Da das hier eingesetzte TCP-Relay für die Behandlung von client/server-Diensten nicht in Frage kommt, bleiben zwei Möglichkeiten, diese Dienste zu sichern:
Telnet, rlogin und HTTP/gopher können mit Hilfe der Proxies gut gesichert werden, wobei von außen initiierte Verbindungen aufgrund der enthaltenen Authentifikationsmöglichkeiten keine Probleme bereiten.
Ebenso lassen sich TCP-basierende Dienste natürlich mit dem Paket-Filter sichern. Dies bringt natürlich wieder die Einschränkung mit sich, daß die Dienste nur von innen nach außen angeboten werden können.
Es existieren weder Proxies für UDP-basierende Dienste, noch kann das TCP-Relay hierfür eingesetzt werden. Da der Paket-Filter bekanntermaßen nicht in Frage kommt, um diese Dienste zu sichern, bleibt nur das totale Verbot als Alternative.
Diese Dienste können nun hervorragend mit dem TCP-Relay abgesichert werden. Es ist möglich, Verbindungen nur zwischen zwei bestimmten Rechnern zu gestatten, wobei der Rechner, der die Verbindung wünscht, gar nicht wissen muß, mit welchem Rechner er verbunden wird. Weiterhin bietet sich die Möglichkeit, mit Hilfe entsprechender Kofigurationsregeln die Eröffnung der Verbindung nur in einer Richtung zu erlauben. Selbstverständlich kommt auch der Paket-Filter zum Schutz dieser Dienste in Frage, die Verwendung des TCP-Relays ist aber z. B. wegen des besseren Loggings anzuraten.
Wiederum kommt nur der Paket-Filter in Betracht, um diese Dienste zuzulassen. Dabei ist natürlich wieder zu beachten, daß ein Angreifer die Identität eines anderen Rechners relativ leicht übernehmen kann.
Der FTP-Proxy bietet gute Möglichkeiten, file transfer durch den Firewall abzusichern. Er läßt sich auf die individuellen Wünsche jedes Unternehmens einrichten und bietet auch ausreichende Authentifikationsmöglichkeiten, um von außen initiierte Verbindungen zuzulassen.
Electronic mail wird transparent durch den Firewall weitergeleitet, wobei natürlich in Kauf genommen werden muß, daß das empfangende smap-Programm nicht die gesamte Funktionalität von sendmail zur Verfügung stellen kann. Dies ist aber aus Gründen der Sicherheit auch gar nicht erwünscht. Eine Möglichkeit, den Absender der Nachricht zu überprüfen oder mail-Inhalte auf eventuelle Angriffsversuche zu untersuchen ist nicht vorgesehen.
Der X11-Proxy stellt einen vernünftigen Ansatz dar, um das schwierig abzusichernde X11-Protokoll durch den Firewall anbieten zu können. Die ausdrückliche Bestätigung jeder Verbindung durch den entsprechenden Benutzer läßt sich aus Gründen der Sicherheit nicht vermeiden.
Zur Behandlung RPC-basierender Dienste stellt der Firewall keine Möglichkeiten zur Verfügung.