Die Behandlung von TCP-basierenden client/server-Diensten kann wiederum auf drei verschiedene Arten erfolgen:
Es steht ein Proxy zur Behandlung von telnet zur Verfügung. Dieser wird auf gatekeeper installiert und gate wird so konfiguriert, daß telnet nur zwischen gatekeeper und dem privaten Netz gestattet ist. Ein Konfigurationsfile ermöglicht es, Verbindungen nur von bestimmten Rechnern aus zu erlauben sowie eine Authentifikation der Benutzer mittels one-time passwords vorzunehmen.
Die übrigen Dienste werden über das kostenlos verfügbare TCP-Relay SOCKS gesichert. Wie bereits erwähnt, kann SOCKS derzeit nur eingesetzt werden, um Dienste von innen nach außen anzubieten, da die umgekehrte Richtung zusätzliche Authentifikation erfordern würde. Allerdings ist es möglich, daß sich Benutzer über den telnet-Proxy in einen Rechner des internen Rechners einloggen und den entsprechenden Dienst von diesem Rechner aus starten. Da die verwendete SOCKS-Version, wie bereits erwähnt, nicht mit normalen socksified clients zusammenarbeitet, sind folgende clients im Lieferumfang enthalten:
Andere Dienste sind somit nicht mit Hilfe des TCP-Relays zu sichern, es sei denn, es stehen weitere modifizierte clients zur Verfügung.
Natürlich kann auch der Paket-Filter so konfiguriert werden, daß er direkte Verbindungen zwischen dem sicheren und dem unsicheren Netz erlaubt. Da er aber keine Untersuchung des ACK-Flags gestattet, kann nicht zwischen Paketen zum Eröffnen und zum Fortsetzen einer Verbindung unterschieden werden. Deshalb sollte davon abgesehen werden, TCP-basierende client/server-Dienste mit dem Paket-Filter zu sichern.
Da keine Proxies für UDP-basierende Dienste existieren und auch das TCP-Relay nicht für diese Dienste einsetzbar ist, bleibt als einzige Möglichkeit die Verwendung des Paket-Filters. Da ein Paket-Filter aber ebenfalls keine zufriedenstellende Sicherheit für derartige Dienste bieten kann, muß auf diese Dienste vollständig verzichtet werden.
Auch hier stehen wieder drei Möglichkeiten der Behandlung zur Verfügung:
Es existiert ein Proxy, der es ermöglicht, news sicher zwischen einem externen und einem internen news-server auszutauschen. Der Proxy verläßt sich auf die IP-Adresse der server, sodaß ein Angreifer, der die Identität eines dieser server annehmen kann, in der Lage ist, den Proxy zu täuschen.
Da derzeit keine modifizierten SOCKS-clients für peer-to-peer-Dienste existieren, kommt eine Verwendung des TCP-Relays für diese Dienste nicht in Frage.
Zur Sicherung von peer-to-peer-Diensten ist auch dieser Paket-Filter geeignet, allerdings nur unter der Voraussetzung, daß Verbindungen auch von außen initiiert werden dürfen. Da aber das TCP-Relay nicht eingesetzt werden kann, muß dies in Kauf genommen werden, wenn man derartige Dienste erlauben möchte.
Wie oben bereits erwähnt, bleibt für UDP-Dienste nur die Verwendung des Paket-Filters. Er kann eingesetzt werden, um diese Dienste ausreichend abzusichern, wenn die Tatsache, daß dann eine Eröffnung einer Verbindung auch von außen möglich ist, keine Rolle spielt.
Der DEC-Firewall enthält keine Möglichkeiten, mit denen RPC-basierende Dienste sicher angeboten werden können.
Zur Behandlung von FTP steht ein Proxy zur Verfügung, der umfangreiche Konfigurationsmöglichkeiten bietet. In einem Konfigurationsfile kann genau festgelegt werden, wie Benutzer verschiedener Rechner behandelt werden sollen. So kann man bestimmen, daß bestimmte Kommandos völlig verboten werden, während andere einen Eintrag im Log-File hervorrufen sollen. Auch kann man angeben, welche Kommandos nur ausgeführt werden dürfen, nachdem sich der entsprechende Benutzer hinreichend authentifiziert hat.