Ein Router wird zur Koppelung auf Schicht 3 eingesetzt. Ihm stehen also zusätzlich zu den Daten,
die auch die Brücke erkennt, weitere Informationen zur Verfügung. Aus Sicherheitssicht
erscheinen die folgenden am bedeutendsten (vgl. Kap. ![[*]](http://wwwbode.informatik.tu-muenchen.de/icons/latex2html-97.1/gif/cross_ref_motif.gif){kind=icon}
):
Die weltweit eindeutige Adresse des Absenders bzw. Empfängers des Pakets. Hier bietet sich die Möglichkeit, nur bestimmten externen Rechnern eine Verbindung zum internen Netzwerk zu gestatten bzw. umgekehrt, sowie weiterhin für gewisse interne Rechner jeden Zugang von und nach außen zu verweigern, um diese somit vor Angriffen zu schützen.
Auf Schicht 3 läßt sich weiterhin das auf Schicht 4 eingesetzte Transportprotokoll erkennen. Da, wie später noch genauer erklärt wird, UDP gewisse Probleme bei der Sicherung bereitet, kann z.B. der UDP-Verkehr aufgrund dieser Information vollständig unterbunden werden.
Auch wenn die Funktionalität des Routers auf Schicht 3 angesiedelt ist, kann er trotzdem den
Header der Pakete bis zur Schicht 4 inspizieren und somit auch die Port-Nummer, sowohl des
Senders als auch des Empfängers, ermitteln (siehe Kap. ).
Das bedeutet, er kann feststellen, an welchen
Prozeß ein Paket adressiert ist und damit die Sicherheitspolitik des Unternehmens recht effizient
implementieren.
Ebenfalls der Schicht 4 zuzurechnen sind die Flags des TCP-Headers, mit deren Hilfe sich ermitteln läßt, ob ein von außen eintreffenden Paket Teil einer existierenden TCP-Verbindung ist oder dem Neuaufbau einer solchen Verbindung dient. So kann man Verbindungen zwischen zwei Rechnern erlauben, wenn sie von innen initiiert wurden und verbieten, wenn der Verbindungswunsch von außen stammte.
Man kann erkennen, daß mit Hilfe eines Routers deutlich mehr Informationen ermittelt werden können als mit einer Brücke. Router lassen sich einsetzen, um einfache aber sinnvolle Firewalls zu implementieren.