В идеале злоумышленник не имеет возможности напрямую атаковать какуюлибо из систем, защищенных брандмауэром. Пакеты, предназначенные защищенным узлам, доставляются на машину-брандмауэр.

Так что злоумышленнику приходится атаковать непосредственно эту машину. Поскольку брандмауэр может стать мишенью атак с целью взлома, он должен придерживаться очень жестких мер обеспечения безопасности. Но поскольку всего один брандмауэр обслуживает многие машины локальной сети, проводить в жизнь политику обеспечения безопасности становится существенно проще.

Недостаток системы брандмауэров очевиден. Сетевой экран ограничивает доступ не только со стороны внешнего мира, но и доступ локальной сети к внешнему миру. Чтобы сократить неудобства, вызываемые присутствием брандмауэра, эта система должна выполнять гораздо больше задач, чем маршрутизатор. Некоторые брандмауэры предоставляют службы:

• DNS для внешнего мира
• Ретрансляции сообщений электронной почты
• Посреднические

В системе брандмауэра должен работать лишь минимальный набор служб, действительно необходимых для общения с внешними системами. Прочие распространенные сетевые службы (NIS, NFS, X Windows, finger и т. д.), как правило, предоставлять не рекомендуется. Ограничение набора служб связано с необходимостью сократить число потенциальных уязвимостей, посредством которых может получить доступ злоумышленник. Для брандмауэров безопасность превыше всего, и даже служб.

Самые серьезные осложнения для машин брандмауэров связаны со службой ftp и службой удаленного терминального доступа. С целью сохранения высокого уровня защищенности на машине брандмауэра не рекомендуется создавать пользовательские учетные записи; при этом данные пользователей должны проходить через брандмауэр, чтобы работали службы ftp и удаленного терминального доступа. Проблема решается созданием специальных учетных записей для ftp и telnet, общих для всех внутренних пользователей. Однако групповые учетные записи обычно считаются проблемой безопасности. Более приемлемое решение - разрешить работу службы ssh через брандмауэр. Это поощряет применение ssh, а значит - серьезных механизмов проверки подлинности и шифрования обмена данными.