监测与统计

　　大部分防火墙的管理已经包括了一个安全管理工作站，尽管它的日志和监控工具可应付常见情况，但仍然相当粗糙。特别是Elron Firewall，它居然不记录“对话”，这点很不可取。

　　CyberGuard公司的CyberGuard Firewall和NetGuard公司的Guardian以其内置的实时显示功能给测试组留下了最深刻的印象。例如，Guardian可以让管理员查看目前所有实时更新的信息，如通过防火墙的连接、带宽的使用和其他统计资料等。这些信息在进行防火墙的配置时很有用，能够有助于理解防火墙怎样解释既定的规则，也有助于处理遇到的紧急情况。

　　大部分产品在日志报告方面都做得不太好，只提供原始的日志资料。用户不得不使用一些工具，如Perl，去生成总结性的信息。Cisco、Check Point、CyberGuard和Ukiah Software的防火墙产品都是如此，只有Watchguard Security System提供的报告功能较强一些，但也得使用他自己的其他独立的产品。

　　另外，NetGuard公司也能提供最基本的总结工具。Microsoft在以下方面占据了领先位置：为日志提供分析工具（已安装，但没有许可权的独立产品），以及直接把日志记录到SQL或其他符合开放数据库标准的数据库中。

身份验证

　　在防火墙世界里，身份验证的最初含义是保证外部用户安全访问内部。随着该功能的重要性不断增加，身份验证已经开始用于验证内部用户访问外部Internet服务。所有的防火墙都有某种方法让用户创建一个通过防火墙的信息。由于这种验证可以作为协议的一部分，当用户想连接资源或离线时，可以看到验证的请求信息。

　　验证也可以在离线时进行，但是要求运行另一个不同的程序或特殊的应用去打开防火墙。离线验证的过程可以如同用浏览器指定URL一样简单，复杂起来又像装载一个具有各种安全级别的特殊的客户端。例如，Check Point 公司的FireWall－1可以拦截外出的文件传送、Telnet和HTTP查询，也可选择验证后继续操作。但是，正如Check Point公司所指出的，一旦验证已经发生，基于IP的访问就相当冒险。

　　CyberGuard Firewall和Watchguard Security System对此有更好的策略：客户端必须与防火墙建立连接，只有连接存在，才允许访问。

　　其他厂商对验证有更严格的限制。例如，NetGuard公司的Guardian和Elron Software公司的Elron FireWall都需要一个特殊的Windows客户端应用，而不需要连接认证外部用户的数据库。Microsoft Proxy Server也有一个Windows客户端应用，但是，如果只是验证有关Web的交易，可以不用它，因为任何Web浏览器都能做到这点。

　　Proxy Server集成了NT用户的验证数据库，这点与Watchguard Technology、Ukiah Software、CyberGuard和Check Point的做法一致。其中，Ukiah Software还集成了Novell公司的目录服务。

　　另外，Check Point、Cisco System、CyberGuard和NetGuard公司的防火墙产品都提供了一次口令机制，或自己直接完成，或是用网络认证系统实现，如Remote Authentication Dial－In User Service或TACACS＋。