Pojęcia "zapora ogniowa" i "wysoka wydajność" raczej rzadko występują obok siebie w jednym zdaniu. Biorąc jednak pod uwagę fakt, że łącza sprzęgające sieć LAN z Internetem muszą oferować coraz większe przepustowości, dla wielu administratorów to właśnie wydajność jest jedną z najważniejszych cech zapory.

Amerykańskie firmy Opus One i Spirent Communications (partnerzy IDG) opracowały testy porównawcze, które zmierzyły wydajność dostępnych na rynku zapór. Testy mierzyły wydajność każdej zapory, symulując różne sytuacje i rodzaje ruchu pakietów. Testowaniu poddano zapory produkowane przez szesnaście czołowych firm: Cisco (PIX 525), Check Point (Firewall-1), Computer Associates (eTrust), CyberGuard (KnightStar), Enternet (Enternet Firewall), Lucent Technologies (Brick), NetScreen (NetScreen-100), Network-1 (CyberwallPlus), Network Associates (WebShield), Novell (BorderManager), Nokia (IP650), Secure Computing (SideWinder), SonicWall (SonicWall Pro VX), Symantec (Raptor), TopLayer (AppSwitch 3500) i WatchGuard (Firebox II). Blisko połowa wymienionych zapór sprzedawana jest w postaci zestawu zawierającego oprogramowanie i sprzęt (rozwiązanie oparte na dedykowanej warstwie sprzętowej). Pozostałe zapory to oprogramowanie, które można zainstalować na standardowym komputerze pracującym pod jednym z popularnych systemów operacyjnych. Nie przetestowano zapory Internet Security & Acceleration Server 2000 Microsoftu, która trafiła na rynek już w czasie testowania.

Dla administratorów poszukujących wysoko wydajnych zapór (np. eksploatujących kilka sieci Ethernet 100 Mb/s, które trzeba od siebie odseparować) mamy dobrą wiadomość - produkty oferowane przez NetScreen (NetScreen-100), Cisco (PIX 525) i CyberGuard (KnightStar) pracują bardzo wydajnie. Po podsumowaniu wszystkich testów wydajności na szczególne uznanie zasługuje zapora produkowana przez NetScreen, która uplasowała się na czołowych miejscach we wszystkich kategoriach oceny.

Aby sprawdzić, jak zapory sprawują się w różnych (ale typowych) warunkach, opracowano trzy testy: przepływność pierwotna, obsługa połączeń masowych i maksymalne obciążenie użytkownikami.

Przepływność pierwotna

Test ten symuluje dość wiernie ruch pakietów, z jakim zapora może mieć do czynienia wtedy, gdy jest usytuowana w centralnym punkcie dużej sieci komputerowej (separacja poszczególnych segmentów sieci LAN) lub gdy obsługuje aplikacje internetowe (a więc pracuje w środowisku, w którym współużytkowane przez wielu użytkowników pliki muszą zawsze przechodzić przez zaporę).

Testy używały pakietów o skrajnie różnych długościach: bardzo długich (1400 bajtów) i bardzo krótkich (64 bajty). Dla każdej sieci większym obciążeniem są zawsze długie pakiety. Trzeba jednak pamiętać, że dla niejednego urządzenia sieciowego to właśnie krótkie pakiety stanowią prawdziwe wyzwanie. Dlaczego? Ponieważ przy większej liczbie krótkich pakietów zapora musi dysponować wystarczająco dużym zapasem mocy obliczeniowej, aby poradzić sobie z taką nawałnicą. Każdy pakiet musi być przecież odpowiednio przetworzony i obsłużony. Niektóre aplikacje sieciowe pracują wydajniej, gdy mają za partnera zaporę radzącą sobie lepiej z długimi pakietami, a inne wymagają obecności zapory, która lepiej obsługuje większą liczbę krótkich pakietów.

Dziewięć zapór poradziło sobie bez problemu z długimi pakietami, nie zakłócając w znaczącym stopniu pracy całej sieci. Ale tylko trzy produkty - oferowane przez TopLayer (AppSwitch 3500), Nokia (IP650) i NetScreen (NetScreen-100) - były w stanie podołać obciążeniu przekraczającemu 50 proc. obciążenia nominalnego (przypominamy - chodzi o sieć 100 Mb/s), gdy uruchomiono test przesyłający krótkie pakiety. Wyniki dowodzą, że wybór zapory spełniającej wymagania określonego środowiska (czytaj: pewien typ aplikacji) nie stanowi większego problemu. Jeśli jednak aplikacje uruchamiane w przedsiębiorstwie generują zupełnie różne typy ruchu pakietów, sprawa może być trudniejsza.