Gauntlet nie jest dużo lepszy, ponieważ także wykorzystuje serwer DNS Microsoftu. Ale z drugiej strony Conclave i SonicWall Pro nie mają w ogóle serwera DNS, który mógłby pracować na zaporze ogniowej.

Podobnie różnią się możliwości poszczególnych proxy. Każdy z prezentowanych produktów zawiera proxy HTTP, ale tylko Gauntlet dysponuje proxy LDAP. Chociaż z drugiej strony proxy LDAP Gauntleta z powodzeniem można zastąpić filtrowaniem pakietów.

W samych proxy także są istotne różnice. Najważniejszym proxy dla większości organizacji jest proxy HTTP. Część dostawców preferuje kontrolowanie dostępu, inni skupiają się bardziej na wirusach. SonicWall Pro zawiera dobre wsparcie po stronie kontroli dostępu: można tu blokować moduły ActiveX, Javy i cookies, a ruch webowy NNTP, FTP i Gopher przepuszczać przez listy filtrowania zawartości. SonicWallPro pozwala także na filtrację okresową - w określonych porach dnia. Proxy HTTP zawarte w Conclave używa równie elastycznych opcji do blokowania ruchu, a ponadto ma wbudowany skaner wirusów dla ruchu HTTP.

Z drugiej strony proxy Sidewinder może wykonywać filtracje zawartości, ale z kolei nie może identyfikować takich składowych ruchu HTTP, jak ActiveX i niektóre rodzaje apletów Javy. IBM nawet nie pokusiła się o wprowadzenie zaawansowanych usług proxy HTTP - można stosować w tym przypadku produkty dostawców niezależnych, włączane do zapory ogniowej.

Tak jak w przypadku innych mechanizmów ochrony jedynie SonicWall Pro oferuje kontekstowe (kontekst stanu połączenia) filtrowanie pakietów (stateful packet filtering), a filtrowanie pakietów wyzwalane przez zdarzenia związane z audytem oprogramowania dopuszcza jedynie Sidewinder.

Interfejs IBM przeznaczony do projektowania filtrów pakietów nie jest zbyt wygodny i trzeba się mocno napracować nad budową specjalnych filtrów pakietowych tą metodą. Rozczarowujący jest nie tylko interfejs IBM, ale i oprogramowanie VPN Sonic Systems, ponieważ nie obsługuje protokołu IKE (Internet Key Exchange), co znacznie zwiększa obciążenie zarządzania, zmniejszając jednocześnie poziom bezpieczeństwa.

Większość z prezentowanych zapór ogniowych zawiera nie najlepsze proxy poczty elektronicznej, analizujące pocztę w sposób obniżający bezpieczeństwo, w zakresie statusu dostarczenia, rozszerzenia ESMTP, szyfrowania i uwierzytelniania. Sidewinder oferuje najsilniejsze proxy poczty elektronicznej, z wymyślnymi, szeroko zaprojektowanymi możliwościami filtrowania, ale ich implementacja też nie jest nadzwyczajna.

W tym układzie najbardziej wyczerpujące mechanizmy ochrony wydaje się zawierać rozwiązanie Raptor.

<b class=subtit>Konfigurowanie i zarządzanie

Słabą stroną zapór ogniowych były zawsze utility konfiguracyjne. Idealny interfejs zarządzania powinien umożliwiać przeciętnemu użytkownikowi budowanie prostych konfiguracji zapewniających realizację obowiązującej polityki ochrony.

Utility konfiguracyjne IBM jest nadmiernie skomplikowane. Nie jest łatwe sensowne nałożenie usług, reguł i połączeń w ogromnym oknie budowanym przez aplety Javy. Konfigurowanie eNetwork Firewall zabiera sporo czasu.

Konfigurowanie Gauntleta jest także niezbyt czytelne. Wykonanie każdego fragmentu konfiguracji nie nastręcza większych kłopotów, ale gdy chce się połączyć proxy, reguły, szablony adresów przeznaczenia i filtrowanie pakietów, uzyskanie pełnego obrazu całej konfiguracji może okazać się dość trudne.

Niektóre mechanizmy, takie jak zdalne zarządzanie, są dostępne we wszystkich prezentowanych produktach. Jednak oddzielne funkcje konfigurowania i zarządzania można znaleźć tylko w Conclave.

Zaawansowana funkcja umożliwiająca przydzielanie różnych zadań konfiguracyjnych do poszczególnych zarządców sieci jest dostępna w Conclave, Sidewinder i eNetwork Firewall. Chociaż w tym ostatnim jest jedynie wbudowana do GUI, a nie wymuszana przez samą zaporę ogniową.

Dobrym testem interfejsu konfiguracyjnego jest to, jaką trudność przedstawia zbudowanie konfiguracji nie chronionej. GUI Conclave i SonicWall Pro są najbardziej odporne na takie błędy, chociaż daleko im do wyrafinowania. Conclave oferuje pełny system zarządzania oparty na regułach, pozwalający na proste wykonywanie skomplikowanych czynności zarządzania. SonicWall Pro nie dysponuje tak silnym zarządzaniem jak Conclave, ale za to jego GUI jest prosty. Nie sposób co prawda wykonać na nim wszystkiego, ale to, co można, wykonuje się w sposób prosty, bez możliwości dokonania błędnej konfiguracji.

Natomiast zarówno eNetwork Firewall, jak i Raptor pozwalają na wykonanie konfiguracji zapory bez zabezpieczeń lub niesygnalizowanych przypadkowych przejść.

<b class=subtit>Raporty i alarmy

Po wykonaniu zabezpieczeń w dostępie do sieci trzeba sprawdzać, jak jest zaplanowana szczelność ochrony. Do tego celu niezbędne są narzędzia raportowania i alarmowania. Gauntlet zapewnia najbardziej użyteczne raporty. Równie niezły w tym zakresie jest Sidewinder.

Conclave i SonicWall Pro przygotowują raporty w formacie HTML, ale ich kompletność nie jest ani nadzwyczajna, ani zbyt elastyczna. eNetwork Firewall i Raptor mają zaniedbane raportowanie - sprowadza się ono do przenoszenia logów do bazy danych w celu wygenerowania z niej raportu. System prowadzenia dziennika zdarzeń IBM jest szczególnie niejasny w sytuacjach, gdy trzeba rozwiązać jakiś problem. Zakodowany komunikat o błędzie (np. ICA3015) niczego nie wyjaśni, jeżeli użytkownik nie dysponuje odpowiednim podręcznikiem, wolnym od błędów i braków.

Siostrzanymi elementami raportowania są alarmy, czyli zdolność do powiadamiania użytkownika o tym, że na zaporze ogniowej dzieje się coś niepokojącego. Najlepsze alarmy zawiera Raptor i eNetwork Firewall. Raptor oferuje niezwykłą elastyczność, chyba nawet na wyrost. Często zdarza się, że zapory ogniowe nie pozwalają na selektywne wyłączanie niektórych alarmów. W przypadku Raptora pozwalają.

Ogólnie można stwierdzić, że raportowanie i alarmy nie są najsilniejszą stroną zapór ogniowych i nie dorównują dojrzałością innym ich funkcjom. Chociaż dostawcy zapór ogniowych koncentrują się na ulepszaniu mechanizmów ochrony, to jednak wielu z nich nie poświęca należytej uwagi prowadzeniu dziennika zdarzeń, raportowaniu i alarmom. Trzeba przyznać co prawda, że lepsze raporty nie są tak istotną sprawą jak lepsze proxy SMTP, ale jest to kiepskie usprawiedliwienie dla weteranów zapór ogniowych, dysponujących wieloletnim doświadczeniem w ich budowaniu.

<b class=subtit>Wnioski#

Ogólnie można stwierdzić, że Raptor wykazuje pewną przewagę nad eNetwork Firewall i Gauntletem w dziedzinie dużych sieci. Sidewinder jest poza konkurencją z uwagi na niezwykłą wydajność. W przypadku szybkich łączy wydaje się, że lepiej będą się spisywać zapory oparte na Unixie, takie jak Sidewinder (Raptor, eNetwork FireWall i Gauntlet są dostępne na platformach Unix i NT). Sidewinder pozwala także na uruchamianie usług na zaporze ogniowej, co jednak nie zawsze jest polecane.

Dla sieci wydziałowych można polecić SonicWall Pro, za czym przemawiają: niska cena, dobre proxy HTTP i łatwy w użyciu GUI. Prosty interfejs konfiguracyjny SonicWall Pro ułatwia proces konfigurowania, czyniąc go szybkim i co ważniejsze - odpornym na błędy konfiguracyjne; wyraźnie odróżnia go to od innych.

Conclave jest produktem, któremu warto przyjrzeć się bliżej. Produkt ten ma pewne cenne zalety (np. żaden z pozostałych nie pozwala na zarządzanie wieloma systemami zapór jako całością). Jednak trzeba przyznać, że dzieli go jeszcze pewien dystans od innych dostawców.