坦率地讲，防火墙的功能测试是一个困难的任务，不同的防火墙支持各样的复杂功能。按照本次防火墙横向评测的分类来讲，电信级的防火墙侧重于性能，而企业级的防火墙侧重于其丰富的功能。这是因为当防火墙置于网络拓扑的不同位置时，用户希望它发挥的作用是不一样的。虽然都是基于让防火墙抵御攻击的基本意图，但是电信网络用户会要求防火墙具备更快的吞吐率、更小的延时；而企业用户则希望防火墙在实现基本作用之余，能完成简单路由器、网内用户管理等相对复杂的企业网络应用。

我们此次设计的功能测试更偏重于防火墙的企业应用场景。这样的场景对于某些专注于性能的防火墙来说可能是不公平的，不过也并不绝对如此，因为千兆的防火墙正在走向企业级，我们也更愿意向企业用户介绍这些有着电信级性能的高品质防火墙。对于没有完全实现功能测试场景的防火墙，并不是因为产品本身的设计缺陷，主要的原因仍是产品的市场定位，您应该根据您的实际需求确定选用的产品。

测试场景

我们模拟一个企业中有三个VLAN，分别是VLAN100、VLAN200和VLAN300。防火墙连接到VLAN Trunk上。VLAN100和VLAN200是企业的内部网络用户，他们之间需要互相通信，但是不允许VLAN100的用户访问外部网络；VLAN300的用户是企业中的VIP用户或者某些特殊应用用户，需要给他们分配公网地址，以便能进行无障碍的互联网应用。

防火墙的功能就是：1、为VLAN100和VLAN200的用户分配各自网段的地址；2、实现VLAN100和VLAN200间的路由；3、为VLAN100/200/300用户配置各自的访问规则。

电信级千兆防火墙功能

企业级千兆防火墙功能

在以上的情况下，我们将测试三个VLAN不同工作站的互通性、在NAT状态下H.323协议的连通情况，以及MSN Messenger的工作情况，主要考察视频和音频的应用效果。

H.323协议的应用是企业应用的趋势，越来越多的公司开始使用视频会议进行商务交流，作为企业应用的防火墙也应该支持这一特性。另外，因为外网口和VLAN300模拟用户使用的是同一地址段的两个公网地址，我们要求防火墙可以配置成透明模式，并在透明模式下测试访问规则的有效性、H.323协议通信能力和MSN Messenger 的音视频通信。透明防火墙也常见于大企业网络和电信网络，我们的测试目的是判断厂商对产品的功能设计有效性。

另外，我们关注了一些其他的企业应用。比如防火墙作为网关类设备对企业用户的应用管理、用户认证、接入控制，以及QoS等。但是这些项目仅作为考察，并未进行全面的实际应用场景测试。

我们的测试过程都是由厂商的工程师进行设置的，但是因为选送的产品有很多还处于不断地更新阶段，有些功能在系统测试中未能通过，这并不表明您在采购时它们不能提供这些功能，如果您非常关心相关功能，您应该向厂商确认最终销售产品的技术指标。

通过这样的简单测试，是希望在场景应用中，能让您找到防火墙的更多使用方式。在网络安全要求越发迫切的今天，防火墙在企业中也发挥着越来越重要的作用。

（计算机世界报 第09期 D11、D12、D13）