W pewnych wypadkach jest to dobre, w innych jednak nie, ponieważ przeniesione zostały niektóre niedoskonałości struktury starszego kodu PIX, np. zarządzanie NAT. Jest ono wyłączone z reguły polityki zapory ogniowej i sprawia duże kłopoty przy definiowaniu.

Firma zapomniała też o mechanizmach centralnego zarządzania. CSM nie może np. pokazywać wydajności, błędów i informacji o stanach. Do tego służy narzędzie zarządzania uruchamiane w samym urządzeniu, udostępniające wyczerpujące informacje o jego stanie. Jednak informacje te odnoszą się tylko do jednej zapory w danym czasie.

W rezultacie są dwa narzędzia zarządzania obsługujące tę samą zaporę ogniową, co podnosi poziom potencjalnych konfliktów przy uaktualnianiu polityk. Do zarządzania polityką nie można także dołączyć analiz IPS, wymagają one oddzielnej aplikacji i osobno kupowanego urządzenia - Monitoring, Analysis and Response System.

System zarządzania Juniper - NetScreen Security Manager (NSM) - jest narzędziem używanym do sterowania zaporami ogniowymi, które firma uzyskała przejmując NetScreen trzy lata temu, i które od tego czasu zostało udoskonalone. NSM jest pojedynczą aplikacją, łączącą zarządzanie zaporą ogniową i IPS, działania śledcze, monitorowanie i alarmowanie, ze wszystkimi mechanizmami NAT I UTM, które dotyczą danej polityki. Takie połączenia, oprócz innych aspektów polityki, ułatwiają zrozumienie tego co wykonuje zapora ogniowa i dlaczego.

Problemy z NSM, takie jak brak narzędzi śledczych dla IPS i możliwości tworzenia polityk obejmujących wiele stref, są oczywiste dla tych, którzy budują i zarządzają rozległymi politykami z mechanizmami UTM. Jednak te niedostatki nie zagroziły czołowej pozycji NSM na liście rozwiązań zarządzania zaporami UTM klasy przedsiębiorstwa.

Scentralizowane narzędzia zarządzania dla platformy SonicWall spełniają podstawowe wymagania, jednak najbardziej interesujące ulepszenia dotyczą zarządzania zaporą ogniową. Można tu znaleźć wiele interesujących "pokręteł" sterujących zaporą SonicWall Pro 5060, które są oczywistym rezultatem skupienia się na rynku SMB. Jednak wiele z tych funkcji dobrze przekłada się na duży rozmiar przedsiębiorstwa.

Na przykład SonicWall Pro 5060 ma mechanizm SSL Control, który pozwala na wymuszanie niektórych polityk SSL, takich jak blokowanie certyfikatów podpisanych przez nieznane urzędy certyfikacji lub wygasłe certyfikaty - narzędzie bardzo przydatne w walce z phishingiem. Pro 5060 ma także oddzielnie licencjonowaną zaporę ogniową poziomu aplikacyjnego, która może być używana do inspekcji protokołów HTTP, SMTP i FTP.

WatchGuard również ulepszyła swoje narzędzia zarządzania, ale nie zdołała zbudować pojedynczej aplikacji kierującej wszystkimi mechanizmami UTM. Do kontroli i obserwacji testowanego rozwiązania Firebox Peack używano więc sześciu aplikacji, z nakładającymi się w pewnych fragmentach i często różniącymi się w stylu interfejsami GUI. Zarządzanie Check Point także wykorzystuje wiele aplikacji, ale są one dobrze zintegrowane i spójne, tak więc nie czuje się większej różnicy w posługiwaniu się nimi. W wypadku WatchGuard tak nie jest. Istnieje tu wiele zakamarków, do których trzeba dotrzeć, aby produkt mógł zrobić to, co się od niego wymaga.

Zarządzanie zupełnie nieodpowiednie dla UTM klasy przedsiębiorstwa reprezentuje IBM Internet Security System SiteProtector, urządzenie zarządzające do produktów IBM/ISS - od IPS/IDS po narzędzia ochrony desktopa i zapory UTM dla przedsiębiorstw. Oryginalne urządzenie Proventia Multi-Function Security było dla ISS (przed wchłonięciem firmy przez IBM) sposobem na osiąganie funkcjonalności IPS dla oddziałów zamiejscowych. Jednak typowe potrzeby tych oddziałów to dwie - trzy strefy, dwie - trzy reguły polityki i sposób budowania tunelu z "kwaterą główną".

Proventia MX5010 ma takie mechanizmy, ale nic ponadto. SiteProtector posługuje się terminologią mało zrozumiałą (np. zapory ogniowe są nazywane "agentami") i ma system zarządzania polityką przeznaczony dla zapór oddziałowych, a nie dla zapór przedsiębiorstwa. Włączenie wysokiej dostępności wymaga np. dodania zestawu reguł pozwalających na porozumiewanie się urządzeń. Nawet specjalny kreator ISS nie uwzględniał takich szczegółów. Podobny problem napotkano przy włączaniu dynamicznego routingu, który wymaga dodawania specyficznych reguł zapory ogniowej pozwalających na przesyłanie uaktualnień OSPF przez zaporę ogniową.

Secure Computing przekazał do testów produkt w niewłaściwym momencie jego cyklu rozwoju. Linia zapór Sidewinder nigdy nie miała prawdziwego centralnego zarządzania. Kiedy firma zakupiła Cyberguard, dostawcę zapór ogniowych proxy klasy przedsiębiorstwa, jednym z nabytków były scentralizowane narzędzia zarządzania. Niestety, chociaż firma udostępniła wersję 7 Sidewinder, nowe narzędzia zarządzania nie były jeszcze gotowe. Sam model zarządzania zaporą ogniowa jest elegancki. Sidewinder jest zaporą ogniową opartą na strefach i specjaliści ds. bezpieczeństwa mogą uważać narzędzia oferowane przez Secure Computing za atrakcyjne. Natomiast administratorzy sieci prawdopodobnie nie podzielą tego zdania.

Konieczność posługiwania się wierszami komend jest jeszcze bardziej dokuczliwa w wypadku Fortinet FortiGate 3600A. Podczas testów nie było możliwości zarządzania zaporą Fortigate jako urządzeniem UTM w przedsiębiorstwie bez korzystania z CLI. Wiele mechanizmów potrzebnych podczas testowania jest dostępnych wyłącznie na tym poziomie. (Fortinet ma scentralizowane narzędzie zarządzania - FortiManager, ale nie dostarczył go do testów) Interfejs wierszy komend pozostawia dużo wątpliwości co do stanu polityk, bieżącej aktywności zapory i dostępnych mechanizmów, a dokumentacja liczy 2000 stron!

Zarządzanie Astaro Internet Security także wymaga czasu i umiejętności. Korzystając z przeglądarkowego interfejsu graficznego (firma nie dostarczyła do testów scentralizowanych narzędzi zarządzania), można się zorientować, że w tym produkcie wymieszano mnóstwo interesujących mechanizmów opartych na rozwiązaniach open source. Jednak nie udało się zintegrować zarządzania tymi mechanizmami. Na przykład dopuszczenie ruchu HTTP przez zaporę ogniową wymaga wejścia na jedną z części GUI i ustawienia reguł filtra pakietów pozwalających na przepuszczenie ruchu HTTP. Jeżeli następnie chce się skanować ten ruch pod kątem wirusów, to trzeba udać się do innej części GUI i włączyć proxy HTTP - wycofując reguły filtra pakietów i konfigurując skanowanie antywirusowe na proxy. Generalnie Astaro nie jest przygotowana jeszcze na wejście do dużego przedsiębiorstwa.