Инженеры Тест-центра CRN и приглашенный реселлер из компании Micros-To-Mainframes оценивали аппаратно реализованные брандмауэры по функциональным возможностям, уровню защиты, удобству инсталляции, масштабируемости и утилитам управления.
Для оценки уровня защиты, обеспечиваемого представленными решениями, применяли пакет SAFEsuite фирмы Internet Security Systems. Используя эту программу, легко проверить сеть на наличие известных «лазеек» и затем предложить меры по их устранению.
При анализе функциональных возможностей инженеры проверяли такие функции, как блокировка унифицированного указателя ресурса (URL), фильтрация «сетевого мусора» и построение виртуальных частных сетей (VPN). Для тестирования функции VPN (там, где она имелась), производилось подключение к Интернету через точку присутствия (POP) средствами Microsoft Network и подсоединение к частной сети через брандмауэр. Для шифрования пакетов использовалась программа Sniffer Pro 2.5 фирмы Network Associates.
При рассмотрении процедуры инсталляции инженеры определяли, насколько легко установить пакет и какое время потребуется квалифицированному реселлеру для выполнения всей работы от начала и до конца. Кроме того, принимались в расчет необходимый уровень технических навыков и качество прилагаемой документации.
Инженеры стремились выявить основные возможности наращивания предложенных решений, в том числе и удобство централизованного управления несколькими брандмауэрами с одной управляющей консоли. Учитывалось также наличие функций резервирования и балансирования нагрузки, что рассматривалось как плюс. Утилиты управления оценивались по удобству их использования, полноте решаемой задачи, а также по степени детализации при ведении журнала и отчетности.
Для проведения испытаний инженеры Тест-центра построили три сети, которые подсоединялись к каждому интерфейсу тестируемого брандмауэра. Внутренний сегмент был представлен системой NetServer E50 фирмы Hewlett-Packard на базе 333-МГц процессора Pentium II, оснащенной памятью емкостью 128 Мбайт и 4-Гбайт жестким диском. Эта система выполняла функции управления брандмауэром.
Внешний сегмент сети состоял из нескольких рабочих станций HP Vectra XU на базе 400-МГц процессора Pentium II, каждая с памятью объемом 64 Мбайт и интерфейсной сетевой платой Fast EtherLink XL фирмы 3Com. На машинах работала Windows NT 4.0 Workstation SP3 и был установлен Internet Explorer 4. В ходе тестирования на рабочих станциях внешнего сегмента запускалась программа SAFEsuite, которая должна была найти «лазейки» в брандмауэре.
Третий сегмент — демилитаризованная зона (DMZ): это изолированная часть сети, содержащая общедоступные серверы корпорации. Сегмент DMZ был представлен системой HP NetServer LC3, которая служила сервером FTP и HTTP.
Эта система была построена на 400-МГц процессоре Pentium II и была снабжена двумя 10/100-Мбит/с сетевыми адаптерами EtherExpress Pro фирмы Intel, памятью размером 256 Мбайт и двумя 9-Гбайт жесткими дисками на шине Ultra-Wide SCSI.
Описанным способом тестировались все решения, за исключением брандмауэра PIX фирмы Cisco, который был сконфигурирован лишь с двумя сетевыми интерфейсами и не мог работать с демилитаризованной зоной. Поэтому управляющая рабочая станция была перемещена в тот же сегмент, где находился сервер.