Kolejna kwestia to ruch szyfrowany. Coraz większa część ruchu, który przechodzi przez zaporę, jest przesyłana właśnie w takiej postaci. Dobre produkty potrafią sobie z tym radzić, ale nie wszystkie i nie tak samo dobrze. Można zatem zadać pytanie: jak NGFW radzi sobie z takimi przypadkami? Czy zawiera moduł deszyfrujący, a jeśli tak, to jaki ma to wpływ na wydajność?

Skoro mówimy o wielu funkcjonalnościach w jednym opakowaniu, to warto również zadać fundamentalne - z architektonicznego punktu widzenia - pytanie: jak wygląda ścieżka badania ruchu? Czy inspekcja przez wszystkie technologie odbywa się podczas "jednego przebiegu", czy też wymagane jest wielokrotne przejrzenie tego samego? Kolejna kwestia to miejsce tej inspekcji. Dobrze, jeżeli jest ona prowadzona na poziomie zapory, co daje niezbędny kontekst pozostałym elementom rozwiązania.

Zaznaczyliśmy, że w rozwiązaniach NGFW chodzi przede wszystkim o aplikacje. Aby móc je wykrywać, narzędzia muszą korzystać z jakiejś bazy wiedzy o nich. Niektórzy producenci tworzą własne sygnatury, inni podłączają się do bazy firmy trzecich, a jeszcze inni stosują swoje mechanizmy. Jedne rozwiązania rozpoznają kilkaset, inne kilka tysięcy aplikacji. Więcej nie zawsze jednak znaczy lepiej. Zapytajmy zatem, czy na liście znajdują się aplikacje, które są wykorzystywane w naszej firmie? A jeżeli nie, to jakie są możliwości ich dopisania oraz jaka jest polityka producenta w zakresie rozszerzania tej bazy? Tutaj przy okazji można sprawdzić, jakie techniki rozpoznawania aplikacji są stosowane.

NGFW powinny potrafić dekodować protokoły. Oznacza to, że oprócz wykrycia, że jest to komunikacja HTTP, musi wiedzieć, że "pod spodem" faktycznie działa dana aplikacja, a nie jest to przypadek tunelowania innego ruchu wewnątrz tego protokołu. Podczas rozpoznawania aplikacji stosowane są także sygnatury i heurystyka - trochę podobnie jak w przypadku wirusów. Dobrze jest też sprawdzić, jak wygląda integracja z IPS. Zdarzają się sytuacje, kiedy moduł jest nieco doklejony do reszty, przez co jego funkcjonalność jest mocno ograniczona.

Ponieważ NGFW to również wiązanie ruchu z użytkownikiem, sprawdźmy, jakie mamy tutaj możliwości, i czy aby na pewno da się podpiąć do naszego AD. Wreszcie, czy rozwiązanie pozwala wymusić na użytkowniku uwierzytelnianie przed zezwoleniem na ruch?