Wie mit jedem anderen Paket-Filter auch, können TCP-basierende client/server-Dienste mit dem FW-I derart gesichert werden, daß man Verbindungen nur von innen nach außen gestattet. Verwendet man die Version 1.2 des Firewalls, so ist es sogar möglich, diese Dienste von außen zugänglich zu machen, da hier Authentifikation über one-time passwords unterstützt wird.
Eine der wesentlichen Erweiterungen gegenüber dem herkömmlichen Paket-Filter Konzept ist die Möglichkeit der Sicherung UDP-basierender client/server-Dienste. Gewöhnlich möchte man internen Benutzern die Möglichkeit bieten, UDP-Dienste zu nutzen, ohne dies auch externen Benutzern zu gestatten. Da man bei einem von außen eintreffenden UDP-Paket aber nicht unterscheiden kann, ob es sich um eine Anfrage von außen, also einen versuchten Angriff, oder um eine Antwort auf eine Anfrage eines internen Benutzers handelt, werden client/server-Dienste über UDP üblicherweise von Paket-Filtern völlig verboten.
Der Firewall-I begegnet diesem Problem folgendermaßen: Sendet ein interner Benutzer eine Anfrage an einen externen server, so wird dies in eine Tabelle eingetragen. Trifft nun ein Paket von außen ein, so kann in der Tabelle nachgesehen werden, ob dieses Paket als Reaktion auf eine Anfrage eines internen Benutzers verschickt wurde oder nicht. Ist dies der Fall, so wird das Paket weitergeleitet, andernfalls verworfen. Es läßt sich ein Zeitraum von 0 bis 300 Sekunden einstellen, in dem das betreffende Antwortpaket eintreffen muß, andernfalls wird die Verbindung als beendet betrachtet.
Bei Verwendung von Version 1.2 ist natürlich ebenfalls die Verwendung von one-time passwords möglich, sodaß selbst UDP-basierende client/server-Dienste gefahrlos von außen zugelassen werden können.
Diese Dienste können wie üblich mit einem Paket-Filter gesichert werden, sodaß entweder Verbindungen nur von innen nach außen aufgebaut werden können oder aber daß auch externe Rechner Verbindungen nach innen initiieren können.
Im Unterschied zu normalen Paket-Filtern, die, wenn sie derartige Dienste erlauben, diese in beide Richtungen gestatten müssen, kann der Sun FW-I dies auch auf Verbindungen beschränken, die von internen Rechnern ausgehen. Dies geschieht wiederum über die Tabelle ausstehender UDP-Antwortpakete.
Traditionelle Paket-Filter haben große Schwierigkeiten, file transfer über FTP angemessen zu sichern, da FTP es erfordert, die Daten auf einer zweiten, vom Server initiierten Verbindung zu übertragen. Da nicht bekannt ist, welcher Port auf client-Seite zum Empfang dieser Daten verwendet wird, muß man entweder den gesamten nicht-privilegierten Bereich öffnen oder aber FTP verbieten.
Auch hierfür bietet der FW-I eine Lösung: Der Firewall überwacht die Kontroll-Verbindung und trägt ein gesendetes PORT-Kommando, also ein Kommando, daß dem server mitteilt, zu welchem Port er die Datenverbindung aufbauen soll, in eine Tabelle ein. Somit kann bei einer von außen initiierten TCP-Verbindung immer untersucht werden, ob es sich um eine Datenverbindung einer bestehenden FTP-Verbindung handelt oder nicht. Ist dies der Fall, so ist die Verbindung natürlich zuzulassen, andernfalls handelt es sich vermutlich um einen versuchten Angriff und das entsprechende Paket ist zu verwerfen.
Mail wird bei diesem Firewall zu einem internen mail-server durchgelassen, wo die Verteilung der Nachrichten an die entsprechenden Empfänger stattfinden kann.
Der Sun Firewall besitzt keine Möglichkeiten, X11 zu sichern, die über die normalen Möglichkeiten eines Paket-Filters hinausgehen. Deshalb sollte X11 verboten werden.
Selbst die Behandlung RPC-basierender Dienste ist mit dem Sun Firewall möglich. Hierzu erfrägt er dynamisch und transparent die Portnummern der verschiedenen Dienste bei den portmappern der einzelnen Rechner und legt eine Tabelle an. Somit kann erkannt werden, um welchen Dienst es sich handelt und gewisse Dienste können gestattet werden. In Verbindung mit der Tabelle für die ausstehenden UDP-Verbindungen ergibt sich also eine Möglichkeit, RPC-basierende Dienste zu sichern.