我们没有测试每个厂商的产品保护网络免遭攻击的能力，因为所有的产品都要通过ICSA(International Computer Security Association, 国际计算机安全协会，www.icsa.com)的鉴定，国际计算机安全协会有专职工作人员和一整套工具来进行此类测试。我们觉得我们不会比他们做得更多。尽管如此也不要麻痹，不要允许任何并非绝对必要的访问，牢记要系统地排除防火墙后面的机器上的所有可能的弱点，以防止某台有弱点的机器成为破坏防火墙完整性的隐患。

　　所有七种产品都采用NAT技术。NAT通过把防火墙内所有设备的源地址转换成防火墙外部地址的方法将这些设备对外发起连接的地址屏蔽掉。如果你换了家ISP而且你没有自己的地址空间，或者你使用未经注册的地址空间，或者你只是想简单地访问Internet而不想暴露内部网的细节，那么就有必要进行地址转换。如果你想允许外部世界访问你内部网络的服务器，你可以提供额外的外部地址，并把这个地址直接映射到相应的内部地址上就行了。

　　防火墙显然是设置VPN的地方，除了NetScreen-100，我们测试的所有防火墙都有这个功能。NetGuard是唯一不支持IPSec(IP安全协议)的产品。只有Raptor和FireWall-1从ICSA拿到了实现IPSec的证书。PIX、CyberGuard和FireWall-1都提供卸载选项，即把CPU处理加密的工作改由一块单独的插卡来完成。