虽然防火墙审查已经趋于成熟，但是其产品类型仍然属于新兴市场，受限于供应商的选择，如Tufin，AlgoSec，Secure Passage 和Athena Security等防火墙专业审查公示，RedSeal系统和Skybox Security等风险降低产品的基础供应商。因此，防火墙审查其实事关风险评估和风险管理。要将时间用在定义防火墙需求，缩小目标范围和测试产品上面。

　　要重视平台和设备覆盖

　　这些产品通常支持所有的主流防火墙供应商的产品及其他主流网络设备，因此应对其予以重视，并权衡现在以及未来可能的需求。例如，现在可以在企业运行一个单独的平台，但是未来的平台可放到其他供应商的架构上运行。无论你是打算转向单独平台还是继续对多个平台实施管理，这些工具都要能助你一臂之力。所以要弄清楚供应商是否能提供软件开发工具包是这些工具融入不受支持的平台上。

　　还必须检查网络设备的覆盖情况。此处有几点需要纳入考虑范畴。第一，要清理优化路由器上的访问控件列表;第二，路由器现在越来越趋向于附带内置安全功能。

　　要对选择的产品进行测试

　　一旦按照自己的需要缩小选择范围，就要对入围的产品进行测试。选择其中你最喜欢的两到三个，将其放置到真实环境中测试。建议大家测试一下这些产品寻找未使用规则的情况怎样，优化配置的性能又如何，然后再进行对比。也可以检测一下产品的真实性能是否与供应商宣传的一致。

　　要确定报告要求

　　必须确定报告的要求，再评估产品的相关性能。审查报告应该在大多数企业中占有优先地位。评估报告质量，证明它是否能验证控制策略已经被执行。同样，还要确保你能根据指定的审查查询要求出具令人满意的报告。

　　由于这些产品属于管理工具，所以你会想知道产品的操作性报告，因为这类报告可告诉你哪些工作已经完成，还有哪些问题等待处理。确保这类报告给出的信息属于你所需要的级别。例如，规则使用可以随时间进行更改。某项被优先的规则可能成为某项操作的瓶颈，这个时候，就要解除其优先权。

　　高级别报告可以安全而有效地阐述整体的改进，也能透露哪个部门的网络管理还存在漏洞。

　　要对工作流量进行整体考量

　　大多数供应商都提供了免费的工作流产品以便将产品的核心功能与更改管理工作流工具结合起来，如售票系统。如果企业具备一套良好的流程和支持工具，那么这些产品并不重要。但是有些公司发现这一功能有助于实现更改管理程序的自动化。