Testy używały tych samych 100 reguł, o których wspomniano wcześniej (były to typowe mechanizmy zwiększające bezpieczeństwo pracy chronionego systemu informatycznego). Wynik końcowy uwzględniał wszystkie typy obciążeń: niskie, średnie i wysokie. Jeśli dane musiały być retransmitowane, wynik w odpowiedni sposób obniżano.

Te zapory, którym jest wszystko jedno, jaką liczbę połączeń muszą obsłużyć, pracują z taką samą wydajnością po uruchomieniu testów symulujących różne obciążenia. Do tej kategorii zaliczają się zapory oferowane przez firmy Cisco, CyberGuard, NetScreen, Enternet i Network-1, chociaż przepływność ogólna tej ostatniej zapory jest bardzo mała. Biorą pod uwagę przepływność ogólną, najlepsze wyniki uzyskały produkty firm Nokia, NetScreen, Check Point i Cisco (patrz rys. 3).

Inne zapory nie pracują już tak elastycznie - przy obciążeniu niskim uzyskują niezłą wydajność, ale nie potrafią pracować równie wydajnie po uruchomieniu testu symulującego obciążenie wysokie. Przy obciążeniu niskim najlepszym wynikiem może się pochwalić produkt firmy Secure Computing (SideWinder). Po zwiększeniu obciążenia wydajność tej zapory wyraźnie jednak spada. Podobnie zachowuje się zapora firmy Novell.

Najlepsza zapora

Przy wyborze zapory nie należy się kierować wyłącznie przepływnością pierwotną urządzenia. Liczą się też takie cechy jak łatwość zarządzania, elastyczność pracy i dokumentacja.

Jednak wydajność zapory jest bardzo ważna i - co ciekawe - zależy niejednokrotnie od tego, jakie środowisko będzie musiała obsługiwać. Przeglądając wyniki testów i konfrontując je ze środowiskiem, w którym zapora ma być zainstalowana, można zadecydować, które urządzenie będzie się w nim sprawować najlepiej. Jeśli zamierzamy chronić sieć budynku pełnego komputerów PC, zapora firmy Check Point (Firewall-1) powinna się znaleźć na czołowym miejscu, a zaporę firmy TopLayer (AppSwitch 3500) należałoby raczej wykluczyć (słabe wyniki przy obsłudze dużej liczby użytkowników). Jeśli jednak chcemy chronić większą liczbę serwerów webowych, zapory te można zamienić miejscami (zapora TopLayer obsługuje bardzo dużą liczbę połączeń TCP i oferuje doskonałą przepływność pierwotną). Dużym zainteresowaniem administratorów będą się zapewne cieszyć produkty trzech firm: Cisco, CyberGuard i NetScreen.

Zapory - fakty i mity

Czasami można odnieść wrażenie, że kupowanie zapory jest równie ekscytujące co kupowanie sprzętu stereo. Podobnie jak sprzedawca sprzętu HiFi stara się przekonać nas każdym dodatkowym decybelem wydobywającym się z głośników, dostawca zapory zachwala ją na wszelkie możliwe sposoby, dowodząc, że inne produkty nie oferują jakiegoś tam rozwiązania. Powstaje przy tym wiele mitów, które należałoby obalić i oprzeć się tylko na faktach.

Mit: Rozwiązania, które są oparte na dedykowanej warstwie sprzętowej, pracują najwydajniej.

Chociaż pierwsze miejsca we wszystkich testach zajęły zapory oparte na dedykowanych rozwiązaniach sprzętowych, wiele rozwiązań, wykorzystujących standardowe komputery pracujące pod ogólnie używanymi systemami operacyjnymi, uzyskało całkiem zadowalające wyniki. Na przykład zapory firm CyberGuard (KnightStar) i Secure Computing (SideWinder) uzyskały po uruchomieniu testu mierzącego przepływność pierwotną lepsze wyniki niż takie sprzętowe produkty jak Firebox II (WatchGuard) i SonicWall Pro VX (SonicWall).

Fakt: System operacyjny Windows NT nie jest zbyt dobrą platformą do instalowania zapory (pracuje za wolno).

Wiele zapór (w tym eTrust, CyberwallPlus i Raptor) instalowano na wydajnym komputerze, dysponującym dwoma procesorami Pentium III 650 MHz, pracującym pod systemem operacyjnym Windows NT. Jednak rozwiązanie firmy SonicWall (dedykowany sprzęt, oparty na układzie scalonym StrongARM, pracującym z trzy razy mniejszą szybkością niż wspomniane procesory Intela) zajęło we wszystkich niemal testach wyższe miejsca niż zapory uruchamiane na komputerze Windows NT. Dlatego decydując się na rozwiązanie oparte na oprogramowaniu instalowanym na komputerze pracującym pod systemem operacyjnym Windows, proszę pamiętać, że wydajność programów obsługujących protokół TCP/IP, towarzyszących temu systemowi, pozostawia wiele do życzenia.

Mit: Filtrowanie pakietów pracuje najszybciej.

Chociaż producenci zapór przyznają, że pełne serwery proxy pracują zbyt wolno, aby mogły obsługiwać z powodzeniem duże systemy informatyczne, to urządzenia dokonujące dogłębnej inspekcji pakietów (albo rozwiązania pośrednie, czyli w połowie serwer proxy, w połowie filtr pakietów) mogą z powodzeniem konkurować z czystym filtrowaniem pakietów.

Testy wykazały, że produkty oferowane przez Cisco, NetScreen i TopLayer (rozwiązania filtrujące i analizujące dogłębnie transmitowane pakiety) rywalizowały z powodzeniem z zaporą firmy CyberGuard, po skonfigurowaniu jej jako filtr pakietów.

Fakt: Zapora potrafi wykonywać jedne operacje lepiej, a inne gorzej.

Wiele zapór (na przykład Firewall-1 i WebShield) spisuje się bardzo dobrze, gdy chronią sieć przedsiębiorstwa przed światem zewnętrznym (pracują na styku Internet/sieć LAN), a uzyskują dużo gorsze wyniki po zainstalowaniu ich w innych środowiskach (gdy użyjemy ich np. do odseparowania od siebie dwóch sieci LAN). Administrator powinien więc dokładnie poznać swoje środowisko sieciowe, a dopiero potem przystąpić do wyboru odpowiedniej zapory.