Conclave 2 firmy Internet Dynamics oferuje ciekawą architekturę, pozwalającą na zarządzanie regułami polityki ochrony z jednego miejsca i rozsyłanie ich do filtrów dostępowych w dowolnym miejscu sieci. Zarządzający polityką ochrony operuje ze stanowiska z graficznym interfejsem użytkownika, dysponując narzędziami administracyjnymi, takim jak generator raportów. Filtry dostępu są bramami umiejscowionymi pomiędzy zasobami sieci i resztą świata. Teoretycznie filtry dostępu nie muszą być zapewniane przez Internet Dynamics - można sobie wyobrazić dowolny router IP zapewniający usługę filtrowania dostępu - także projektant produktu może dołożyć kod do serwera bazy danych lub serwera poczty elektronicznej. O ile jednak wyrażenie złożonych reguł ochrony jest w Conclave łatwe, o tyle zapora ogniowa odpowiedzialna za stosowanie (implementacje) tych reguł nie jest już zbyt wymyślna. Dla przykładu: jednym z bardziej podstawowych mechanizmów proxy FTP jest zdolność kontrolowania sprowadzania lub wysyłania plików; mechanizm ten jest nieobecny w Conclave.

Sidewinder Security Server 4.1 firmy Secure Computing wyraźnie zdradza przynależność do starej szkoły. Firma dołączyła mechanizmy kontroli dostępu do platformy Unix opartej na Intelu. Otoczka jądra tego pakietu zawiera dobry zestaw reguł filtrowania pakietów i duży zestaw usług i proxy TCP/IP. Sidewinder jest jednym z niewielu produktów nadal zachęcających do uruchamiania usług na samej zaporze ogniowej, wykorzystując zalety silnego jądra pakietu. Sidewinder ujawnia swój wiek również w sposobie wsparcia proxy - trudno spotkać produkt zawierający proxy X.500, jak również tak olbrzymie możliwości jego konfigurowania, jakimi dysponuje Sidewinder. Chociaż Sidewinder wykazuje się wysoką wydajnością, dwukrotnie wyższą od konkurentów, nie jest jednak zaporą ogniową dla początkujących. Jest to zmutowany system operacyjny Unix z interfejsem GUI (Graphical User Interface), a jak powszechnie wiadomo, nie jest łatwo zarządzać Unixem.

Gauntlet Firewall 5.0 firmy Network Associates jest potomkiem w linii prostej jednej z najstarszych zapór ogniowych - bezpłatnego zestawu narzędzi firmy Trusted Information Systems. Gauntlet oferuje filtrowanie pakietów i rozbudowane proxy. Z pełnym proxy HTTP ( zawierającym obsługę filtracji Cyber Patrol URL) Gauntlet może obsługiwać większość prostych konfiguracji. Gauntlet składa się z wielu elementów spiętych interfejsem graficznym użytkownika. Na uwagę zasługują narzędzia raportowania logów. Jest on jednak dość mało wydajny - najwolniejszy z prezentowanej szóstki, a graficzny interfejs użytkownika nie pozwala na uzyskanie czytelnego obrazu konfiguracji.

eNetwork Firewall 3.3 firmy IBM, podobnie jak Sidewinder, wywodzi się z wczesnej generacji zapór ogniowych. IBM niewiele udoskonalił tę zaporę, poza dodaniem GUI i wydaniem wersji na platformę NT. IBM jest jednym z niewielu dostawców zapór ogniowych nadal obsługujących protokół SOCKS dla buforowania przejść użytkowników przez zaporę. W swoim wnętrzu eNetwork Firewall zawiera kilka proxy połączonych z filtrowaniem pakietów, chociaż załączone proxy nie są zbyt „inteligentne”. Niewątpliwym atutem IBM jest motywowanie niezależnych dostawców do integrowania ich produktów z produktem IBM. eNetwork Firewall jest dostarczany na jednym CD-ROM, ale od dostawców niezależnych można otrzymać wiele krążków zawierających dodatkowe opcje, nieobecne w pakiecie IBM, takie jak: filtrowanie HTTP oraz zarządzanie i skanowanie antywirusowe.

W swym produkcie IBM traktuje uwierzytelnianie użytkownika niezwykle poważnie, dostarczając kopię ACE/ Server z Security Dynamics i parę układowych kart uwierzytelniających. Nie jest to wystarczające dla pełnego wdrożenia systemu uwierzytelniania, ale jest krokiem zachęcającym do tego.

<b class=subtit>Sprawa podstawowa: bezpieczeństwo#

W pierwszej kolejności należy ocenić mechanizmy ochrony zawarte w zaporach ogniowych. Są takie mechanizmy, które powinny znajdować się w każdej zaporze: proxy do kontroli niektórych aplikacji, filtrowanie pakietów (z uwagi na szybkość działania lub w przypadkach, gdy proxy nie są potrzebne), podwieszenia do systemów uwierzytelniania użytkowników, translacja adresów sieciowych - NET (Network Address Translation), oprogramowanie dla VPN przez IP Security - jeżeli jest możliwe, oraz niektóre sposoby obsługi trudnych protokołów - takich jak DNS.

DNS jest rzeczą kłopotliwą dla wielu produktów. Pomysł IBM, aby obsługiwać DNS na trzech oddzielnych serwerach, wymaga wiedzy specjalistycznej o DNS i jest zależny od serwera DNS (opartego na BIND Microsoftu) pracującego na zaporze ogniowej, co pociąga za sobą wszystkie znane problemy związane ze starszymi wersjami BIND.