在应用层提供代理支持：指防火墙是否支持应用层代理，如HTTP、FTP、TELNET、SNMP等。代理服务在确认客户端连接请求有效后接管连接，代为向服务器发出连接请求，代理服务器应根据服务器的应答，决定如何响应客户端请求，代理服务进程应当连接两个连接（客户端与代理服务进程间的连接、代理服务进程与服务器端的连接）。为确认连接的唯一性与时效性，代理进程应当维护代理连接表或相关数据库（最小字段集合），为提供认证和授权，代理进程应当维护一个扩展字段集合。 

　　在传输层提供代理支持：指防火墙是否支持传输层代理服务。 

　　允许FTP命令防止某些类型文件通过防火墙：指是否支持FTP文件类型过滤。

　　用户操作的代理类型：应用层高级代理功能，如HTTP、POP3。
 
　　支持网络地址转换(NAT)：NAT指将一个IP地址域映射到另一个IP地址域，从而为终端主机提供透明路由的方法。NAT常用于私有地址域与公有地址域的转换以解决IP地址匮乏问题。

　　在防火墙上实现NAT后，可以隐藏受保护网络的内部结构，在一定程度上提高了网络的安全性。

　　支持硬件口令、智能卡：是否支持硬件口令、智能卡等，这是一种比较安全的身份认证技术。
 
　　防御功能 ：支持病毒扫描： 是否支持防病毒功能，如扫描电子邮件附件中的DOC和ZIP文件，FTP中的下载或上载文件内容，以发现其中包含的危险信息。 

　　提供内容过滤：是否支持内容过滤，信息内容过滤指防火墙在HTTP、FTP、SMTP等协议层，根据过滤条件，对信息流进行控制，防火墙控制的结果是：允许通过、修改后允许通过、禁止通过、记录日志、报警等。 过滤内容主要指URL、HTTP携带的信息：Java Applet、JavaScript、ActiveX和电子邮件中的Subject、To、From域等。

　　能防御的DoS攻击类型：拒绝服务攻击(DoS)就是攻击者过多地占用共享资源，导致服务器超载或系统资源耗尽，而使其他用户无法享有服务或没有资源可用。防火墙通过控制、检测与报警等机制，可在一定程度上防止或减轻DoS黑客攻击。 

　　阻止ActiveX、Java、Cookies、Javascript侵入：属于HTTP内容过滤，防火墙应该能够

　　从HTTP页面剥离Java Applet、ActiveX等小程序及从Script、PHP和ASP等代码检测出危险代码或病毒，并向浏览器用户报警。同时，能够过滤用户上载的CGI、ASP等程序，当发现危险代码时，向服务器报警。
 
　　安全特性：支持转发和跟踪ICMP协议（ICMP 代理）：是否支持ICMP代理，ICMP为网间控制报文协议。

　　提供入侵实时警告：提供实时入侵告警功能，当发生危险事件时，是否能够及时报警， 报警的方式可能通过邮件、呼机、手机等。 

　　提供实时入侵防范：提供实时入侵响应功能，当发生入侵事件时，防火墙能够动态响应，调整安全策略，阻挡恶意报文。