Nie zaszkodzi też przyjrzeć się sposobowi zarządzania NGFW, zwłaszcza że jest to narzędzie łączące wiele funkcjonalności. Niektórzy producenci (np. Juniper, Palo Alto Networks) wykorzystują koncepcję stref podczas tworzenia reguł. Inni stosują podejście nieco bardziej tradycyjne, opierając się jedynie na źródle, celu, aplikacji i użytkowniku. To jednak nie koniec. Zarządzanie NGFW to, mimo wszystko, coś innego, niż gdyby zarządzać osobno zaporą i IPS-em. Dlatego ważne jest, by interfejs był na tyle intuicyjny, żeby łatwo pozwalał odnaleźć elementy odpowiedzialne za kontrolę ruchu, aplikacji, przypisania do użytkownika itp.

Te pytania to tylko początek. W trakcie rozpoznawania tematu NGFW pojawiają się kolejne, np. skoro w tych rozwiązaniach jest co najmniej kilka technologii, to który element jest najważniejszy? Dużo zależy od producenta. Przykładowo Sourcefire, producent IPS, mówi, że to właśnie ten moduł jest kluczowy - dodanie funkcjonalności firewalla to nic w porównaniu ze zrobieniem dobrego IPS-a. W podobnym kierunku podąża też Rick Moy z NSS Labs. Uważa, że w NGFW należy postawić na integrację z IPS-em w taki sposób, żeby informacje o ruchu aplikacyjnym pochodzące z firewalla były przekazywane do tego modułu. Dzięki temu IPS może skupić się na wykrywaniu ataków na konkretną aplikację i nie marnować zasobów na monitoring szerokiego spektrum ruchu. Jeżeli zatem zapora wykryje ruch ze Skype, to IPS powinien skoncentrować się na tej aplikacji. Łatwiej o taką integrację, jeżeli i jeden, i drugi moduł pochodzą od tego samego producenta.

Stąd wniosek, że do tematu budowy NGFW podchodzi się w dwojaki sposób. Albo adaptuje się posiadaną technologię (najczęściej IPS lub firewall) - obudowując ją dodatkowymi elementami, albo tworzy się coś od podstaw. Zarówno pierwsze, jak i drugie podejście mają wady i zalety. Jeżeli NGFW jest budowany od zera, to zawsze potrzeba czasu, aby osiągnął on odpowiedni poziom, ale cel od początku jest jasno wyznaczony. Z kolei dobudowywanie nowych funkcji do już istniejących ma tę wadę, że jeżeli na początku producent nie myślał o rozwoju w tym kierunku, technologia bazowa może go zbyt mocno ograniczać, uniemożliwiając szybkie zbudowanie dobrego NGFW.

Dobrze widać to na przykładzie rozwiązań Check Point i Palo Alto. W środowisku specjalistów ds. sieci krąży opinia, że prekursorem firewalli był ten pierwszy. Zaczęło się to tak dawno temu, że pierwsze wersje zapór ogniowych firma rozprowadzała na dyskietkach. Palo Alto (założona przez dawnych pracowników Check Point) to z kolei firma stosunkowo młoda, która uchodzi za głównego propagatora idei NGFW. Check Point, wyrastając z firewalli, musiał z biegiem czasu dobudowywać kolejne elementy. Palo Alto budowało od zera. Na pierwszy rzut oka różnicę widać w sposobie tworzenia reguł. W Palo Alto tworzy się je z jednego miejsca, bez względu na to, czy dotyczą ruchu aplikacyjnego, czy nie. Z kolei w Check Point Firewall używamy do tego celu osobnych zakładek - standardowe (nieaplikacyjne) reguły są w jednej zakładce, a kontrola aplikacji w innej. Które podejście jest lepsze? To zależy od indywidualnych preferencji, każde ma swoich zagorzałych fanów.