IBM/ISS Proventia MX5010 także dostarczany jest z kodem Quagga, ale z pewnymi różnicami. Obsługiwany jest jedynie OSPF, mechanizm debugowania, który ułatwia zarządzanie, jest wyłączony, a dynamiczny routing nie pojawia się bezpośrednio po włączeniu. Po dość czasochłonnym ustaleniu reguł pozwalających na zaakceptowanie uaktualnień przez zaporę można było dopiero pracować z OSPF.

Najsłabszy routing dynamiczny ma Check Point Secure Platform (używana w Check Point UTM-1 2050 i Crossbeam C25), która zawiera silnik dynamicznego routingu firmy NextHop. Chociaż silnik ten pracuje sprawnie i jest bardzo zaawansowanym rozwiązaniem, dokumentacja Check Point, interfejs użytkownika i możliwości debugowania czynią ustawianie dynamicznego routingu zajęciem bardzo frustrującym. Ponadto Check Point zawiera dynamiczny routing jedynie w wersji Secure Platform Pro, która jest licencjonowana niezależnie. Jeżeli chce się używać dynamicznego routingu z zaporami ogniowymi Check Point, to wybierać należy raczej platformę Nokia IPSO, która zapewnia podobne możliwości, ale również bardzo dobry interfejs użytkownika i możliwości debugowania, obsługę klastrów - wszystko bez dodatkowych licencji.

Niską ocenę przyznano także WatchGuard Firebox X8500e, które ma system konfigurowania podobny do Check Point. Podczas testów dynamiczny routing nie był możliwy w konfiguracji HA. Ponieważ założono, że HA powinna być integralnym elementem każdej zapory ogniowej klasy przedsiębiorstwa, niezależnie czy ma ona cechy UTM, w efekcie oznacza to, że WatchGuard nie obsługuje dynamicznego routingu w przedsiębiorstwie.

Ocena obsługi IPv6

Jeżeli istnieje już zapora ogniowa, która jest w pełni gotowa do obsługi IPv6, to jest to Nokia IP290 z systemem operacyjnym IPSO i oprogramowaniem Check Point VPN-1. Obsługa IPv6 zapewniana przez Nokię obejmuje interfejsy tej platformy, dynamiczny routing używający RIP nowej generacji (RIPng) i OSPFv3 oraz kilka typów tunelowania. Do tego dochodzi obsługa IPv6 w regułach zapory ogniowej Check Point - GUI SmartDefence IPS i SmartDashboard.

Crossbeam, IBM i firmowe UTM Check Pointa są oparte na Secure Platform CheckPoint, która ma ograniczoną obsługę IPv6, wymagającą znacznych ręcznych konfiguracji i dodatkowych licencji. Zwolennicy Check Pointa, którzy zechcą wykorzystywać IPv6, powinni raczej rozpoczynać od platformy Nokia IPSO.

Najbliższa jej co do możliwości IPv6 jest firma Juniper, która zawarła obsługę IPv6 w kolejnej wersji oprogramowania ScreenOS. Obsługa IPv6 jest tu trochę węższa niż w Nokii - oferuje jedynie RIPng do dynamicznego routingu. Sporą niedogodnością jest fakt, że obsługa IPv6 nie jest osiągalna z centralnego narzędzia zarządzania NetScreen Security Manager. Co więcej, konieczne jest wyłączenie IPv6 na bramie ochronnej, aby NetScreen Security Manager mógł właściwie zarządzać bramą. Oznacza to, że obsługa IPv6 w zaporach Juniper jest ograniczona praktycznie do lokalnego, konfiguracyjnego GUI przeglądarkowego lub sterowania z wierszy komend.

Zapory Cisco ASA5540 i Fortinet FortiGate zawierają obsługę IPv6, ale wyłącznie za pośrednictwem lokalnego interfejsu wierszy komend. Obsługa IPv6 w wypadku Cisco obejmuje nie tylko interfejsy z adresami IPv6 i reguły zapory IPv6, ale także inspekcję ruchu: FTP, HTTP, ICMP, SMTP, TCP i UDP odbywającego się w ramach IPv6. Jednocześnie Cisco nie zapewnia obsługi protokołów dynamicznego routingu w firmware ASA. Oprogramowanie Fortinet Fortigate oferuje obsługę IPv6 w zakresie podobnym do Cisco, także z konfigurowaniem ograniczonym do interfejsu wierszy komend.

Secure Computing Sidewinder, SonicWall SonicOS, WatchGuard Firebox X Peak, IBM/ISS Proventia MX5010 i Astaro ASG podczas testów nie obsługiwały IPv6.

Spojrzenie na sprzętową architekturę UTM

Najczęściej dostawcy zapór wykorzystują zalety niedrogich, wysoko wydajnych CPU Intela, przeznaczonych dla uniwersalnych jednostek przetwarzania. Większość adaptacji w tych urządzeniach jest ukierunkowana na zwiększenie gęstości upakowania portów i usunięciu elementów zbędnych, takich jak karty graficzne.

Zacznijmy od opcji zasilania. Crossbeam C25, FortiGate 3600A, IBM System x3650, IBM/ISS Proventia MX5010 i Secure Computing Sidewinder 2150D wykorzystują dwa źródła zasilania - jako opcję lub część bazowej konfiguracji. Chociaż dwa zasilacze czynią system mniej efektywnym w zużyciu energii, to jednak chronią przed najbardziej powszechnym przestojem: przypadkowym wyjęciem niewłaściwej wtyczki.

To samo dotyczy gniazd. W większości tych urządzeń, dostarczanych z co najmniej czterema portami Gigabit Ethernet oraz obsługą VLAN, gniazda rozszerzenia mogą wydać się przesadą, ale dają wiele możliwości. Na przykład Juniper SSG-520 M pozwala na wybór spośród 16 różnych kart rozszerzeń, obejmujących interfejsy WAN i DSL.

CrossBeam i Nokia oferują karty Ethernet "odporne na uszkodzenia", które przenoszą ruch nawet w wypadku całkowitego uszkodzenia systemu. Dla normalnej zapory ogniowej takie obejście nie jest potrzebne, ale może być użyteczne we wdrożeniach IPS, gdy mechanizmy zapory są drugorzędne lub po prostu obsługują tylko szczegółową inspekcję.

Jedynym systemem niespełniającym podstawowych oczekiwań testujących co do elastyczności sprzętu była IBM/ISS Proventia MX5010, która nie obsługuje VLAN.

Rywalizacja na rynku sprzętu zapór ogniowych zmusiła dostawców oferujących drogie, specjalizowane urządzenia, do wycofania się z tej drogi - szybkie serwery z CPU Intela i jądro open source Linux upraszczają dodawanie do systemów niezależnych pakietów programowych, takich jak antywirus czy filtrowanie WWW.