随着安全策略的进一步发展，防火墙市场日益成熟。早期的防火墙只有一种策略棗网络层的、传输层的或应用层的安全棗人们发现成功的防火墙往往得益于网络的安全。高端的产品也能增加这方面的特性，如基于协议的攻击检测和实时避免非法闯入。

　　同时，对SOCKS验证和代理系统的支持大大降低了，只有CyberGuard和Microsoft支持该协议。

　　测试组从两个角度评价安全性：一是判断数据流是否允许通过的规则；二是能够执行更多智能化处理的代理。代理可以在应用层中途拦截数据流，理解应用协议，这样一来，防火墙就可以基于应用进行数据流的过滤或修改，而不仅仅是IP地址或已验证的用户。例如，代理可以阻止从Web页面下载ActiveX applets或者允许用户用FTP获取文件，却不能把文件透过防火墙向外传送。但是本次评测中发现大部分厂商对自己产品的代理功能言过其实。

　　各产品的代理功能不一，从Elron Software 和Cisco公司的最简单的FTP代理功能到大量复杂的功能，如Microsoft公司的HTTP代理。最“强健”的代理集合是Check Point公司的FireWall－1和CyberGuard公司的CyberGuard FireWall。Ukiah Software公司的NetRoad FireWall和Watchguard Technologies公司的Watchguard Security System的代理基于第二层，例如，NetRoad FireWall精心设计的FTP代理可以封住特定的FTP命令，并能阻止经过防火墙传送的某些类型的文件。

　　HTTP代理的能力在Microsoft Proxy Server上发挥至极，因为Microsoft Proxy Server原本就只是一个HTTP代理服务器。该服务器不仅能控制和重映射URL，还能把Web页面存在缓存里加快访问Internet数据的速度。Check Point、CyberGuard、Ukiah Software和Watchguard Technologies公司也提供了实用的HTTP代理，可以进行病毒检查和拦截URL，但是没有缓存技术。Check Point的FireWall－1和Watchguard Technologies公司的Watchguard Security System的代理特别灵活，可以自动连接到外部的HTTP缓存服务器上。Microsoft、Check Point和CyberGuard都提供了平衡HTTP负载的服务，其中Check Point有很细致的选项。（Cisco在另一条独立产品线上提供了负载平衡功能）

　　本次测试中，虽然FireWall－1的可鉴别转发邮件的发送IP地址真伪的能力是一个聪明的革新，但是必须承认没有一个产品具有值得一用的简单邮件传输协议(Simple Mail Transfer Protocol)代理。大部分代理都是为1984年以前版本的邮件而设计的，没有产品能控制住最新的SMTP服务扩展内容ESMTP(Extended Simple Mail Transfer Protocol),这就在事实上降低了E－mail的安全性。好在所有的防火墙产品都可以关闭这个功能。

　　对于那些不需要太多智能的简单代理服务，诸如Telnet或Ping, 网络管理员通常更注重规则。参加测试的产品在这方面的差距不太明显，结果则更加微妙。例如，Watchguard Security System、Elron FireWall、Cisco的PIX和Microsoft Proxy Server不支持每周的某天和每天的某具体时间的限制。然而，几乎没有网络管理员会在下午五点钟大动安全规则。

　　其他方面的差别相对重要一些。Ukiah Software公司的NetRoad FireWall根本没有否决的概念，甚至用户只进行简单的网络配置也会发现这是个令人头痛的限制。与他类似，Elron FireWall假设了TCP/IP的堆栈，这会造成与那些端口号低于1024的系统不兼容。

　　小型网络使用基于服务的方法棗在每个方面定义许可或不许可的服务，显得绰绰有余。Watchguard Security System和 Elron FireWall即采用此法。然而，更大一些的网络或与外部有着复杂连接的网络则应采用基于地址的方法，这也是其他大部分产品所提供的，只有这样才能把网络的安全策略翻译成防火墙的配置。

　　很大规模的网络会发现基于地址的代理服务器也有局限性，因为这种服务器要求的是Windows客户端的软件，而不是HTTP、FTP和Gopher。

　　即使采用基于地址方法的防火墙产品也有明显的不同之处。例如，FireWall－1是唯一允许用户决定一个被拒绝的连接是被忽略，还是被立刻驳回的产品。

　　此外，一些产品的安全特性也给人留下了深刻印象。如Watchguard Security System探测到有被闯入的危险时，可从一些节点上动态修改网络的安全策略，从而封住所有的数据流。它还可以检测并躲避一些进攻者常用的“探针”工具。Microsoft、Check Point、Cisco、CyberGuard、 NetGuard和Ukiah Software也提供了一些防止TCP SYN“洪水”(一种普通的拒绝服务攻击)的保护功能。其中，Check Point的战略最具特色，它不仅详细记录了攻击过程，还给出了如何处理的选项。