TESTY FUNKCJONALNE

Do pierwszej części testu dostawcy dostarczyli większe i szybsze urządzenia. Ponieważ w testach funkcjonalnych sprawdzano tylko mechanizmy zapór, to testujący zgodzili się na dostarczanie urządzeń z identyczną funkcjonalnością, ale mniejszych. W przypadku SonicWall nazwy urządzeń były odmienne (test wydajności to SuperMassive 10800, test mechanizmów - NSA E8500). Aby więc uniknąć niejednoznaczności produkt określiliśmy na potrzeby testu jako "Sonic OS" (oba urządzenia opierają się na tym systemie).

Z definicji zapory nowej generacji charakteryzują się zdolnością do identyfikowania i kontrolowania ruchu na poziomie aplikacyjnym. Przygotowano więc zestaw 40 testów w dziewięciu kategoriach, które miały pokazać, jak zapory wykonują te zadania.

Żadna z zapór nie zbliżyła się do doskonałości. SonicWall Sonic OS zidentyfikowała i zablokowała 26 z 40 aplikacji testowych. Na kolejnym miejscach znalazły się: Check Point Security Gateway z wynikiem 24, Fortinet Fortigate z 21 i Barracuda NG Firewall z 18 aplikacjami.

W czasie testów Check Point nie mógł zablokować Skype, a żaden z produktów nie blokował skutecznie ruchu Google Gmail, który prześlizgiwał się przez kontrolę po użyciu przycisku: "click here for basic HTML if your browser is not showing you your email".

Zapora SonicWall nie dała się skonfigurować tak, aby dopuszczać użytkownika do Facebooka, ale bez możliwości wpisów (jeden z ulubionych marketingowych przykładów, mających przekonać o tym, że NGFW to świetna idea) - możliwe było jedynie całkowite zablokowanie tego serwisu. Jednak taką prostą blokadę można również założyć filtrem URL - do tego niepotrzebna jest NGFW. Poza tym zapora SonicWall ma nie najlepiej zaprojektowany GUI identyfikowania aplikacji.

Bardzo dobry interfejs identyfikowania aplikacji ma za to Check Point Security Gateway. Sterowanie tą funkcjonalnością jest tu dużo łatwiejsze niż w pozostałych testowanych produktach. Jednak silnik związany z tym interfejsem nie pracuje tak dobrze jak w SonicWall. Łatwo można było utworzyć polityki blokujące poszczególne elementy serwisów Facebook czy LinkedIn, ale reguły te w rzeczywistości nie działały. Jedynie zablokowanie całego LinkedIn dawało właściwą reakcję zapory.

Fortinet FortiGate mieści się między SonicWall a Check Point pod względem jakości interfejsu zarządzania. Nie ma tak eleganckiego jak Check Point, ale bardziej użyteczny niż SonicWall i stosunkowo łatwiejszy do opanowania.

Zapora FortiGate nie radziła sobie w pełni, kiedy dopuszczono ruch szyfrowany. I tak reguła blokująca popularną aplikację poczty Squirrelmail działała skutecznie, kiedy wykorzystywany był standardowy port 80, ale jeżeli ten sam ruch był szyfrowany na standardowym porcie HTTPS (443), to nie był blokowany i to mimo tego, że zapora deszyfrowała i ponownie szyfrowała ruch zgodnie z oczekiwaniami. To samo dotyczy Facebooka - nieszyfrowany był blokowany lub dopuszczany zgodnie z regułami polityki, ale po użyciu HTTPS reguły nie działały.

Trudności sprawiło blokowanie aplikacji w urządzeniu Barracuda - potrzebne było wsparcie ze strony serwisu technicznego firmy, głównie z powodu nie najlepiej zaprojektowanego interfejsu GUI. Identyfikacja aplikacji jest przeprowadzana w proxy HTTP i HTTPS, które są oddzielnymi narzędziami i konieczne jest dublowanie polityk, co kosztuje czas i stwarza okazje do popełniania błędów. Nawet jeżeli pamięta się o zmianie polityki w obu proxy, to należy być ostrożnym przy definiowaniu aplikacji do blokowania. Chociaż wybiera się aplikacje do blokowania na pierwszym wyskakującym ekranie, to trzeba przewinąć w dół trzy pełne ekrany, zanim będzie można wejść do listy sieci, których ta reguła dotyczy. Firma zapewniła, że te niedogodności usunie w następnej wersji oprogramowania.