对于信息安全产品来说，符不符合国家与行业的技术标准，是相当重要的评判依据。这些标准对产品各方面指标做了明确要求，逐渐成为诸多行业用户选型的参考对象。在本次测试中，我们参照了下列一些标准。

        GB/T 18019-1999  信息技术 包过滤防火墙安全技术要求
        GB/T 18020-1999  信息技术 应用级防火墙安全技术要求
        GB/T 20281-2006  信息安全技术 防火墙技术要求和测试评价方法
        YD/T 1132-2001  防火墙设备技术要求

GB/T 18019-1999与GB/T 18020-1999是我国最早颁布的两部关于防火墙产品的国家标准。它们诞生至今已有近10年时间，对防火墙各功能模块进行了准确的定义，成为后继标准的基础。2006年底颁布实施的GB/T 20281-2006，则根据技术发展的实际情况，对前者进行了整合与补充，基本囊括了当前防火墙产品的所有功能，并给出了测评的准则。而作为邮电行业标准的YD/T 1132-2001，从技术层面对防火墙功能、性能指标做了比较深入的定义，也是非常重要的标准之一。

经过考察，参加本次横向评测的4款电信级产品与1款企业级产品基本满足GB/T 20281-2006规定的三级产品功能要求，有些模块实现的特性甚至远远超过国标规定。这里说基本，是因为产品定位的不同，厂商在功能实现上也有所取舍。例如东软送测的两款电信级产品中，就没有包含任何应用层相关的功能模块。我们理解并认同这种发展趋势，有针对性的功能优化可以减少产品负载，提升有效性能。受技术与成本的限制，产品提供的功能与性能成为一对相互关联又相互矛盾的指标，厂商必须准确把握不同用户的需求，才能为这个杠杆寻找一个合理的支点。

随着需求的不断深入，针对不同用户群体的防火墙也出现比较明显的功能差异。面向高端用户的电信级产品以高性能、高可靠性为目标，提供的功能大多为这两者服务，如完备的高可靠特性、虚拟防火墙等。企业级产品则集成了越来越多的功能模块，访问控制的重点向应用层转移，以适应更加复杂的需求。在与读者的交流中，我们了解到NAT ALG与对P2P、IM类应用的限制是企业用户当前需求最为强烈的两个功能，并在测试中进行了重点考察。

    NAT ALG

NAT ALG功能可在对用户透明的情况下监测应用层协议内的信令，并建立、维护内外网IP、端口的对应关系，保证应用在NAT环境下的正常运行。对于大多采用NAT方式接入互联网的企业用户来说，如果防火墙支持NAT ALG功能，就可以很轻易地完成VoIP等应用的部署。在测试中，定位于中小企业的合勤ZyWALL USG 300对NAT ALG功能的支持非常全面。除支持SIP、H.323和FTP三种应用层协议的NAT ALG处理外，还可以对其进行信令级控制。

    P2P与IM类应用控制

P2P与IM类应用为个人用户带来很大便利，带给企业的则是网络资源滥用、病毒入侵、涉密信息泄漏等安全问题。随着技术水平的提高，现在的P2P与IM软件大多具有端口修改、协议模拟等功能，传统防火墙对此很难进行有效控制。企业用户迫切的希望新一代的防火墙产品能够具有对这类应用的控制能力。

在参加本次横向评测的全部5款产品中，卫士通中华卫士A4400、天融信NGFW4000-UF 5564与合勤ZyWALL USG 300三款产品内置针对P2P与IM类应用的控制模块，我们逐一进行了测试。首先值得肯定的是，这3款产品对此类应用的识别与控制是基于协议的，这是从根本上解决问题的前提。卫士通中华卫士A4400功能实现的思路比较独特，它将应用层协议过滤的任务交由ASIC芯片来处理，为CPU减负。由于A4400内置了3颗ASIC芯片，通过合理的配置，可以有效保证产品的综合处理能力。

在未提前知会各厂商的情况下，我们根据与读者交流获得的信息，结合目前网络应用的实际情况，遴选出9款最常见的、也是控制需求最为强烈的软件进行了控制能力测试。这些软件都是截止至测试开始前官方发布的最新版本，保证了结果的时效性。为更真实准确地考验防火墙针对协议的识别能力，我们在软件安装后还进行了端口修改、协议加密等一系列设置。

从测试结果来看，各产品在IM类应用的控制方面表现基本令人满意，对P2P类应用的控制能力还有待加强。QQ、TM与Windows Live Messenger三种国内应用最广泛的IM软件都可以被有效阻断，而eMule这种互联网最大的P2P应用则不能被控制。值得一提的是，天融信NGFW4000-UF 5564对BT这种国内应用最多也是最难封禁的传输协议做到了完全屏蔽，无论我们怎么修改客户端的设置都无法突破封锁。

需要注意的是，应用软件采用的通讯协议是不断发展变化的，现有模块对于更新版本的控制能力是个未知数。一方面，厂商应当根据网络应用的发展情况，推出适应新需求的升级版本；另一方面，用户也应及时对模块进行升级，才能保证对新应用的控制能力。