Der erste Schritt muß immer die Erstellung einer Sicherheitspolitik sein, die genau festlegt, welche Dienste erforderlich sind, welche Dienste verboten sein sollen und welche Dienste mit gewissen Einschränkungen versehen werden müssen. Hier muß auch festgelegt werden, wer die jeweiligen Dienste nutzen darf, d. h. ob die Dienste auch externen Benutzern zur Verfügung stehen sollen.
Aufgrund der Sicherheitspolitik können dann verschiedene Lösungen in die engere Wahl genommen werden. Die wichtigsten Kriterien, die hier zu untersuchen sind, sind die folgenden:
Selbstverständlich kommen nur Firewalls in Frage, die auch in der Lage sind, die geforderten Dienste sicher anzubieten. Hier zeigen sich bereits erhebliche Unterschiede zwischen den einzelnen Lösungen.
Sollte es erforderlich sein, daß gewisse Dienste auch aus dem unsicheren Netz in Anspruch genommen werden, so muß der Firewall über ausreichende Authentifikationsmöglichkeiten verfügen. Insbesondere dürfen keine Paßworte verwendet werden, die von einem Angreifer durch Abhören des Netzes ermittelt und später wiederverwendet werden können.
Viele Unternehmen wünschen oder benötigen eine Zweiteilung des name servers, sodaß den externen Rechnern keine Informationen über die Adressen der internen Rechner mitgeteilt werden. Dies kann gewünscht sein, um einem Angreifer keine Ansatzpunkte für eventuelle Angriffe zu bieten, kann aber auch erforderlich sein, wenn intern keine offiziellen Adressen verwendet werden können. Der Firewall muß dann in der Lage sein, die entsprechende Adreßumsetzung durchzuführen [RFC1631].
Wenn die Sicherheitspolitik bestimmte Kriterien vorschreibt, wann ein Paket bzw. eine Verbindung zugelassen werden soll, dann muß der Firewall diese Kriterien auch untersuchen können. Ein typisches Beispiel ist eine Politk, die vorschreibt, daß nur bestimmte Benutzer bestimmte Dienste nutzen dürfen. Trifft der Firewall seine Entscheidungen einzig aufgrund der IP-Adresse des Absenders, so kommt er für die Implementierung einer solchen Politik nicht in Frage.
Nachdem nun eine gewisse Auswahl von Firewalls vorgenommen wurde, die alle in der Lage sind, die geforderte Sicherheitspolitik zu erfüllen, sollte nun anhand der Untersuchung weiterer Kriterien eine Entscheidung getroffen werden. Die hier besonders zu beachtenden Kriterien sind die folgenden:
Der Firewall sollte über ausgiebige Logging-Möglichkeiten verfügen, sodaß es dem Administrator möglich ist, bereits versuchte Angriffe zu erkennen und Gegenmaßnahmen einzuleiten, bevor der Angreifer größeren Schaden anrichten kann. Hier sind natürlich auch die Alerting-Möglichkeiten des Firewalls von Bedeutung, da ein Administrator unmöglich den Firewall ständig überwachen kann. Insbesondere ist zu untersuchen, wo die Log-Daten gespeichert werden, d. h. ob ein Angreifer, nachdem ihm ein Einbruch in den Firewall gelungen ist, in der Lage ist, die Log-Files zu ändern.
Hier muß betrachtet werden, ob zur Installation und Konfiguration des Firewalls ein erfahrener UNIX- und TCP/IP-Administrator notwendig ist oder ob es mit relativ geringem Aufwand möglich ist, sich das erforderliche Wissen anzueignen. Die Unterschiede, die sich hier bei den einzelnen Lösungen zeigen, sind nämlich erheblich, sodaß gewisse Firewalls auch von weniger erfahrenen Administratoren problemlos betrieben werden können.
Weiterhin ist es von Bedeutung, ob es notwendig ist, daß jeder Benutzer, der einen Dienst durch den Firewall nutzen möchte, einzeln dazu autorisiert werden muß. Ist dies durch die Sicherheitspolitik nicht gefordert, im Firewall aber vorgesehen, so ergibt sich ein unnötiger Zusatzaufwand, der bei großen Netzen zu beträchtlichen Problemen führen kann.
Ebenso ist die Transparenz gegenüber den Anwendungen von Bedeutung. Wenn es um die Sicherung eines großen Netzes geht und jede Endstation mit neuen Versionen der clients versorgt werden muß, so ist dies ebenfalls ein enormer Aufwand, der sich vermeiden läßt, wenn man eine transparente Lösung wählt oder die Änderungen auf die Gewohnheiten der Benutzer abwälzt.
Aufgrund dieser Kriterien sollten sich einige wenige Lösungen herauskristallisiert haben. Die Entscheidung zwischen diesen Firewalls kann dann aufgrund weiterer Kriterien wie z. B. dem Preis getroffen werden. Hierbei ist aber zu beachten, daß man aufgrund eines günstigeren Preises nie Zugeständnisse an die Sicherheit machen sollte.