Die Sicherheit der Firewall-Komponenten kann nicht anhand eines Konzeptes aufgezeigt werden. Hierzu ist ein konkretes Produkt notwendig. Die einzig allgemeingültige Aussage, die hier gemacht werden kann, ist die, daß eine Existenz von User-Accounts auf dem Firewall bei Verwendung des Paket-Filter-Konzeptes nicht erforderlich ist.
Paket-Filter erlauben es nicht, die Adressen des internen Netzes geheimzuhalten, sodaß jeder Angreifer, der in der Lage ist, das externe Netz abzuhören, Informationen über mögliche Angriffsziele innerhalb des Unternehmensnetzes erhalten kann.
Die Installation und Konfiguration eines Paket-Filters ist im allgemeinen nicht sehr aufwendig, sie
muß allerdings mit sehr großer Sorgfalt geschehen, da zwischen den einzelnen Filterregeln
Abhängigkeiten bestehen können, die nur durch ausführliches Testen entdeckt werden können.
Auch erfordert die Syntax, in der die Regeln formuliert werden müssen, häufig eine gewisse
Eingewöhnungszeit (siehe Seite ![[*]](http://wwwbode.informatik.tu-muenchen.de/icons/latex2html-97.1/gif/cross_ref_motif.gif){kind=icon}
).
Bei Verwendung eines Paket-Filters fügt man neue bzw. proprietäre Dienste durch einfaches Hinzufügen einiger weniger Filterregeln ein. Aufzupassen ist hierbei wieder auf die Abhängigkeiten, die sich zu den bereits existierenden Regeln ergeben können.
Die übrigen Kriterien aus dem Bereich der Administration lassen sich nur anhand eines konkreten Produktes untersuchen, sodaß hier nicht weiter darauf eingegangen werden kann.
Paket-Filter sind sowohl für den Benutzer als auch für die beteiligten Anwendungen transparent. Ein Benutzer bemerkt die Existenz eines Paket-Filters einzig beim Versuch, einen nicht gestatteten Dienst zu benutzen.
Die Performance eines Paket-Filters wird durch die Anzahl der zu untersuchenden Regeln bestimmt. Solange die meisten Pakete mit der Untersuchung einiger weniger Regeln behandelt werden können, leidet die Performance nicht. Deshalb ist es sehr wichtig, bei der Erstellung der Regeln darauf zu achten, daß die am häufigsten greifenden Regeln am Anfang stehen und somit die Untersuchung der übrigen Regeln in der Vielzahl der Fälle entfallen kann.
Die Kosten für einen Paket-Filter sind meist relativ gering. Da in Verbindung mit einem Internet-Anschluß meist sowieso ein Router vorhanden sein wird, können die Regeln in diesem implementiert werden. Ist dies nicht der Fall, so besteht sogar die Möglichkeit, Regeln beim Service-Provider zu implementieren, wobei man sich natürlich auf die Sicherheit der Komponenten des Providers verlassen muß.