如何測試防火墻？這里的測試指的是旨在比較不同防火墻產品的黑箱測試。
筆者認為要把防火墻的安全功能放在首位，并考察產品在啟動安全防范情況下的性能。為什么這么說？一方面，防火墻首先是安全產品，對企業網的保護它應該與時俱進（那些3年前就存在的只工作在網絡層的狀態檢測防火墻要加油啊！）。另一方面，作為企業網邊界的穿越產品，它不應該產生太多額外的延遲和丟包。
就安全功能而言，有的產品涵蓋極廣，像那些集IPS、防毒、傳統防火墻于一身的"一體化"安全網關，測試它們短時間內不可能面面俱到。如何操作呢，筆者有幾點體會：
1. 不一定采取很多攻擊手段。比如DoS攻擊，雖然有很多種，但對于防火墻來說，防御若干種DoS攻擊的設計原理是一樣的。所以在有限時間內，挑選有代表性的幾種DoS攻擊應該就可以看出防火墻這方面的能力；
2. 多個層面上的攻擊。目前，好的防火墻會針對從網絡層到應用層的攻擊分門別類地進行防御。每個層面上的攻擊最好都檢查一下，不同層面的工作往往意味著防火墻能力革命性的變化。比如，網絡層的DoS攻擊、應用層的腳本攻擊和P2P通信控制等。此外，隨著防火墻端口數目的增加，內網用戶經常使用的Windows網絡的安全性也有必要考察。
3. 支持動態協議的種類和準確性。最典型的就是VoIP的支持力度，包括多種拓撲以及雙向呼叫。模擬現實環境越充分，就越有可能發現防火墻存在的問題。
4. 攻擊測試過程中最好添加一定的背景流量。這主要是觀察防火墻的某項防御功能是否會引起正常流量的異常反應。
5. 攻擊手段的混合。比如在防DoS攻擊情況下防火墻過濾HTTP蠕蟲的成功率有多大。
就性能而言，我想特別強調兩點：不能脫離安全去談性能，不能以偏蓋全。
僅添加了"permit any to any"情況下測試防火墻的性能，對于防火墻使用者來說很難將數據表現和實際環境聯系起來。從另外的角度來看，有些防火墻廠商以自己的產品達到64字節線速吞吐就宣稱是高性能，可是這個數據只的是64字節情況下的UDP吞吐量。這個數據對于用戶來說也是茫然的，畢竟在實際環境中，沒有純粹的UDP流量，TCP流對于防火墻來說反而意味著要做更多的工作。因此，性能的評價應該多角度！而且盡可能的逼近用戶的實際環境。比如，不同包長的混合、TCP和UDP的混合、時延敏感型應用如H.323與公文或網頁傳輸的混合、是否添加攻擊等等。
進兩年，目前的防火墻較之傳統的狀態檢測防火墻至少發生了兩個比較大的變化。一個是向應用層防護大規模進軍，另一個是VPN功能逐漸成為基本組件。因此，針對VPN的測試也很有必要。不光是建立VPN隧道的性能，還有VPN網關及客戶端的兼容性以及一些VPN相關的功能，比如VPN內部的流量管理。
對于防火墻的其他功能，比較顯著的是日志、認證方式以及對虛擬防火墻的支持等。另外，組網模式的改變也值得關注，比如，在針對DMZ區服務器進行的雙出口鏈路負載均衡中，各個防火墻支持的力度也有很大差異。在防火墻與IDS聯動這個問題上，我們發現，基本上防火墻都支持和某些IDS聯動，但據我們了解，很少有用戶關心這個問題并實際部署，IDS與防火墻聯動的確存在一些令用戶擔心的問題。