Na podstawie wskazówek dostawców ustawiano dwa profile IPS: "ochrona serwera" i "ochrona klienta". Każdy profil testowano, używając Mu-4000, obserwując procent ataków blokowanych przez IPS. Dla profilu klienta testowano ok. 400 ataków, dla serwera - ok. 500.

Testy antywirusowe

W testach antywirusowych koncentrowano się nie na tym, czy zapory przechwytują poszczególne wirusy, ale na zdolności blokowania wirusów w szerokim zakresie portów. Wybrano 15 najświeższych (w czasie trwania testów) wirusów i rozprzestrzeniano je używając czterech wektorów: poczty elektronicznej (SMTP), FTP, HTTP na porcie 80 i HTTP na porcie niestandardowym. Do transferu wirusów przez zaporę ogniową i rejestrowania wyników użyto klienta.

Najczęściej wirusy były całkowicie blokowane, ale w kilku przypadkach pliki przechodziły przez zaporę ogniową. Porównywano wtedy przetransmitowany plik z oryginalnym wirusem w celu rozpoznania czy został unieszkodliwiony przez zaporę UTM. Jeżeli tak, to w testach przyjmowano, że wirus został zablokowany.

Nie poczyniono żadnych ustaleń co do niestandardowych portów HTTP, zakładając, że testowe przedsiębiorstwo ma dość liberalne reguły dotyczące połączeń zewnętrznych. W rzeczywistości wiele firm nie ma tak szeroko otwartej polityki, jak ta stosowana podczas testów, i prawdopodobnie uzyskuje lepszy współczynnik przechwyconych wirusów niż ten osiągnięty podczas testów.

Testy wysokiej dostępności

Do testowania wysokiej dostępności wykorzystano wskazówki dostawców dotyczące ustawiania redundantnej pary urządzeń. Dla większości z nich testowano układ aktywny/pasywny, o ile dostawca specjalnie nie zaznaczył możliwości testowania układu aktywny/aktywny. W konfiguracji podwójnego urządzenia praktycznie powinno się używać układu aktywny/pasywny, aby zagwarantować w razie uszkodzenia systemu pełną obsługę dotychczasowego obciążenia.

Chociaż istnieje wiele różnych scenariuszy testowania wysokiej dostępności, ograniczono się do najprostszego i najbardziej powszechnego: nagły zanik zasilania. W celu oceny akcji odtwarzania w czasie takiego zdarzenia, klaster dwóch urządzeń poddano obciążeniu, używając konfiguracji Avalanche/Reflector, i następnie mierzono, ile czasu potrzebuje drugie urządzenie, aby podjąć pracę i powrócić do pełnej wydajności. Liczono także, ile sesji utracono podczas takiej akcji, co jest wskaźnikiem niekompletności wymiany stanów pomiędzy urządzeniami. Statystyki Avalanche/Reflector są przedstawiane w interwałach czterosekundowych, tak więc dokładność pomiaru to +/-4 s.

Testowanie dynamicznego routingu

W testowaniu dynamicznego routingu skupiano się na OSPF (Open Shortest Path First), najpopularniejszym protokole routingu wewnątrz sieci przedsiębiorstwa. Ustawiono konfigurację, w której zapora UTM uczyła się domyślnej trasy z dwóch różnych routerów Cisco IOS, symulując środowisko, gdzie dwa routery mają oddzielne połączenia z internetem. Przerywano sesję OSPF na jednym z urządzeń IOS i sprawdzano (poprzez uruchomienie ciągłych pingów przez testowany UTM), czy zapora uzyska tę trasę z drugiego urządzenia IOS. Ponieważ OSPF nie był dostrojony na wysoki poziom reakcji na przestoje, założono, że 30 s na odzyskanie komunikacji to wynik akceptowalny.

Testowanie IPv6

W zakresie IPv6 nie przeprowadzono specyficznych testów. Zamiast tego do oceny poziomu obsługi IPv6 w każdym produkcie wykorzystano dokumentacje i GUI produktów. W niektórych wypadkach proszono dostawcę o dostarczenie dodatkowych informacji nt. obsługi IPv6.

Ocena sprzętu

Przy ocenie sprzętu przyglądano się sprzętowi zapewnianemu przez dostawcę, wraz z zintegrowanymi urządzeniami używanymi podczas testów. W testach poboru mocy używano standardowych urządzeń pomiarowych. Pomiary przeprowadzono przy pracy urządzenia bez obciążenia przez 30 min oraz podczas obciążających testów wydajności.

Testy funkcji zarządzania

Bez dobrych narzędzi zarządzania testowane zapory ogniowe UTM klasy przedsiębiorstwa nie mogą być niczym więcej niż tylko drogimi "przepychaczami pakietów". Zarządzanie zaporą ogniową jest jednym z głównych czynników różnicujących te produkty.

UTM dokłada dodatkowy poziom utrudnień do już i tak niełatwego obszaru zarządzania zaporą ogniową. Dobitnym przykładem jest tu Check Point, chwalona za osiągnięcia w zarządzaniu zaporą ogniową, a w znacznym stopniu niwelująca tę opinię, gdy w grę wchodzą mechanizmy UTM. Mechanizmy IPS i antywirusowe Check Point nie wykazują tak dużej precyzji i zakresu sterowania, jak te do sterowania politykami zapory ogniowej, VPN i NAT. Zresztą jest to jedna z tych rzeczy, która łączy wszystkie platformy.

Ogólne zarządzanie polityką bezpieczeństwa oferowane przez Cisco Security Manager (CSM) jest przyjazne dla administratora, a narzędzia zarządzania VPN są sprawne. Reguły polityki mogą być definiowane np. w sposób hierarchiczny, a zapory - włączane do zasad polityki na różnych poziomach, upraszczając ogólną konfigurację i jednocześnie dopuszczając dostosowywanie indywidualnych urządzeń.

Spora część struktury CSM wywodzi się z właściwej zapory ogniowej, tak więc znajomość starszych zapór ogniowych Cisco ASA i PIX pozwala na szybkie opanowanie CSM.