这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题：难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比较，找到一种在NAT配置和使用上简单处理的防火墙。

二、应用层的访问控制

　　这一功能是各个防火墙厂商的实力比拼点，也是最出彩的地方。因为很多基于免费操作系统实现的防火墙虽然可以具备状态监测模块（因为Linux、FreeBSD等的内核模块已经支持状态监测），但是对应用层的控制却无法实现“拿来主义”，需要实实在在的编程。

　　对应用层的控制上，在选择防火墙时可以考察以下几点。

1.是否提供HTTP协议的内容过滤

　　目前企业网络环境中，最主要的两种应用是WWW访问和收发电子邮件。能否对WWW访问进行细粒度的控制反映了一个防火墙的技术实力。

2.是否提供SMTP协议的内容过滤

　　对电子邮件的攻击越来越多：邮件炸弹、邮件病毒、泄漏机密信息等等，能否提供基于SMTP协议的内容过滤以及过滤的粒度粗细成了用户关注的焦点。

3.是否提供FTP协议的内容过滤

　　在考察这一功能时一定要细心加小心，很多厂家的防火墙都宣传说具备FTP的内容过滤，但细心对比就会发现，其中绝大多数仅实现了FTP协议中两个命令的控制：PUT和GET。好的防火墙应该可以对FTP其他所有的命令进行控制，包括CD、LS等，要提供基于命令级控制，实现对目录和文件的访问控制，全部过滤均支持通配符。

三、管理和认证

　　这是防火墙非常重要的功能。目前，防火墙管理分为基于WEB界面的WUI管理方式、基于图形用户界面的GUI管理方式和基于命令行CLI的管理方式。

　　各种管理方式中，基于命令行的CLI方式最不适合防火墙。

WUI和GUI的管理方式各有优缺点