Ogólnie Barracuda ma najniższe notowania w zakresie identyfikowania aplikacji, ponieważ nie ma możliwości zastosowania wszystkich aplikacji, które testowano. Nie ma np. sygnatur do takich aplikacji, jak: Lotus Notes, Outlook Web Access czy SharePoint.

Niektóre kategorie aplikacji dostępne w NG nie mają większego sensu. Przykładowo, aby zablokować serwis YouTube, trzeba blokować "social networking", co oczywiście działa, ale blokuje znacznie więcej niż tylko YouTube. A nawet wtedy, gdy dana kategoria zostanie pomyślnie zidentyfikowana, NG Firewall nie zawsze blokuje ją skutecznie.

Dodatkowe mechanizmy

Wymagania dotyczące zapór nowej generacji mogą koncentrować się głównie na identyfikowaniu aplikacji, ale są przecież inne metody klasyfikowania i kontroli ruchu wspomagające administratorów sieci. Wszystkie cztery produkty pozwalały np. na dodawanie do polityk informacji o użytkownikach i grupach.

Interesowaliśmy się też politykami opartymi na reputacji, częstotliwości i lokalizacji geograficznej. Administrator może zechcieć blokować ruch jakiejś aplikacji (np. FTP) do lub z określonych obszarów geograficznych (choć wtedy musi zaufać bazom GeoIP, nie do końca wiarygodnym).

Fortinet FortiGate pozwala na pisanie reguł, które odnoszą się do położenia geograficznego, zamiast do adresu IP. Często jednak mechanizmy te nie były zintegrowane z bazą reguł zapory. Check Point i SonicWall umożliwiają administratorowi sieci kontrolę ruchu w oparciu zarówno o reputację IP, jak i lokalizację geograficzną, ale mechanizm ten nie jest w pełni zintegrowany z bazą reguł zapory. FortiGate ma dość sprawny mechanizm polityki oparty na częstotliwości, zaprojektowany do odpierania ataków DoS, ale też nie jest on zintegrowany z bazą reguł.

Nadal trwają dyskusje, jak reguły kontroli aplikacji mają być integrowane w zaporach nowej generacji. Część specjalistów uważa, że powinny być one umieszczane bezpośrednio w bazie reguł zapory, tworząc pojedynczą, zunifikowaną politykę, która odnosi się od razu do adresów IP i portów oraz użytkowników i aplikacji. Z kolei inna grupa ekspertów sugeruje przeniesienie kontroli aplikacji do oddzielnej bazy reguł.

W testowanych produktach można znaleźć cztery próby rozwiązania tego problemu. Wszystkie cztery pozostawiają kontrolę opartą na użytkowniku (grupach użytkowników) w głównej bazie reguł. Od tego rozwiązania można jednak znaleźć wiele odstępstw.

Fortinet integruje wszystko w pojedynczej bazie reguł, która okazuje się najłatwiejsza w zarządzaniu i najbardziej intuicyjna z punktu widzenia podstawowego bezpieczeństwa. Podejście to jest też potencjalnie najskuteczniejsze, ponieważ pozwala na przepływ ruchu jedynie wtedy, gdy zgodne z regułami są wszystkie jego atrybuty, a także pozwala na przeplatanie reguł kontroli aplikacji z regułami nie na poziomie aplikacyjnym.

Check Point i SonicWall oddzieliły reguły aplikacyjne od standardowych reguł zapory, co oznacza, że ruch musi najpierw przejść przez reguły zapory i jeśli zostanie dopuszczony, to do gry wejdzie reguła aplikacyjna. W modelu Check Point reguły aplikacyjne i filtrowania URL są zintegrowane w pojedynczej bazie reguł, SonicWall natomiast ma niezależny moduł zapory aplikacyjnej.

Barracuda NG Firewall umieszcza oddzielny zbiór reguł aplikacyjnych w swoim oprogramowaniu proxy HTTP i HTTPS. Jest to rozwiązanie problematyczne, nie tylko z powodu konieczności definiowania zdublowanych polityk, ale także metody tworzenia definicji, uniemożliwiającej mieszanie "pass" i "block", co poważnie ogranicza elastyczność silnika. Firma ma to poprawić w kolejnym wydaniu zapory.