以下是zywall的过滤功能与防火墙功能的比较。

    9．7．1包过滤：

    1、当数据包通过路由器接口的时候，路由器会根据您制定的规则来过滤数据包。

    2、包过滤是一个功能强大的工具，但是设置和维护都比较复杂，尤其是当您需要一系列的规则来过滤一种服务的时候。

    3、包过滤只检查ip包的包头。

    9．7．1．1何时使用过滤器

    1．根据mac地址来拒绝／允许lan网的数据包。

    2．拒绝／允许特殊的非tcp、udp或icmp的ip数据包。

    3．拒绝／允许在两个特定的内部主机／网络“a”和外部主机／网络“b”之间由外网向内网(wan到lan)和由内网向外网(lan到wan)的通信。如果过滤器拒绝了a到b的通信，它也会拒绝b到a的通信。过滤器无法通过ip地址来判断通信是源自内部主机还是外部主机。

    4．拒绝／允许ip跟踪路由。

    9．7．2防火墙

    1、防火墙会监测数据包的内容和它的源／目的地址。这类防火墙提供了一个适用于所有协议的监测模块，可以理解供其它协议层使用的，从网络层(1p包头)到应用层的数据。

    2、防火墙提供了状态监测的功能。它考虑了它所处理的连接的状态。例如，一个合法的输入数据包会与该数据包的外部请求比较来决定是否进入。相反，一个输入数据包伪装成一个不存在的外部请求的回应，就会被拒绝。

    3、防火墙利用的是会话过滤，例如，聪明的规则能够加强过滤过程和控制网络会话，而不是控制会话中的每个数据包。

    4、当报警发生时，防火墙会通过e-mail来绐您提供日常报告。

    9．7．2．1何时使用防火墙

    1．阻止dos攻击和黑客入侵您的网络。

    2．当需要设置复杂的规则的时候，较好的选择就是在一条防火墙规则中规定出一组源和目的ip地址和端口号。

    3．有选择地允许／拒绝在内部主机／网络与外部主机／网络之间的由外网向内网或由内网向外网的通信。记住，过滤器无法从ip地址宋区分通信是源自内部主机还是外部主机。

    4．如果您需要检查很多规则，防火墙比过滤器更好。

    5．如果您需要关于您的系统日常e-mail报告或需要被攻击时报警，您应该使用防火墙。

    6．防火墙可以阻止某些特定的url的数据通信。url可以记录在一个访问控制列表（acl）数据库里面。