TCP-basierende client/server-Dienste lassen sich mit dem IBM NetSP gut sichern. Zum einen verfügt er über den SOCKS-Server, mit dessen Hilfe sich alle von innen nach außen laufenden Verbindungen sichern lassen, zum anderen besitzt er einen Telnet-Proxy, der auch von außen initiierte Verbindungen ermöglicht.
Der telnet-Proxy bietet eine ausreichende Sicherung von telnet-Verbindungen, gleichgültig ob sie von einem Rechner des internen oder des externen Netzes initiiert wurden. Er kann auch verwendet werden, um andere Dienste zu sichern. Ein Benutzer kann sich über den telnet-Proxy auf den Firewall einloggen und dort beliebige clients starten, sofern die restricted shell dies erlaubt. Man kann also beispielsweise mosaic-clients auf dem Firewall installieren, die von Benutzern, die sich über telnet einloggen, genutzt werden können.
Da der SOCKS-Server nicht über ausreichende Authentifikations-Maßnahmen verfügt, um einem externen Benutzer Zugang zum internen Netz zu gestatten, wird er eingesetzt, um Dienste zu sichern, die nur von innen nach außen angeboten werden sollen. Hier bietet er aber ausreichenden Schutz sowie Konfigurationsmöglichkeiten, die es erlauben, nur bestimmten Benutzern die Nutzung bestimmter Dienste zu gestatten.
Der Paket-Filter ist in der Lage, daß ACK-Flag zu untersuchen, kann also unterscheiden, wer eine Verbindung initiiert hat. Deshalb könnte man ihn einsetzen, um TCP-Dienste, die nur von innen nach außen benötigt werden, zu sichern. Dies kann erforderlich sein bei Diensten, für die keine socksified clients, d. h. Client-Programme, die mit dem SOCKS-server zusammenarbeiten können, exisitieren. Im Normalfall sollte aber das TCP-Relay für TCP-basierende client/server-Dienste verwendet werden.
Da für UDP-basierende client/server-Dienste keine Proxies zur Verfügung stehen und auch der SOCKS-server keine UDP-Dienste sichern kann, bleibt nur die Möglichkeit der Sicherung mit Hilfe des Paket-Filters. Wie bereits erwähnt, ist ein Paket-Filter aber nicht in der Lage, diese Dienst hinreichend sicher zu behandeln. Aus diesem Grund sollten sie völlig verboten werden. Auch hier gibt es die Möglichkeit, entsprechende clients auf dem Firewall zu installieren und den Zugang über telnet auf die Nutzung dieser clients auszudehnen.
Diese Dienste lassen sich wiederum sowohl über SOCKS als auch über den Paket-Filter sichern. Beide Methoden sind aus Sicherheitssicht problemlos einsetzbar.
Hierfür steht wiederum nur der Paket-Filter zur Verfügung, der, wie vorher bereits erwähnt, ausreicht, um derartige Dienste abzusichern. Die Gefahr eines Angriffs durch Annahme einer falschen Identität bleibt aber bestehen.
Um den Schwierigkeiten, die mit FTP auftreten können, entgegenzuwirken, existiert ein Proxy, der FTP-Verbindungen von innen nach außen ermöglicht. Dieser Proxy führt sowohl eine Authentifikation des Benutzers als auch eine Überprüfung seiner Autorisation durch. Eine Einschränkung der verwendbaren Kommandos ist nicht möglich. Möchte ein externer Benzutzer FTP nutzen, so muß er sich zuerst über den telnet-Proxy in einen internen Rechner einloggen und von dort aus die gewünschte FTP-Verbindung aufbauen.
Der IBM Firewall leitet eintreffende mail direkt weiter an einen Mail-server innerhalb des internen Netzes. Dieser ist mit der Verteilung der Nachrichten an die eigentlichen Empfänger betraut.
Es sind keine speziellen Möglichkeiten vorgesehen, X11 durch den Firewall zu gestatten. Aufgrund der Gefahren, die dieser Dienst beinhaltet, sollte er also verboten werden.
Der IBM NetSP beinhaltet keine Möglichkeiten, mit denen RPC-basierende Dienste abgesichert werden können. Es bleibt nur das vollständige Verbot dieser Dienste.