Trotz der theoretischen Fragen, die die Paketfilterung betreffen, liegt die Hauptursache für eine Fehlfunktion eines modernen Firewall-Systems in der fehlerhaften Konfiguration. Dies ist insbesondere der Fall, wenn die mit der Administration betrauten Personen nicht genug Erfahrung mitbringen. WinRoute macht die Konfiguration von Filtern einfach und bietet dennoch ausreichend Flexibilität, so dass selbst unerfahrene Netzwerkadministratoren mit geringfügigen Kenntnissen über TCP/IP mit ein paar Mausklicks eine sichere Konfiguration erstellen können. Dies wird in der folgenden Bildschirmabbildung veranschaulicht.
Filterkriterien können pro Schnittstelle für alle der folgenden Einheiten festgelegt werden:
Beachten Sie, dass sowohl für den eingehenden als auch für den ausgehenden Datenverkehr Filter eingerichtet werden können.
Mit Hilfe dieser Funktionen ist die genaue Anpassung der Zugangsrichtlinien an die Sicherheitsanforderungen nahezu jedes Unternehmens möglich. Beispielsweise könnte einer Gruppe von Netzentwicklern der Zugang zu spezifischen externen Ressourcen gewährt werden, wie beispielsweise anonyme FTP-(Leitwerk-)Server, oder eine spezifische Liste interner Adressen für externe Partner-Netzwerke zugänglich gemacht werden, um elektronische Dateien abzulegen. Die eingehende/ausgehende Konfiguration ermöglicht den Schutz vor schädlichen internen Angriffen nach außen wie beispielsweise Back Orifice (BO) oder der verteilten Denial-of-Service (DDOS)-Servlets, die versuchen über unzuverlässige Protokolle nach draußen mit externen Angreifern zu kommunizieren.
Mit den Richtlinien kann der betreffende Datenverkehr entweder zugelassen, abgeworfen oder ablehnt werden. Beim Abwerfen werden nur die absolut notwendigen Informationen über die Firewall an den potenziellen Angreifer weitergegeben, da bei diesem Vorgang kein ICMP (Administrative Prohibited Filter) oder eine TCP- Zurücksetzen/Bestätigen-Anwort an ein TCP-SYN Paket gesendet wird (der erste Schritt in die standardmäßige Dreiwege-TCP-Handshake-Sequenz).
Diesen Richtlinien können verschiedene Prioritäten zugewiesen werden, so dass die ein- und ausgehenden Pakete in einer bestimmten, vom Benutzer definierten Reihenfolge bearbeitet werden. Die populärste dieser Einstellung beinhaltet so genannte "Bereinigungskriterien'' in den Filterlisten, die den gesamten Verkehr blockieren, der von vorherigen Regeln, die über eine höhere Priorität in der Liste verfügten, nicht ausdrücklich genehmigt wurde. (Ein Beispiel für eine Bereinigungskriterium finden Sie im Kapitel zu den grundsätzlichen Filterkriterien in diesem Handbuch.)