Chociaż żadna zapora ogniowa nie może zapobiec wszystkim atakom typu denial-of-service, to dostawcy zapór starają się wbudować do nich tak dużo odporności na tego typu ataki, jak jest to tylko możliwe. Zapobieganie prostym atakom, takim jak wyprzedzanie numeru sekwencyjnego i fałszywy pakiet IP, jest od lat częścią wyposażenia zapór. Bardziej skomplikowane ataki - np. zalew pakietów SYN, który może zablokować ruch usług webowych i poczty elektronicznej - wymagają bardziej wymyślnych metod wykrywania i zapobiegania.

Oznacza to także, że dostawcy zapór muszą częściej wypuszczać nowe wersje, oczekują jednocześnie, że ich odbiorcy je zainstalują. Z kolei częste uaktualnianie powoduje zapotrzebowanie na produkty, które mogą być łatwo konfigurowane i uaktualniane - bez potrzeby przechodzenia specjalnych szkoleń.

<b class=subtit>Kolejna generacja

Wybór odpowiedniej zapory nie oznacza już dzisiaj konieczności oceny tuzinów różnie wyglądających produktów. Dostawcy „przykroili” swoje produkty do spełniania specyficznych potrzeb. Przez właściwą identyfikację wymaganych mechanizmów można łatwo ograniczyć zbiór pożądanych produktów.

O ile najprostsze produkty ukierunkowują się na potrzeby mniejszych sieci, o tyle bardziej zaawansowane zapory koncentrują się na specyficznych obszarach, takich jak proxy usług webowych, poświęcając funkcje nie pojawiające się w głównym nurcie zainteresowań użytkowników. Niektóre mechanizmy są dostępne tylko w starszych, dojrzałych produktach. Ale te starsze zapory ogniowe niosą ze sobą duży bagaż kodu i w związku z tym nie są zbyt podatne na wprowadzanie obsługi nowych funkcji. Może to stawiać kupujących przed dylematem, który z dwóch produktów mają wybrać: produkt z nowymi mechanizmami i łatwym interfejsem konfiguracyjnym czy produkt bogaty w funkcje, ale za to trudniejszy w konfigurowaniu, nie ułatwiający życia administratorowi.

Chociaż ciągła obecność na rynku starych liderów zapór ogniowych, takich jak Check Point i Axent, nie ułatwia życia nowym dostawcom, to jednak do gry wchodzą coraz to nowi uczestnicy. Rynek ignorowany przez liderów, taki jak mały biznes, oraz intensywny rozwój Internetu powinny sprawić, że zapory ogniowe nadal będą rozwijającym się biznesem.

<b class=subtit>Przegląd zapór ogniowych

Wśród sześciu prezentowanych produktów większość jest znana na rynku od kilku lat. Wytrawne zapory ogniowe swoją markę opierają na finezyjnie dostrojonych mechanizmach ochronnych i całym szeregu wbudowanych funkcji proxy. Nowi dostawcy oferują przeważnie węższy zestaw mechanizmów, ale za to godne do pozazdroszczenia, łatwe w użyciu narzędzia zarządzania.

Raptor Firewall 6.0 firmy Axent Technologies ma już ustaloną reputację na rynku zapór ogniowych. Architektura Raptora nie jest szczególnie wymyślna: stosuje on proxy poziomu aplikacji, pewne opcje filtrowania pakietów i graficzny interfejs zarządzania. Jest to firewall o bardzo dużych możliwościach, przeznaczona dla dużych, rozbudowanych sieci. Jako przykład można podać implementację podwójnych serwerów DNS - jest to jeden z tych obszarów, w którym dostawcy zapór ogniowych nie wykazują się wielką oryginalnością. Jednak eksperci ochrony uważają za niezwykle ważne, aby publiczna informacja DNS była odseparowana od prywatnej. Dostawcy zapór ogniowych wymyślają na ogół rozmaite, niezbyt jasne i trudne w obsłudze rozwiązania konfiguracyjne z tym związane. Natomiast Raptor umożliwia tworzenie podwójnych serwerów DNS dla sieci średnich wielkości w sposób bardzo prosty, wymagający jedynie kilku kliknięć i wypełnienia kilku pól.

SonicWall Pro 3.3.1 firmy Sonic Systems jest dedykowanym urządzeniem, stosującym technikę filtrowania pakietów, uwzględniającą dynamikę stanów połączenia sesyjnego (stateful packet filtering). Jest to pakiet dobrze przystosowany do środowisk wydziałowych przedsiębiorstwa - mały i łatwy w konfigurowaniu (za pośrednictwem przeglądarki webowej). Zamiast tracić czas i energię na budowanie dużej liczby proxy z niewielką wartością dodaną, Sonic skoncentrowała się na jak największej funkcjonalności w kilku proxy przeznaczonych przede wszystkim do przeglądania Weba przez HTTP. Ponadto przyjęcie rozwiązania w postaci dedykowanego sprzętu znakomicie wpływa na wzrost wydajności. Z drugiej jednak strony produkt stwarza ograniczoną możliwość ustanawiania reguł ochrony i tym samym realizacji przyjętych zasad polityki bezpieczeństwa. Między innymi nie pozwala na ścisłe sterowanie dostępem użytkowników zewnętrznych do usług LAN, a w związku z tym dostęp użytkownika Internetu oznacza praktycznie dopuszczenie go do całej sieci LAN.