病毒扫描引擎，具有防病毒网关的作用，能够实时监控HTTP、FTP、SMTP数据流，使各种病毒和恶意文件在途径防火墙时就被捕获。

　　在内容过滤方面，大部分防火墙都支持URL过滤功能，可有效防止对某些URL的访问。清华得实NetST2104、安氏防火墙内置的内容过滤模块，为用户提供对HTTP、FTP、SMTP、POP3协议内容过滤，能够针对邮件的附件文件类型进行过滤。联想网御2000还支持邮件内容过滤的功能。

　　在防御攻击方面，Netscreen-208、方正方御、联想网御2000、SG300以及安氏领信防火墙则对Syn Flood、针对ICMP的攻击等多种DoS攻击方式有相应的设置选项，用户可以自主设置实现对这些攻击的防护。安氏领信防火墙除了本身带有入侵检测模块之外，还有一个专门端口与IDS互动。天融信NGFW 4000则通过TOPSEC协议与其他入侵检测或防病毒产品系统实现互动，以实现更强劲的防攻击能力。

　　安全特性

　　代理机制通过阻断内部网络与外部网络的直接联系，保证了内部网的拓扑结构等重要信息被限制在代理网关的内侧。

　　参测的百兆防火墙大都能够支持大多数应用层协议的代理功能，包括HTTP、SMTP、POP3 、FTP等，从而能够屏蔽某些特殊的命令，并能过滤不安全的内容。

　　NAT通过隐藏内部网络地址，使其不必暴露在Internet上 从而使外界无法直接访问内部网络设备,而内部网络通过NAT以公开的IP地址访问外部网络，从而可以在一定程度上保护内部网络。另一方面，NAT也解决了目前IP地址资源不足的问题。此次参测的防火墙对于NAT都有较强的支持功能，虽然大家叫的名称不同，但主要方式包括一对一、多对一NAT、多对多NAT以及端口NAT。

推荐文章 ·怎么样给企业级防火墙“体检” ·构建Linux系统下U盘路由器、防火 ·安全基础：防火墙功能指标详解 ·没有防火墙是可行的 但是并不理 ·2005年度千兆防火墙公开比较评测 ·没有防火墙的安全:明智还是愚蠢? ·使用防火墙封阻应用攻击的八项技 ·防火墙与路由器的安全性比较 ·防火牆安全管理 ·netfilter: Linux 防火墙在内核 ·再谈防火墙及防火墙的渗透 ·一种新的穿透防火墙的数据传输技