Konstruktorzy Check Point i SonicWall bronią swoich wyborów, wskazując na problemy zapór aplikacyjnych: nie można dokładnie zidentyfikować aplikacji bez uprzedniego dopuszczenia pewnego ruchu przez zaporę, w tym takiego, który administrator sieci może uznać za niepożądany. Przykład: w polityce korporacyjnej określono: "wychodzący ruch SMTP dopuszczony jest tylko na porcie 25". W tym wypadku oznacza to konieczność napisania dwóch reguł: jednej dopuszczającej SMTP na porcie 25 i innej blokującej ruch SMTP na wszystkich innych portach. Następnie możemy dodać kolejne reguły, takie np. jak dopuszczenie ruchu wychodzącego HTTP i IM na wielu portach. Zapora musi wtedy dla całego ruchu wychodzącego poza portem 25 zezwolić na nawiązanie połączenia i przepuścić dostatecznie długi strumień, aby rozstrzygnąć, czy nie jest to ruch SMTP (a jeśli jest, to go zablokować). Inżynierowie dostawców byli podczas testów zgodni, że może to łatwo doprowadzić do niezamierzonych konsekwencji i niezabezpieczonych konfiguracji.

Jest to jedna z tych dziedzin, w których dostawcy NGFW ciągle jeszcze poszukują dobrych rozwiązań. Zdaniem testujących, na dobrej drodze jest Fortinet, ale ponieważ jest to wciąż temat do dyskusji, nie uwzględniliśmy tego aspektu w ocenie końcowej.

Akcje uzupełniające

Ostatnim zakresem funkcjonalności, który poddano ocenie były opcje podejmowanych akcji. W testach sprawdzano, jak zapory blokują ruch. W przypadku aplikacji internetowych, administrator może chcieć przechwytywać żądanie i wyświetlać użytkownikowi w przeglądarce stronę objaśniającą, że polityka bezpieczeństwa firmy zakazuje tego działania.

Check Point Security Gateway, który integruje filtrowanie URL z identyfikacją aplikacji, jest jedynym produktem oferującym taki mechanizm. I idzie on jeszcze dalej: pozwala, żeby reguły identyfikacji aplikacji zawierały akcje wyświetlania komunikatu "strona zablokowana", oferując kolejne działanie - aby użytkownik kliknął na nim, potwierdzając otrzymanie ostrzeżenia.

Znaleźliśmy też inne opcje. I tak np. SonicWall i Fortinet pozwalają stosować w regułach aplikacyjnych ustawienia QoS, takie jak ograniczenie ruchu (np. w przypadku marnotrawienia pasma) lub kwarantanna ruchu ( w przypadku VoIP lub wideokonferencji). Obie firmy umożliwiają działanie "log packets" i zachowanie transakcji do późniejszej analizy.

Jeżeli chodzi o identyfikowanie i blokowanie aplikacji, to najlepiej oczekiwania testujących spełniłby hipotetyczny produkt, będący połączeniem elementów dwóch testowanych rozwiązań: silnika SonicWall Sonic OS konfigurowanego przez system zarządzania Check Point Security Gateway. Z braku takiego rozwiązania należy uznać, że zadanie identyfikacji i kontroli aplikacji najlepiej realizuje SonicWall, choć miejsce do ulepszania jest we wszystkich testowanych urządzeniach.

(Oprac. JM)